在排山倒海的洪峰和毫不起眼的管涌中，你更害怕什么？可能更多人害怕后者。沒錯，因為洪峰不會從天而降且可以預見，但堤壩上一個逐漸滲水的管涌口，會悄悄掏空堤壩，最終釀成大禍。企業的信息安全防線就像一堵防洪大壩，一方面新的病毒、新的攻擊手段層出不窮，沖擊著這座堤壩，一方面企業不斷添置硬件和軟件系統，如果不能主動找出可能出現的安全漏洞，并提前防范，任何看似固若金湯的安全系統都會變成“馬其諾防線”。

雖然對漏洞的危害性，企業信息安全人員都心知肚明，但對于一個擁有各種不同品牌的硬件、不同操作系統、不同應用軟件的企業來說，即使窮盡IT部門的精力來“捉蟲”恐怕都捉不盡。根據美國計算機緊急響應小組協調中心（CERT/CC）的調查結果，計算機突發事件和漏洞數量正在不斷增長，平均每天公布的漏洞數量在40個以上，隨著發現漏洞數量的增長，系統受到攻擊的可能性以及相關費用也在不斷增加。因此，一個自動化、集成化、全局性的漏洞管理系統對企業就顯得十分必要了。

智能查缺

“企業應該把風險管理放在IT系統建設的首位。” 國際著名的信息安全專家，Foundstone公司（Foundstone,Inc.）首席執行官（CEO）喬治?庫爾茨（George Kurtz）在接受本刊越洋電話采訪時開宗明義，“首先要做的是把系統中危險的地方查出來。”庫爾茨是《黑客大曝光》（Hacking Exposed）一書的作者之一，該書在美國被奉為“信息安全界的圣經”，號稱“信息安全第一書”。

庫爾茨在他的安全咨詢職業生涯中完成了數百個防火墻、網絡和與電子商務相關的安全評估。2004年，Foundstone公司被McAfee公司（McAfee,Inc.）以8,600萬美元收購。

雖然很多企業已經采用了各種網絡安全漏洞的檢測工具，但是對如何確定哪些漏洞更嚴重，如何去堵住這些漏洞，往往仍然束手無策。企業真正需要的是一個能提供持續性的網絡安全漏洞評估管理系統，對于漏洞能查出、能分析、能堵住。群柏數碼科技有限公司市場總監王慧說：“企業內一個廢棄的路由器上不經意連著網絡的網口，都很有可能成為攻擊的入口。”

管理軟件廠商美國Altiris公司（Altiris,Inc.）大中華區銷售總監馮國興說：“企業進行漏洞評估的內容應該包括防病毒軟件的狀態、安全補丁的狀態、業界皆知的漏洞、個人防火墻的狀態、系統安全配置的設定、未授權軟件和未授權硬件這七大領域。”

庫爾茨的方法是“知己知彼，百戰不殆”，就是用仿真黑客攻擊的手法來檢測公司的網絡是否有不正確的設定與危險的漏洞，同時提供完整的管理機制，以方便管理者追蹤、記錄、驗證漏洞評估管理成效，同時通過量化的報表來真實地反映網絡安全問題。如Foundstone公司的弱點評估管理系統就是仿真黑客的行為模式，協助企業找出暴露在互聯網上的每一部主機、網絡服務，以及相關信息與漏洞，用黑客的方法檢查一個企業的網絡架構，了解整個網絡架構的變動狀況。

管好家底

自演一把黑客，用黑客的方法檢視自己的網絡為企業提供了一個不一樣的角度，但企業要梳理清楚自己的全部IT資產并不是舉手之勞。由于企業的IT建設都是循序漸進的，桌面電腦、服務器、存儲、路由器、交換機????硬件上林林總總，軟件方面，各種操作系統、數據庫、應用軟件，紛繁蕪雜。這些都成為病毒攻擊的目標。

2006年1月，《信息周刊》研究部發布了《2005年中美信息安全調查白皮書》，研究結果表明：“操作系統和應用軟件的漏洞，經常成為安全攻擊的入口。”在遭到安全攻擊的中國企業中，接近四分之三的企業都表示：攻擊來自于已知的操作系統漏洞；五分之二的企業表示：攻擊來自于未知的操作系統漏洞；接近三分之一的企業表示：攻擊來自于已知的應用軟件漏洞；而五分之一的企業則表示：攻擊來自于未知的應用軟件漏洞；還有四分之一的企業則承認：在過去的1年中，不適當的接入控制導致了安全攻擊。

庫爾茨認為：“第二步就是如何把企業所有的IT資產管理起來。不僅在企業里IT設施需要管理，員工攜帶的筆記本電腦同樣也需要管理。”

良好有效的資產管理對于消除死角、減少漏洞意義重大。由世界500強企業英國標準人壽保險公司和天津泰達投資控股有限公司共同創立的恒安標準人壽保險有限公司(下稱“恒安標準人壽公司”)的資產管理就是一個典型案例。恒安標準人壽公司的內部網絡連接了150多臺桌面電腦、筆記本電腦，20臺服務器和20多臺網絡設備，這些電腦和設備安裝的應用軟件五花八門，要把這些資產清查一遍不是件容易的事情，但不查往往就會漏洞百出。
 
恒安標準人壽公司信息技術總經理林新觀說：“公司內部的人員會調動，資產自然也會流動，如果完全靠人力來進行資產管理比較困難，有時候甚至無法進行下去，必須采用一個系統管理軟件，能夠完全自動化地對資產進行動態管理。”通過與國際商業機器公司（IBM）的合作，恒安標準人壽公司基于IBM公司的Tivoli軟件構建了一套資產管理系統。

現在，在恒安標準人壽公司的Tivoli系統上，管理員可以通過圖形化的界面看到每個終端的軟件安裝情況。如果有不允許安裝的非法軟件，系統會發電子郵件提出警告，如果員工不按警告提示盡快刪除非法軟件，就會有專門的管理人員去跟他交涉。原來恒安標準人壽公司進行資產更新檢查，需要花費一個禮拜甚至半個月的時間，而且需要一個行政人員、一個財務人員和一個IT支持人員共同參與。部署Tivoli系統之后，每臺設備的具體配置都由Tivoli軟件自動掃描管理，每當設備配置更新，Tivoli軟件能夠自動檢測、自動更新。如要查看IT資產狀況，只需要由Tivoli管理系統按照需求生成一張報表即可，整個過程不到1小時。該公司通過有效的管理，做到對公司所有的IT資產的狀況一目了然，大大降低了人為原因造成漏洞和安全隱患的可能性。

快速補漏

查出漏洞后就要及時修補漏洞，目前常用的方法是打補丁。但庫爾茨也認為“打補丁是比較被動的方式”，而且對于企業來說，收集、測試、備份、分發等相關的打補丁流程仍然是一個頗為繁瑣的過程。

美國Altiris公司大中華區銷售總監馮國興說：“雖然企業越來越重視補丁管理，但面對日益增多的補丁，IT人員難以識別和確定應當使用哪些補丁，首先進行哪些升級。”甚至補丁本身就有可能成為新的漏洞。顧能公司（Gartner）2005年的一項調查顯示：大部分安全威脅是由舊補丁、新補丁、新漏洞、錯誤設定和缺乏統一標準造成的。

解決補丁管理的混亂，企業首先需要建立一個覆蓋整個網絡的自動化補丁知識庫。相關人員通過自動掃描受管理的設備，對所有運行中的補丁程序進行集中查閱，然后分析各個補丁所針對的問題的嚴重性。

其次是部署一個分發系統。在恒安標準人壽公司，管理員就是通過Tivoli系統分發補丁軟件和病毒庫，提高運作效率，消除補丁分發所需的人工成本。而且自動化的補丁分發程序大大加快了補丁的部署速度，減少了漏洞暴露在互聯網上所帶來的威脅。現在，某些補丁分發程序，如Altiris公司的客戶管理套件（Client Management Suite）還能夠將程序包發送到遠程和移動用戶，并且采用動態帶寬控制和斷點續傳功能，大大提高了補丁分發的效率。

由于補丁是針對緊急情況的被動應變措施，往往并不能百分百保證與系統完全“嚴絲合縫”，因此在分發安裝補丁程序，需要做好備份工作。美國Altiris公司大中華區銷售總監馮國興說：“補丁管理程序需要集成備份與恢復程序，能夠快速、不留痕跡地恢復到原來的工作狀態。”這樣才能有效地減少補丁可能帶來的新的困擾。

不僅是補丁管理程序，整個漏洞管理系統還需要與企業的防入侵系統、防病毒系統等其他安全系統集成，構筑一條完整的風險管理防線。

McAfee公司對Foundstone公司的收購就是集成化趨勢的一個體現。Foundstone公司CEO庫爾茨說：“McAfee公司收購Foundstone公司后，我們會將漏洞管理與McAfee的入侵防護技術等產品線結合起來。”據國際數據公司（IDC）的報告，漏洞評估和管理及入侵檢測市場將在未來幾年得到較大增長，整個市場的收入在2008年將達16億美元。庫爾茨說：“雖然很多中國企業才剛剛感覺到風險管理的必要，但緊迫性仍然不言而喻。”

小貼士
美國計算機緊急響應小組協調中心（Computer Emergency Response Team Coordination Center, CERT/CC），成立于1988年，是一家美國聯邦政府支持的、從事互聯網安全研究的專門機構，位于卡內基梅隆大學（Carnegie Mellon University）。