■ 广东省信息安全测评中心 陈志华 曾祥斌
在网络安全领域,漏洞常被攻击方视为“杀手锏”武器,又被防守方当作“万恶之源”。漏洞本身虽然不产生危害,但一旦被利用,则极有可能带来严重的威胁。关键信息基础设施在数字化、网络化、智能化转型的过程中配置了大量信息资产,其网络体系越来越复杂,漏洞作为“伴生体”所带来的威胁问题日益凸显。习近平总书记曾指出:要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改。如何快速应对漏洞产生的威胁,降低关键信息基础设施网络安全风险,无疑是摆在新时代的一个迫切命题。我们针对某些关键信息基础设施在接报漏洞后面临的处置周期长、资产定位难等问题,进行针对性的调研,探索对其重要信息资产开展漏洞治理的工作,并总结了一些实践经验与同行同业分享和探讨,以期抛砖引玉。
一、网络安全漏洞的定义和治理的概念
国际标准化组织(ISO/IEC 27002)定义漏洞(vulnerability)为一个或多个威胁可以利用的一个或一组资产的弱点。通用漏洞评分系统(CVSS)则将漏洞定义为软件或硬件组件中的弱点或缺陷。我国《信息安全技术 术语》(GB/T 25069-2010)将我们传统意义上认为的漏洞定义为“脆弱性”,指资产中能被威胁所利用的弱点。《信息安全技术 安全漏洞等级划分指南》(GB/T 30279-2013)将安全漏洞(vulnerability)定义为计算机信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对计算机信息系统的安全造成损害,从而影响计算机信息系统的正常运行。综上可见,漏洞存在于信息资产之上,风险主要来源于该漏洞的环境构成,造成漏洞存在被威胁利用之机。本文所讨论的漏洞与国际标准化组织定义的范围一致。
治理的概念最早出现在政治学领域,通常指政府运用公权力管理社会和人民;而后这一概念又被引入商业和公共领域,延伸到组织机构中的管理方式和制度等方面。联合国全球治理委员会(CGG)对治理做过权威定义,指“各种公共的或私人的个人和机构管理其共同事务的诸多方法的总和”,并总结治理的一个重要特征是以协同而非控制为基础。21世纪初,随着信息化的发展,IT治理的理念逐步被引入公司治理层面,Gartner认为,IT治理是确保信息技术有效、高效的应用以帮助组织机构达到其目标的过程。本文定义的漏洞治理是指漏洞信息披露后,关键信息基础设施运营者建立机制、协同内外部资源及条件、开展与之相关信息资产的分析和威胁风险评估,快速消除漏洞或隔离其被利用条件的一系列方法之总和。漏洞治理的主体是关键信息基础设施运营者,通过协同工作机制调动其内部资产相关部门、业务运营部门、信息安全部门,科学评估漏洞所产生的风险,在平衡风险控制与业务发展的基础之上,选择最优的治理路径,达到有效管控网络安全风险的目标。
二、关键信息基础设施漏洞治理面临的三重困惑
当前党和国家对关键信息基础设施的重视程度前所未有。我国《网络安全法》单列一节,将公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等列为关键信息基础设施,要求必须实行重点保护。《关键信息基础设施保护条例(征求意见稿)》规定,“运营者发现使用的网络产品、服务存在安全缺陷、漏洞等风险的,应及时采取措施消除风险隐患”。在多重法律法规的要求下,关键信息基础设施运营者面临着较大的安全合规压力,但在工作中我们发现,关键信息基础设施带“洞”运营仍是常态。数据显示,某关键信息基础设施,一年中前10个月发现了10027个漏洞,到年底漏洞消除率只有62%,漏洞消除的平均周期为59天,最长周期达150天。大量漏洞长期暴露未能得到及时有效的处置,漏洞整体消除周期过长,导致新发现的漏洞与未消除的漏洞不断累加,网络安全风险进一步叠加,这也是当前关键信息基础设施运营者面临的难题。
(一)网络安全考核指标与漏洞所带来的风险之间存在一定程度的割裂。
在现有的评价机制下,关键信息基础设施运营者对漏洞“重发现,轻治理”,且缺乏激励修复漏洞的相关机制。漏洞检出数量的多寡、危害等级与关键信息基础设施网络安全考核评价挂钩。在实际工作中,有些漏洞在特定的环境中无法完全消除,强行消除漏洞可能引入更大的安全风险,导致系统停摆、数据泄露等更严重的事故,而关键信息基础设施运营者缺乏有效的判断依据,往往不懂处置,不敢处置。关键信息基础设施运营者的困境在于,漏洞检出的数量越来越多,但漏洞所造成的实际危害却千差万别,针对漏洞对应的资产、环境等因素进行危害评估的体系缺位,直接导致漏洞处置工作缺乏抓手,不分轻重缓急“眉毛胡子一把抓”,最终可能无法最大化地消除漏洞所带来的网络安全风险。
(二)传统漏洞扫描工作模式难以有效提高漏洞处置的工作效率。
当前多数关键信息基础设施运营者开展的漏洞扫描是一种“串联式”的工作模式,漏洞扫描是周期性、阶段性的任务而非常态化的机制。在这种工作模式下,若按照每3个月对关键信息基础设施7000-8000个IP地址开展漏洞风险排查,第一步需要使用扫描器更新漏洞数据库,并分时分段进行漏洞扫描,过程耗时近1个月;第二步将扫描器获得的漏洞信息分门别类整理并寻找对应信息资产和责任人,分配漏洞处置任务,期间又耗时1个月;第三步,工作人员必须在1个月内完成漏洞处置、复测和总结等工作。检查人员经常要面对上一轮漏洞处置工作还未结束,下一轮检查又要开始的窘迫局面。每一轮漏洞扫描均重复性地收集相关资产信息,将之与公开漏洞信息进行匹配从而发现问题所在,这种低效的工作模式必然导致在资产上检测漏洞的过程严重滞后。
(三)信息资产的复杂度与漏洞的爆炸式增长造成漏洞检测和验证环节滞后。
随着大数据、物联网和云计算等新技术新应用的发展,关键信息基础设施的信息资产体量越来越庞大,物理资产和虚拟资产多重交叉,又分属不同的部门使用和管理。信息资产的服务端口、IP地址等随业务和使用环境变化而呈现动态变化的特征,这就给信息资产的界定问题、一致性问题、动态管理问题带来了极大的挑战。与此同时,专业网络安全机构披露漏洞数量越来越多,2017年国家信息安全漏洞共享平台(CNVD)披露的漏洞超过1.59万个,较 2016 年增长47.4%,国家信息安全漏洞库(CNNVD)公布的漏洞数量超过1.47万个,较2016年增长超过70%,增长率达到历史新高 。海量的信息资产和漏洞均呈现多样化、动态化和复杂化的特点,使得关键信息基础设施运营者在传统的工作模式下难以将两者高效、快速地映射,漏洞处置和整改更无从谈起。
三、以漏洞治理为切入点开展关键信息基础设施重要信息资产安全保障的实践和思考
(一)建立对信息资产统一动态管理的体系。
保障信息资产的完整性、一致性是漏洞治理工作的基础。夯实这个基础,一是要建立机制保障信息资产的完整性,建立一套针对信息资产“责任人+管理制度”的体系,保证信息资产责任主体可追溯,对信息资产的全生命周期进行管理,不能只管信息资产“入口”(采购)、“出口”(退出)环节,更要在中间使用环节,特别是对资产变更的跟踪进行责任确认和监管监督。二是要通过管理解决信息资产一致性问题,明确关键信息基础设施信息资产跨部门协同管理,细化采购部门、运维部门、安全部门在信息资产管理中的角色和定位,使用统一的资产管理标准进行登记管理,细化资产属性维度,避免出现一个资产多种表述,多个资产一种表述的现象。三是要通过技术手段,实现对信息资产完整性和一致性的动态管理。充分完善信息资产扫描探测技术,对主机系统、网络设备、安全设备、数据库、中间件等重要信息资产进行自动识别。通过轮询信息资产指纹等感知技术识别资产属性变更,并运用分布式信息资产探测雷达,提高信息资产识别效率和覆盖面,揪出“无主资产、僵尸资产”。只有全面掌握动态变化的信息资产完整性、一致性,才能完成对信息资产的实时追踪和查询等管理工作。
(二)探索将漏洞危害与应用环境相结合的评估方法。
当前主流的漏洞危害评级方法是定性定量评估,该方法因其标准化、规范化的优势,被大多数国内外网络安全厂商和漏洞管理机构采用,主要参考指南有《通用漏洞评分系统指南》(CVSS)、《信息安全技术安全漏洞等级划分指南》(GBT 30279-2013)。网络安全机构或关键信息基础设施运营者可依据指南从多个维度计算并评定漏洞的危害等级。定性定量评估方法的难点在于如何对漏洞所处应用环境进行分析,如CVSS指南依照基本指标、时间指标、环境指标对漏洞危害进行评级,其中基本指标是指漏洞利用复杂度等固定的指标,而时间指标和环境指标描述的是漏洞随时间和应用环境变化的特征,这一部分的评定需要用户的直接参与。网络安全厂商和漏洞管理机构,如公共漏洞披露平台(CVE)、国家信息安全漏洞共享平台(CNVD)等一般仅根据基本指标评定漏洞危害等级,另外两项指标及修正后的数值则由用户自行评定。在实际操作中,关键信息基础设施因应用环境相对复杂,安全需求千差万别,造成环境度量计算非常复杂,因此往往忽略环境指标的计算,导致危害评级无法真实反映漏洞对特定系统造成的危害。
漏洞危害评级的主要目的是推动工作人员在有限的时间和精力的情况下优先处置高危漏洞,从而以最快的速度降低网络安全风险。为使漏洞危害评级体系中环境指标度量进一步落地,我们根据CVSS3.0的指南,引入“系统安全防护能力”作为环境指标度量的一个维度,根据不同系统安全防护能力对保密性、完整性、可用性的影响赋值,计算出关键信息基础设施每个系统的安全防护能力,结合漏洞管理机构提供的基本指标度量数据,采用CVSS3.0的计算方法,对漏洞危害评级评定的数据进行修正,使漏洞危害更加贴近实际应用场景。这种方法既能保证兼容CVSS3.0指南的度量体系,又使得漏洞危害评级可以快速落地应用,兼具可行性和易用性。
(三)制定漏洞快速处置的工作机制和协同流程。
漏洞快速处置主要依赖于三方面的设计。一是在考核机制上进行“鼓励式”设计。网络安全考核评价不能只有惩罚机制,也应该包含激励式制度。如某电信运营商组织内部人员开展漏洞挖掘比赛,奖励优先发现和协助处置漏洞的工作人员,此举充分调动了各部门员工参与网络安全工作的热情。关键信息基础设施运营者应探索漏洞快速治理的创新做法,表彰优先处置漏洞的部门和个人。在漏洞快速处置方面,修复补丁只是漏洞治理的其中一个途径,通过提高系统防护等级,消除漏洞利用条件,提高漏洞利用难度,也能降低漏洞带来的风险,这类新的做法应值得尝试。二是要有协同处置安全风险的责任设计。关键信息基础设施运营者要划分漏洞处置责任,调动内部各利益相关方进行漏洞的协同处置。如针对硬件和软件的漏洞,界定资产管理部门、业务运营部门、信息安全部门的责任,资产管理部门应协调供应商、开发商统一修复漏洞,定期打上补丁。对一些因系统无法维护而造成高危漏洞无法消除的情况,业务运营部门应制定产品替代方案,逐步退出应用。针对强行升级系统或打补丁消除漏洞可能造成业务系统停摆等风险时,信息安全部门应协同业务运营部门,咨询第三方安全机构,制定科学可行的漏洞处置方案,避免因漏洞处置而影响正常业务开展。三是要建设技术平台提升漏洞治理的整体效率。关键信息基础设施运营者通过建设漏洞治理技术平台进一步提高漏洞处置效率,一方面可将实时漏洞库、动态资产库、开源POC库进行集成,实时进行资产与漏洞的规则匹配,并运用自动化手段进行精准验证,科学计算和评估漏洞的影响。另一方面充分利用漏洞治理技术平台分发处置任务、反馈治理成果,辅助开展绩效评估等工作。
四、结语
习近平总书记提出要树立正确的网络安全观,并指出网络安全是整体的、动态的、开放的、相对的和共同的。我们在开展关键信息基础设施网络安全保障工作中认识到,只有牢牢抓住网络安全的上述基本特点,才能实现对漏洞的有效治理,降低网络安全风险。我们在开展漏洞治理的一年时间里,推动上述关键信息基础设施运营者漏洞处置周期由平均59天缩短到如今的7天,在重要敏感时期,高危漏洞有效处置的周期缩短至24小时之内。关键信息基础设施运营者在探索漏洞治理过程中,进一步摸清了资产的底数、认清了风险的由来,为下一步开展网络安全态势感知工作奠定了基础。
(本文刊登于《中国信息安全》杂志2018年第9期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。