大型企业网络漏洞管理方案

第1页共5页大型企业网络漏洞管理方案绿盟科技董明武安全漏洞带来的挑战漏洞是指计算机软件（包括硬件固化指令、操作系统、应用程序等）自身的固有缺陷或因使用不当造成的配置缺陷，这些缺陷可能被黑客利用对计算机系统进行入侵或攻击。漏洞分为本地漏洞和远程漏洞，通常意义上我们所指的漏洞是可被攻击者远程利用的漏洞，这些漏洞的危害往往都是大范围的，由此造成的经济损失也是巨大的，尤其是近两年来针对Web应用安全漏洞的攻击也在逐渐成为主流的攻击方式。2000年到2004年间，利用漏洞攻击的对象主要是网络设备、操作系统和数据库，其中让人感受最深的就是利用漏洞的网络蠕虫事件，如“冲击波”和“震荡波”。2005－2006年间，攻击主要针对Web应用安全漏洞和客户端程序。来自google、Yahoo、Microsoft以及eBay等著名互联网公司或者提供Web服务的软件公司都出现了漏洞被攻击者成功利用的安全事件，给这些公司带来了一定经济损失和不良影响。漏洞的危害越来越严重，归根结底，就是系统漏洞的存在并被攻击者恶意利用。软件由于在设计初期考虑不周导致的漏洞造成的问题始终没有得到很好的解决，人们依然用着“亡羊补牢”的方法来度过每一次攻击，利用漏洞的攻击成为人们心中永远的痛。统计表明，19.4%的成功攻击利用了管理配置错误，而利用已知的系统漏洞成功入侵的占到了15.3%。事实证明，绝大多数的网络攻击事件都是利用厂商已经公布的、用户未及时修补的漏洞。分布式漏洞管理方案对于政府、军工行业、电力行业和一些规模较大的传统企业，由于其组织结构复杂、分布点多、数据相对分散等原因，大多采用树形拓扑或者混合型拓扑。针对这些用户的需求特点，绿盟科技推出了分布式漏洞管理方案。此方案中多台极光系统共同工作，形成虚拟漏洞管理网络，各系统间的数据能共享并汇总，方第2页共5页便用户对分布式网络进行集中管理。极光支持用户进行两级和两级以上的分布式、分层部署，使用两级分布式部署结构拓扑如下图所示。极光远程安全评估系统分布式部署结构图如果不能按照合理的工作流程使用，分布式漏洞管理方案将可能会收效甚微。我们建议在方案实施过程中启用面向漏洞管理的工作流程并在实际使用过程中逐步完善：资产管理这里的资产管理主要是资产信息的收集、资产的分类和资产重要性优先级的划分。我们建议根据总部和分支的组织结构、网络拓扑结构的不同将内部的信息资产进行分类和管理，并根据信息资产的重要程度和分组情况来指定针对性的扫描策略，通过部署在总部的极光扫描管理节点和部署在分支的极光扫描子节点配合来完成漏洞扫描工作。扫描策略管理在明确了虚拟扫描网络中涉及的漏洞管理的资产范围之后，需要进一步明确漏洞扫描策略和漏洞扫描周期。在信息资产管理的基础上，需要对不同的信息资产定义不同的安全策略，根据信息资产的设备类型、应用类型、重要程度的不同来定义不同扫描策略（或者采用极光的自动模板匹配功能）。针对不同的信息资产组定义极光的定时升级、第3页共5页定时扫描的周期、临时检测策略和结果自动发送等相关策略（如对重要的网络资产需要两周甚至每周进行定时扫描并将相应的结果发送给对应资产的管理人员，每季度对网络中的资产进行临时抽检）。漏洞扫描和漏洞分析在执行扫描任务之前需要首先明确扫描网络中不同设备的角色：部署在总部的扫描管理节点主要用来对总部的信息资产进行定时周期性扫描（每两周或每周）部署在分支的扫描子节点主要用来对分支的信息资产进行定时周期性扫描（每两周或每周）漏洞分析需要明确报告发送策略，制定不同的扫描设备在虚拟扫描网络中的角色和扫描结果自动上传分析策略。漏洞修补和验证在漏洞扫描结果基础上需要对网络资产存在的漏洞风险进行综合的分析，主要从资产的重要性、漏洞的危害、漏洞对资产的威胁三个角度进行综合衡量，然后制定漏洞修补方案。漏洞修补的工作可以由人工操作打补丁、补丁管理系统自动分发安装、人工安全配置增强等方式来完成。在漏洞修补之后通过极光扫描设备所特有的漏洞管理功能对漏洞进行修补有效性的验证。方案实施建议由于安全领域的发展性，没有静止的安全，任何的变化都可能引起安全问题的出现，比如网络结构的调整，新的应用的启用，新的安全漏洞和新的攻击手法的出现等等，所以任何时候，安全都是动态的。在这种情况下，有效的使用和维护漏洞扫描产品和安全策略，才能使其发挥出最大的效应，所以，我们建议如下：保障漏洞扫描插件的升级总部安全管理员每周定时检查我公司新发布的漏洞扫描插件；离线下载或使用绿盟科技提供的定期升级包，更新到部署在总部的漏洞扫描管理节点设备上；由漏洞扫描管理节点设备统一推送升级包到分支的漏洞扫描子节点设备上。周期分析与趋势分析策略第4页共5页分支安全管理员制定周期分析策略，定期进行各个节点的安全漏洞扫描，并汇总到总部的漏洞扫描管理节点设备上进行趋势分析。积极防御策略当有重大安全漏洞出现时，及时对漏洞扫描插件升级，反向扫描，得出网络内存在此安全隐患的设备，并指导设备的管理维护人员及时采取有效措施进行解决。报告策略设置综合报告定期上报和分析策略，对疑难问题，及时寻求绿盟科技的支持；设置综合报告分析结果定期发送策略，分别发送到分支安全管理员。方案特点1.不增加既有网络负担，不增添新的安全隐患。如果只部署一个产品，为了覆盖全网进行评估，则需要非常频繁的对不同区域网络节点进行漏洞扫描；这样既增加了网络的流量负载，频繁开放不通网络边界防护策略，又可能带来新的安全隐患。2.可以保证满足不同角色用户多样化的应用需求。如安全管理部门关注的是整个网络漏洞趋势，而系统维护部门关注的可能就是某一个关键服务器的漏洞信息。3.一级中心系统管理员可以对全网漏洞信息进行统一的汇总、分析和对系统自身的统一管理，包括使用人员帐号管理、审计管理等。同时，也可以将分级部署的漏洞管理产品作为技术工具对不同的区域进行网络安全评审，整体推动漏洞安全管理一体化进程。方案效益1.使安全漏洞管理工作有章可循依托业界最佳实践，建立基于主动防范的系统安全漏洞产品、完善的漏洞管理流程及定期评估机制，保证办公网络和业务的安全运行。2.全面提升系统安全漏洞安全审计和管理工作的规范性和全面性通过部署系统安全漏洞管理工具实时、定期按照管理策略和标准进行系统安全漏洞审计，出具完整的安全状态报告，从多个角色、多角度验证系统安全设置、第5页共5页发现、分析、修复和验证系统安全漏洞。发现系统安全设计、实施、运行中存在的安全隐患，规避可能出现的风险。3.最大程度降低人为主观因素带来的风险系统安全漏洞管理系统的建立将大大提升系统安全漏洞管理的科学性、有效性和实时性。明确安全责任和分工，通过管理手段不断完善安全管理。4.满足合规性需求通过系统安全漏洞系统的部署，提升了漏洞分析、修复以及系统安全漏洞评估的权威性和科学性，降低了合规性审计成本。工具产生的报表将使各层领导能够及时掌握系统安全漏洞的安全状况，较好地满足合规性（国家风险评估、等级保护和保密测评等方面）需求。小结每年都有数以千计的网络安全漏洞被发现和公布，再加上攻击者手段的不断变化，用户的网络安全状况也在随着被公布安全漏洞的增加在日益严峻。因此，安全评估对于绝大多数用户都是不容忽视的，用户必须比攻击者更早掌握自己网络的安全漏洞并且做好适当的修补，才能够有效地预防入侵事件的发生。事实证明，99%的攻击事件都是利用未修补的漏洞。许多已经部署防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞入侵之苦，其中有更多受到蠕虫及其变种的破坏，造成巨大的经济损失。归根结底，其原因是用户缺乏一套完整的安全评估机制，未能落实定期评估与漏洞修补工作，忽视了漏洞的管理，最终使漏洞成为攻击者攻击的有效途径，甚至成为蠕虫攻击的目标。依托国内最权威中文漏洞知识库和已在国际上享有盛名的NSFOCUS安全机构，极光远程安全评估系统已经是国际领先的漏洞管理产品之一，能够定期和持续地给用户提供可靠的安全评估服务，并且提供完整的漏洞管理机制，能够有效地降低用户网络风险，更大限度地保证用户网络安全性和稳定性。