安全小洞不補，大洞吃苦

庫爾茨的方法是“知己知彼，百戰(zhàn)不殆”，就是用仿真黑客攻擊的手法來檢測公司的網(wǎng)絡(luò)是否有不正確的設(shè)定與危險的漏洞，同時提供完整的管理機制，以方便管理者追蹤、記錄、驗證漏洞評估管理成效，同時通過量化的報表來真實地反映網(wǎng)絡(luò)安全問題。如Foundstone公司的弱點評估管理系統(tǒng)就是仿真黑客的行為模式，協(xié)助企業(yè)找出暴露在互聯(lián)網(wǎng)上的每一部主機、網(wǎng)絡(luò)服務(wù)，以及相關(guān)信息與漏洞，用黑客的方法檢查一個企業(yè)的網(wǎng)絡(luò)架構(gòu)，了解整個網(wǎng)絡(luò)架構(gòu)的變動狀況。

管好家底

自演一把黑客，用黑客的方法檢視自己的網(wǎng)絡(luò)為企業(yè)提供了一個不一樣的角度，但企業(yè)要梳理清楚自己的全部IT資產(chǎn)并不是舉手之勞。由于企業(yè)的IT建設(shè)都是循序漸進的，桌面電腦、服務(wù)器、存儲、路由器、交換機????硬件上林林總總，軟件方面，各種操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件，紛繁蕪雜。這些都成為病毒攻擊的目標。

2006年1月，《信息周刊》研究部發(fā)布了《2005年中美信息安全調(diào)查白皮書》，研究結(jié)果表明：“操作系統(tǒng)和應(yīng)用軟件的漏洞，經(jīng)常成為安全攻擊的入口?！痹谠獾桨踩舻闹袊髽I(yè)中，接近四分之三的企業(yè)都表示：攻擊來自于已知的操作系統(tǒng)漏洞；五分之二的企業(yè)表示：攻擊來自于未知的操作系統(tǒng)漏洞；接近三分之一的企業(yè)表示：攻擊來自于已知的應(yīng)用軟件漏洞；而五分之一的企業(yè)則表示：攻擊來自于未知的應(yīng)用軟件漏洞；還有四分之一的企業(yè)則承認：在過去的1年中，不適當(dāng)?shù)慕尤肟刂茖?dǎo)致了安全攻擊。

庫爾茨認為：“第二步就是如何把企業(yè)所有的IT資產(chǎn)管理起來。不僅在企業(yè)里IT設(shè)施需要管理，員工攜帶的筆記本電腦同樣也需要管理。”
良好有效的資產(chǎn)管理對于消除死角、減少漏洞意義重大。由世界500強企業(yè)英國標準人壽保險公司和天津泰達投資控股有限公司共同創(chuàng)立的恒安標準人壽保險有限公司(下稱“恒安標準人壽公司”)的資產(chǎn)管理就是一個典型案例。恒安標準人壽公司的內(nèi)部網(wǎng)絡(luò)連接了150多臺桌面電腦、筆記本電腦，20臺服務(wù)器和20多臺網(wǎng)絡(luò)設(shè)備，這些電腦和設(shè)備安裝的應(yīng)用軟件五花八門，要把這些資產(chǎn)清查一遍不是件容易的事情，但不查往往就會漏洞百出。

恒安標準人壽公司信息技術(shù)總經(jīng)理林新觀說：“公司內(nèi)部的人員會調(diào)動，資產(chǎn)自然也會流動，如果完全靠人力來進行資產(chǎn)管理比較困難，有時候甚至無法進行下去，必須采用一個系統(tǒng)管理軟件，能夠完全自動化地對資產(chǎn)進行動態(tài)管理。”通過與國際商業(yè)機器公司（IBM）的合作，恒安標準人壽公司基于IBM公司的Tivoli軟件構(gòu)建了一套資產(chǎn)管理系統(tǒng)。

現(xiàn)在，在恒安標準人壽公司的Tivoli系統(tǒng)上，管理員可以通過圖形化的界面看到每個終端的軟件安裝情況。如果有不允許安裝的非法軟件，系統(tǒng)會發(fā)電子郵件提出警告，如果員工不按警告提示盡快刪除非法軟件，就會有專門的管理人員去跟他交涉。原來恒安標準人壽公司進行資產(chǎn)更新檢查，需要花費一個禮拜甚至半個月的時間，而且需要一個行政人員、一個財務(wù)人員和一個IT支持人員共同參與。部署Tivoli系統(tǒng)之后，每臺設(shè)備的具體配置都由Tivoli軟件自動掃描管理，每當(dāng)設(shè)備配置更新，Tivoli軟件能夠自動檢測、自動更新。如要查看IT資產(chǎn)狀況，只需要由Tivoli管理系統(tǒng)按照需求生成一張報表即可，整個過程不到1小時。該公司通過有效的管理，做到對公司所有的IT資產(chǎn)的狀況一目了然，大大降低了人為原因造成漏洞和安全隱患的可能性。

快速補漏

查出漏洞后就要及時修補漏洞，目前常用的方法是打補丁。但庫爾茨也認為“打補丁是比較被動的方式”，而且對于企業(yè)來說，收集、測試、備份、分發(fā)等相關(guān)的打補丁流程仍然是一個頗為繁瑣的過程。美國Altiris公司大中華區(qū)銷售總監(jiān)馮國興說：“雖然企業(yè)越來越重視補丁管理，但面對日益增多的補丁，IT人員難以識別和確定應(yīng)當(dāng)使用哪些補丁，首先進行哪些升級?！鄙踔裂a丁本身就有可能成為新的漏洞。顧能公司（Gartner）2005年的一項調(diào)查顯示：大部分安全威脅是由舊補丁、新補丁、新漏洞、錯誤設(shè)定和缺乏統(tǒng)一標準造成的。解決補丁管理的混亂，企業(yè)首先需要建立一個覆蓋整個網(wǎng)絡(luò)的自動化補丁知識庫。相關(guān)人員通過自動掃描受管理的設(shè)備，對所有運行中的補丁程序進行集中查閱，然后分析各個補丁所針對的問題的嚴重性。

其次是部署一個分發(fā)系統(tǒng)。在恒安標準人壽公司，管理員就是通過Tivoli系統(tǒng)分發(fā)補丁軟件和病毒庫，提高運作效率，消除補丁分發(fā)所需的人工成本。而且自動化的補丁分發(fā)程序大大加快了補丁的部署速度，減少了漏洞暴露在互聯(lián)網(wǎng)上所帶來的威脅?，F(xiàn)在，某些補丁分發(fā)程序，如Altiris公司的客戶管理套件（Client Management Suite）還能夠?qū)⒊绦虬l(fā)送到遠程和移動用戶，并且采用動態(tài)帶寬控制和斷點續(xù)傳功能，大大提高了補丁分發(fā)的效率。

由于補丁是針對緊急情況的被動應(yīng)變措施，往往并不能百分百保證與系統(tǒng)完全“嚴絲合縫”，因此在分發(fā)安裝補丁程序，需要做好備份工作。美國Altiris公司大中華區(qū)銷售總監(jiān)馮國興說：“補丁管理程序需要集成備份與恢復(fù)程序，能夠快速、不留痕跡地恢復(fù)到原來的工作狀態(tài)?！边@樣才能有效地減少補丁可能帶來的新的困擾。

不僅是補丁管理程序，整個漏洞管理系統(tǒng)還需要與企業(yè)的防入侵系統(tǒng)、防病毒系統(tǒng)等其他安全系統(tǒng)集成，構(gòu)筑一條完整的風(fēng)險管理防線。
McAfee公司對Foundstone公司的收購就是集成化趨勢的一個體現(xiàn)。Foundstone公司CEO庫爾茨說：“McAfee公司收購Foundstone公司后，我們會將漏洞管理與McAfee的入侵防護技術(shù)等產(chǎn)品線結(jié)合起來?！睋?jù)國際數(shù)據(jù)公司（IDC）的報告，漏洞評估和管理及入侵檢測市場將在未來幾年得到較大增長，整個市場的收入在2008年將達16億美元。庫爾茨說：“雖然很多中國企業(yè)才剛剛感覺到風(fēng)險管理的必要，但緊迫性仍然不言而喻?！?BR>小貼士

美國計算機緊急響應(yīng)小組協(xié)調(diào)中心（Computer Emergency Response Team Coordination Center, CERT/CC），成立于1988年，是一家美國聯(lián)邦政府支持的、從事互聯(lián)網(wǎng)安全研究的專門機構(gòu)，位于卡內(nèi)基梅隆大學(xué)（Carnegie Mellon University）。(信息周刊)