xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
添加文章 English Version

补丁管理最佳安全实践之资产评估


创建时间:2004-08-19
文章属性:原创
文章提交:edwin1111 (e.chen_at_rmgasia.com)

补丁管理最佳安全实践之资产评估

(version 1.1------基本思想没有改变,但是对文章进行了润色,对不合理的地方进行了改写)




一位经验丰富的旅行家,不论要去什么地方旅行,都会准备精良的地图和完善的相关人文地理资料。因为他知道,这可以帮助自己对各种情况做出正确的判断,制定可行的旅行计划,对将要面对的困难有所估计,有助于达到旅行的目的。
我们效法旅行家的做法,在动手实施补丁管理前,为自己准备一份完善的资料,资料由收集和整理企业信息资产得来,以类似旅行家的方式,组织成企业信息资产图和相关资料,目的是对补丁管理之所建立的环境和根基有一个明白的了解,以便以后我们做补丁管理的时候,能够对遇到的情况做出正确的判断。
首先,我们要为补丁管理界定一个范围,使之包含我们需要面对的漏洞和威胁,补丁管理在这个范围内起作用,我们的资产分析和评估也在这个范围内进行。这个范围必须足够小,使得我们容易搞明白这个范围内发生的任何问题,不至于由于范围过大,将杂七杂八的事情都扯进来,界定必须足够清晰,不会一头乱麻,扯不清楚。
在我们谈论漏洞的语境中,有一个隐含的前提,即由于带有漏洞的软件正在运行,可以被威胁,因此我们才谈论它,而含有漏洞但从不运行的软件,其漏洞不是我们谈论的范围,谈论它也毫无意义。由于漏洞在软件运行时才真正能够受到威胁,因此从这个意义上观察企业的信息网络,了解漏洞和威胁的影响,考虑补丁管理才有意义,于是我们看到正在运行的企业IT基础设施以及其上运行的企业信息系统会受到漏洞带来的威胁,因此,我们选取的范围是在运行的企业IT基础设施以及其上运行的信息系统,显然,对于我们的这个选取,漏洞、对漏洞的威胁以及相关的补丁都是在这个范围内起作用。
这里IT基础设施是指企业网络拓扑以及实现这个拓扑的交换机、路由器等网络设施,任何一个企业信息网络都需要IT基础设施作为支撑。在这个IT基础设施上,存在着各种应用,它们有的重要一些,有的不那么重要,在各种业务流程中担当某种角色,企业网络上的不同用户群体利用这些应用完成自己的工作。
其次,有了范围,我们还需要一个观察问题的切入角度,从这个角度出发,我们能够透彻了解企业信息资产,取得我们需要的资料。
我们观察企业信息资产和收集信息的目的,是想整理出一些纯技术的资料,即企业信息资产图以及相关资料,服务于补丁管理。需要观察的信息有2类:一类是系统和软件资料,以便找出可能存在的漏洞和威胁,一类是软件或者在企业IT环境中的作用,以便找出漏洞可能对业务带来的冲击。
因此,虽然从大的方面说,我们的观察对象是正在运行的动态的东西,但是我们真正感兴趣的是上述2类资料,这些资料具有静态的特点。
所以,我们从纯技术的角度出发,以静态的观点进行观察,先是观察企业IT基础设施的组成和结构特点,然后观察企业信息网络的各种业务流程,留意它们的组成、通信特点、关键服务器以及在企业事务中担当的角色,再观察网络上信息节点和网络节点的各自的本质和特点,以及在企业信息网络中所起的所用,最后观察业务流程在网络上的路径以及业务流程的组成节点。
选取观察角度是一个很复杂的问题,有必要让复杂的问题简单一些,从这样一个静态的技术角度,一方面我们可以撇开人的问题、管理的问题、法律问题、公众影响等等烦人的问题不考虑,容易得出清晰的印象,另一方面,也与我们希望相符,我们希望的是纯粹的技术信息。因此,选取这样一个技术角度应该是合适的,也大大简化了我们评估的难度。

第三,我们需要将收集的企业信息资产材料组织成信息资产图以及相关资料,我们知道地图是以一个非常直观和简便的2维平面作为基础,然后在上面按比例仔细标出山川、河流、城市和道路等重要的地理信息的图形。我们效法这个办法,也要先为企业资产信息图找出一个直观和简便的绘制基础,然后在上面标出关键的信息资产要素,来完成这个图形。
我们已经知道,企业的一切信息系统都依赖IT基础设施,并且一切信息系统在网络上最直观地反映是逻辑结构和数据流,这样,我们就找到了需要的基础------反映企业IT基础架构的企业网络逻辑结构图,使用这个有几个好处:
1.    IT基础架构是企业信息网络的基础,通常具有架构清晰,设备数量少而简单,结构相对稳定的特点,其逻辑结构图也具备同样的特点,
2.    由于任何信息系统都不能够超出IT基础架构的范围,那么,任何信息系统都可以在逻辑图上用关键设备坐标和数据流示意表示出来,
3.    网络中各种重要要素,例如:服务器、用户群等,很容易在逻辑图上面标示出来,
4.    逻辑图到实际网络部署图之间通常有对应关系,操作方便,
5.    运行在基础设施上的各种应用及业务流易于在上面标示出来。
所以,我们选取它作为基础。有了基础后,接下来应该找出适合在图上标示的要素,而不合适标示的将组织成表格等相关资料。
我们知道企业最终关心的不是什么补丁管理,而是运行在网络上的业务不要受到干扰。补丁管理只是面对安全威胁保障这一目的的手段而已,所以,我们就抓住企业网络上的业务流这个关键,从补丁管理的角度出发,分析漏洞及其威胁是通过那些关键因素起作用,从而干扰业务流的。

为着全面的考察起见,我们从3个角度观察企业的业务流及其生存环境:IT基础架构、业务流、用户群体。
从IT基础设施的角度:
1.    网络设备,例如:交换机,路由器等
我们发现只有网络设备会受到漏洞影响,网络设备的漏洞会影响企业的整个IT基础架构,这是显而易见的,我们不能想象基础设施崩溃而跑在上面的应用还能够正常运行的。所以,虽然企业网络逻辑图中必然包括了网络设备,我们还是要提出仔细审核,任何会受到漏洞影响的(关键)网络设备都应该在图上标明。
从业务流的角度:
1.    关键业务流的数据路径。
2.    业务流的用户群体(客户端)。
3.    业务流中担负重要角色的关键服务器。
4.    业务流的关键数据。
确切地说,我们对业务流的分析只能找到2类受到漏洞直接影响的因素:应用和系统,但是由于不好在图上标示,我们按照习惯上对业务流程要素的切分,将其人为的归纳为关键服务器和(使用客户端系统和应用的)用户群体,但是由于业务流直接影响与之密切相关的用户群体。另外,业务系统的关键数据存放点和关键的数据路径也要标示。
这样,我们在图上标示业务流的时候,不但可以看到业务流程的数据走向,还可以清晰地看到相关的关键服务器、关键数据的存放地,以及受影响的用户群体。另外,业务流程也有重要与否之分,有必要挑选。
从用户群体的角度:
1.    用户的操作系统。
2.    用户的(企业规定的)标准应用软件。
3.    其他应用软件。
4.    用户系统配置。
从前2个角度观察往往容易忽略客户端上的漏洞所造成的影响,其实,如果一个漏洞仅影响了个别的客户端确实无伤大雅,但是如果全公司大量的客户端因为同样的漏洞而被病毒感染就不是小事了,这种大规模的感染甚至可以引起企业网络的崩溃。 所以还要从客户端的角度看问题,不过一般来说,在这里客户端是作为一个个的用户群体来看待的,上面所列不必在图上标示,而是放在相关的用户群体资料表。
现在我们学会了绘制企业信息资产地图,先找到一个直观和方便的基础,然后针对我们的问题,从不同的角度观察问题,找出其中与问题相关的要素并使用合理的方式在地图上标示出来。
第四,信息资产图只能提供直观的和简明的东西,好像旅行家还要收集人文地理资料配合地图使用一样,我们还要收集和整理企业信息资产的各种详细资料,配合信息资产图使用才能获得最大的收益。
首先要补充的是对资产的重要性进行排序,以便在遇到困难时优先安排资源,其次,我们还要知道这些关键业务流对业务中断的忍受程度,以及对保密性、完整性和可用性的要求,再次,相关的软件版本、当前补丁信息、防护措施信息等也不能缺。另外,出现安全事故的时候的应对措施我们也要有。将这些东西组成各种列表补充进来,我们的评估才完整,企业信息资产图才能发挥大作用。值得注意的是,很多信息更新很快,有必要调查资产的当前安全现状情况并跟踪和记录安全变更。
最后,我们想讨论一下如何扩展这个评估,使之能够适应更加大型和复杂的资产评估,其实这很简单,TCP/IP协议为我们提供了很好的范例,我们可以对复杂的问题进行仔细分析,找出它包含哪些问题,然后进行归类并按照归类对问题进行划分,这样,一个复杂的问题就分解为若干不同领域的一串问题,可以在各自的地盘内加以解决,有兴趣的人可以参考TCP/IP模型的设计构想的相关资料。