今日頭條
官方微信
官方抖音
資訊頻道在網絡安全領域,漏洞常被攻擊方視為“殺手锏”武器,又被防守方當作“萬惡之源”。漏洞本身雖然不產生危害,但一旦被利用,則極有可能帶來嚴重的威脅。關鍵信息基礎設施在數字化、網絡化、智能化轉型的過程中配置了大量信息資產,其網絡體系越來越復雜,漏洞作為“伴生體”所帶來的威脅問題日益凸顯。習近平總書記曾指出:要全面加強網絡安全檢查,摸清家底,認清風險,找出漏洞,通報結果,督促整改。如何快速應對漏洞產生的威脅,降低關鍵信息基礎設施網絡安全風險,無疑是擺在新時代的一個迫切命題。我們針對某些關鍵信息基礎設施在接報漏洞后面臨的處置周期長、資產定位難等問題,進行針對性的調研,探索對其重要信息資產開展漏洞治理的工作,并總結了一些實踐經驗與同行同業分享和探討,以期拋磚引玉。
一、網絡安全漏洞的定義和治理的概念
國際標準化組織(ISO/IEC 27002)定義漏洞(vulnerability)為一個或多個威脅可以利用的一個或一組資產的弱點。通用漏洞評分系統(CVSS)則將漏洞定義為軟件或硬件組件中的弱點或缺陷。我國《信息安全技術 術語》(GB/T 25069-2010)將我們傳統意義上認為的漏洞定義為“脆弱性”,指資產中能被威脅所利用的弱點。《信息安全技術 安全漏洞等級劃分指南》(GB/T 30279-2013)將安全漏洞(vulnerability)定義為計算機信息系統在需求、設計、實現、配置、運行等過程中,有意或無意產生的缺陷。這些缺陷以不同形式存在于計算機信息系統的各個層次和環節之中,一旦被惡意主體所利用,就會對計算機信息系統的安全造成損害,從而影響計算機信息系統的正常運行。綜上可見,漏洞存在于信息資產之上,風險主要來源于該漏洞的環境構成,造成漏洞存在被威脅利用之機。本文所討論的漏洞與國際標準化組織定義的范圍一致。
治理的概念最早出現在政治學領域,通常指政府運用公權力管理社會和人民;而后這一概念又被引入商業和公共領域,延伸到組織機構中的管理方式和制度等方面。聯合國全球治理委員會(CGG)對治理做過權威定義,指“各種公共的或私人的個人和機構管理其共同事務的諸多方法的總和”,并總結治理的一個重要特征是以協同而非控制為基礎。21世紀初,隨著信息化的發展,IT治理的理念逐步被引入公司治理層面,Gartner認為,IT治理是確保信息技術有效、高效的應用以幫助組織機構達到其目標的過程。本文定義的漏洞治理是指漏洞信息披露后,關鍵信息基礎設施運營者建立機制、協同內外部資源及條件、開展與之相關信息資產的分析和威脅風險評估,快速消除漏洞或隔離其被利用條件的一系列方法之總和。漏洞治理的主體是關鍵信息基礎設施運營者,通過協同工作機制調動其內部資產相關部門、業務運營部門、信息安全部門,科學評估漏洞所產生的風險,在平衡風險控制與業務發展的基礎之上,選擇最優的治理路徑,達到有效管控網絡安全風險的目標。
二、關鍵信息基礎設施漏洞治理面臨的三重困惑
當前黨和國家對關鍵信息基礎設施的重視程度前所未有。我國《網絡安全法》單列一節,將公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等列為關鍵信息基礎設施,要求必須實行重點保護。《關鍵信息基礎設施保護條例(征求意見稿)》規定,“運營者發現使用的網絡產品、服務存在安全缺陷、漏洞等風險的,應及時采取措施消除風險隱患”。在多重法律法規的要求下,關鍵信息基礎設施運營者面臨著較大的安全合規壓力,但在工作中我們發現,關鍵信息基礎設施帶“洞”運營仍是常態。數據顯示,某關鍵信息基礎設施,一年中前10個月發現了10027個漏洞,到年底漏洞消除率只有62%,漏洞消除的平均周期為59天,最長周期達150天。大量漏洞長期暴露未能得到及時有效的處置,漏洞整體消除周期過長,導致新發現的漏洞與未消除的漏洞不斷累加,網絡安全風險進一步疊加,這也是當前關鍵信息基礎設施運營者面臨的難題。
(一)網絡安全考核指標與漏洞所帶來的風險之間存在一定程度的割裂。
在現有的評價機制下,關鍵信息基礎設施運營者對漏洞“重發現,輕治理”,且缺乏激勵修復漏洞的相關機制。漏洞檢出數量的多寡、危害等級與關鍵信息基礎設施網絡安全考核評價掛鉤。在實際工作中,有些漏洞在特定的環境中無法完全消除,強行消除漏洞可能引入更大的安全風險,導致系統停擺、數據泄露等更嚴重的事故,而關鍵信息基礎設施運營者缺乏有效的判斷依據,往往不懂處置,不敢處置。關鍵信息基礎設施運營者的困境在于,漏洞檢出的數量越來越多,但漏洞所造成的實際危害卻千差萬別,針對漏洞對應的資產、環境等因素進行危害評估的體系缺位,直接導致漏洞處置工作缺乏抓手,不分輕重緩急“眉毛胡子一把抓”,最終可能無法最大化地消除漏洞所帶來的網絡安全風險。
(二)傳統漏洞掃描工作模式難以有效提高漏洞處置的工作效率。
當前多數關鍵信息基礎設施運營者開展的漏洞掃描是一種“串聯式”的工作模式,漏洞掃描是周期性、階段性的任務而非常態化的機制。在這種工作模式下,若按照每3個月對關鍵信息基礎設施7000-8000個IP地址開展漏洞風險排查,第一步需要使用掃描器更新漏洞數據庫,并分時分段進行漏洞掃描,過程耗時近1個月;第二步將掃描器獲得的漏洞信息分門別類整理并尋找對應信息資產和責任人,分配漏洞處置任務,期間又耗時1個月;第三步,工作人員必須在1個月內完成漏洞處置、復測和總結等工作。檢查人員經常要面對上一輪漏洞處置工作還未結束,下一輪檢查又要開始的窘迫局面。每一輪漏洞掃描均重復性地收集相關資產信息,將之與公開漏洞信息進行匹配從而發現問題所在,這種低效的工作模式必然導致在資產上檢測漏洞的過程嚴重滯后。
(三)信息資產的復雜度與漏洞的爆炸式增長造成漏洞檢測和驗證環節滯后。
隨著大數據、物聯網和云計算等新技術新應用的發展,關鍵信息基礎設施的信息資產體量越來越龐大,物理資產和虛擬資產多重交叉,又分屬不同的部門使用和管理。信息資產的服務端口、IP地址等隨業務和使用環境變化而呈現動態變化的特征,這就給信息資產的界定問題、一致性問題、動態管理問題帶來了極大的挑戰。與此同時,專業網絡安全機構披露漏洞數量越來越多,2017年國家信息安全漏洞共享平臺(CNVD)披露的漏洞超過1.59萬個,較 2016 年增長47.4%,國家信息安全漏洞庫(CNNVD)公布的漏洞數量超過1.47萬個,較2016年增長超過70%,增長率達到歷史新高 。海量的信息資產和漏洞均呈現多樣化、動態化和復雜化的特點,使得關鍵信息基礎設施運營者在傳統的工作模式下難以將兩者高效、快速地映射,漏洞處置和整改更無從談起。
三、以漏洞治理為切入點開展關鍵信息基礎設施重要信息資產安全保障的實踐和思考
(一)建立對信息資產統一動態管理的體系。
保障信息資產的完整性、一致性是漏洞治理工作的基礎。夯實這個基礎,一是要建立機制保障信息資產的完整性,建立一套針對信息資產“責任人+管理制度”的體系,保證信息資產責任主體可追溯,對信息資產的全生命周期進行管理,不能只管信息資產“入口”(采購)、“出口”(退出)環節,更要在中間使用環節,特別是對資產變更的跟蹤進行責任確認和監管監督。二是要通過管理解決信息資產一致性問題,明確關鍵信息基礎設施信息資產跨部門協同管理,細化采購部門、運維部門、安全部門在信息資產管理中的角色和定位,使用統一的資產管理標準進行登記管理,細化資產屬性維度,避免出現一個資產多種表述,多個資產一種表述的現象。三是要通過技術手段,實現對信息資產完整性和一致性的動態管理。充分完善信息資產掃描探測技術,對主機系統、網絡設備、安全設備、數據庫、中間件等重要信息資產進行自動識別。通過輪詢信息資產指紋等感知技術識別資產屬性變更,并運用分布式信息資產探測雷達,提高信息資產識別效率和覆蓋面,揪出“無主資產、僵尸資產”。只有全面掌握動態變化的信息資產完整性、一致性,才能完成對信息資產的實時追蹤和查詢等管理工作。
(二)探索將漏洞危害與應用環境相結合的評估方法。
當前主流的漏洞危害評級方法是定性定量評估,該方法因其標準化、規范化的優勢,被大多數國內外網絡安全廠商和漏洞管理機構采用,主要參考指南有《通用漏洞評分系統指南》(CVSS)、《信息安全技術安全漏洞等級劃分指南》(GBT 30279-2013)。網絡安全機構或關鍵信息基礎設施運營者可依據指南從多個維度計算并評定漏洞的危害等級。定性定量評估方法的難點在于如何對漏洞所處應用環境進行分析,如CVSS指南依照基本指標、時間指標、環境指標對漏洞危害進行評級,其中基本指標是指漏洞利用復雜度等固定的指標,而時間指標和環境指標描述的是漏洞隨時間和應用環境變化的特征,這一部分的評定需要用戶的直接參與。網絡安全廠商和漏洞管理機構,如公共漏洞披露平臺(CVE)、國家信息安全漏洞共享平臺(CNVD)等一般僅根據基本指標評定漏洞危害等級,另外兩項指標及修正后的數值則由用戶自行評定。在實際操作中,關鍵信息基礎設施因應用環境相對復雜,安全需求千差萬別,造成環境度量計算非常復雜,因此往往忽略環境指標的計算,導致危害評級無法真實反映漏洞對特定系統造成的危害。
漏洞危害評級的主要目的是推動工作人員在有限的時間和精力的情況下優先處置高危漏洞,從而以最快的速度降低網絡安全風險。為使漏洞危害評級體系中環境指標度量進一步落地,我們根據CVSS3.0的指南,引入“系統安全防護能力”作為環境指標度量的一個維度,根據不同系統安全防護能力對保密性、完整性、可用性的影響賦值,計算出關鍵信息基礎設施每個系統的安全防護能力,結合漏洞管理機構提供的基本指標度量數據,采用CVSS3.0的計算方法,對漏洞危害評級評定的數據進行修正,使漏洞危害更加貼近實際應用場景。這種方法既能保證兼容CVSS3.0指南的度量體系,又使得漏洞危害評級可以快速落地應用,兼具可行性和易用性。
(三)制定漏洞快速處置的工作機制和協同流程。
漏洞快速處置主要依賴于三方面的設計。一是在考核機制上進行“鼓勵式”設計。網絡安全考核評價不能只有懲罰機制,也應該包含激勵式制度。如某電信運營商組織內部人員開展漏洞挖掘比賽,獎勵優先發現和協助處置漏洞的工作人員,此舉充分調動了各部門員工參與網絡安全工作的熱情。關鍵信息基礎設施運營者應探索漏洞快速治理的創新做法,表彰優先處置漏洞的部門和個人。在漏洞快速處置方面,修復補丁只是漏洞治理的其中一個途徑,通過提高系統防護等級,消除漏洞利用條件,提高漏洞利用難度,也能降低漏洞帶來的風險,這類新的做法應值得嘗試。二是要有協同處置安全風險的責任設計。關鍵信息基礎設施運營者要劃分漏洞處置責任,調動內部各利益相關方進行漏洞的協同處置。如針對硬件和軟件的漏洞,界定資產管理部門、業務運營部門、信息安全部門的責任,資產管理部門應協調供應商、開發商統一修復漏洞,定期打上補丁。對一些因系統無法維護而造成高危漏洞無法消除的情況,業務運營部門應制定產品替代方案,逐步退出應用。針對強行升級系統或打補丁消除漏洞可能造成業務系統停擺等風險時,信息安全部門應協同業務運營部門,咨詢第三方安全機構,制定科學可行的漏洞處置方案,避免因漏洞處置而影響正常業務開展。三是要建設技術平臺提升漏洞治理的整體效率。關鍵信息基礎設施運營者通過建設漏洞治理技術平臺進一步提高漏洞處置效率,一方面可將實時漏洞庫、動態資產庫、開源POC庫進行集成,實時進行資產與漏洞的規則匹配,并運用自動化手段進行精準驗證,科學計算和評估漏洞的影響。另一方面充分利用漏洞治理技術平臺分發處置任務、反饋治理成果,輔助開展績效評估等工作。
四、結語
習近平總書記提出要樹立正確的網絡安全觀,并指出網絡安全是整體的、動態的、開放的、相對的和共同的。我們在開展關鍵信息基礎設施網絡安全保障工作中認識到,只有牢牢抓住網絡安全的上述基本特點,才能實現對漏洞的有效治理,降低網絡安全風險。我們在開展漏洞治理的一年時間里,推動上述關鍵信息基礎設施運營者漏洞處置周期由平均59天縮短到如今的7天,在重要敏感時期,高危漏洞有效處置的周期縮短至24小時之內。關鍵信息基礎設施運營者在探索漏洞治理過程中,進一步摸清了資產的底數、認清了風險的由來,為下一步開展網絡安全態勢感知工作奠定了基礎。
作者:陳志華,曾祥斌 廣東省信息安全測評中心
文章來源:中國信息安全
北京市公安局海淀分局備案號:11010802023656號