近几年来,随着国内外形势的变化,信息安全的重要性日益提高,金融业作为安全防范的
重灾区,信息安全防控建设逐渐成为科技界的一项重要工作。据SkybMESecurity公司公布的
二零二零年上半年漏洞和威胁发展趋势评估报告,到二零二零年漏洞数将达到20000,达到历
史最高水平。
中间件类安全漏洞是高风险漏洞的高发领域,主要集中在应用中间件和Web中间件,常见的
中间件高风险漏洞如下:中间件安全漏洞具有易被利用、影响范围广、与应用密切相关等特
点,一些如java反序列化漏洞受JDK相关的功能机制限制,很难彻底修复,相应的漏洞也会
不断出现,因而中间件安全漏洞修复是一个长期、不断循环的过程,需要全面的流程和体系
来支持整个修复阶段,否则,漏洞修复将成为一种频繁的专项行动,造成大量不必要的人力
资源浪费,因而务必构建全面的漏洞项目生命周期体系管理。
中间件高风险漏洞如下:中间件安全漏洞具有易被利用、影响范围广、与应用密切相关等特
点,一些如java反序列化漏洞受JDK相关的功能机制限制,很难彻底修复,相应的漏洞也会
不断出现,因而中间件安全漏洞修复是一个长期、不断循环的过程,需要全面的流程和体系
来支持整个修复阶段,否则,漏洞修复将成为一种频繁的专项行动,造成大量不必要的人力
资源浪费,因而务必构建全面的漏洞项目生命周期体系管理。
该系统的生命周期包括:漏洞发现,漏洞评估,漏洞修复,漏洞验证。本论文的重点是漏洞
修复环节,从构建G行中间件安全漏洞修复系统下手,毛遂自荐,讨论安全漏洞的高效修复
方案。
修复环节,从构建G行中间件安全漏洞修复系统下手,毛遂自荐,讨论安全漏洞的高效修复
方案。
中间件安全漏洞修复系统构建-痛点识别。缺陷标准修复过程如图所示。它是一个通用的标
准过程,但在实际执行中会遇到以下问题:
准过程,但在实际执行中会遇到以下问题:
1.配置管理不够精确,漏洞影响范围需要编写检查脚本,在生产环境中进行全面的检查,
为避免遗漏,受影响的列表需要应用团队进行人工确认,确认耗时长,而且仍然容易遗漏。
为避免遗漏,受影响的列表需要应用团队进行人工确认,确认耗时长,而且仍然容易遗漏。
2.漏洞修复仅由安全团队提供的基本指导方案,例如打补丁或修改配置文件,这要求项目
组结合其自身的系统环境适配修复方案,从而导致项目组和中间件专业团队之间进行大
量的沟通确认。
组结合其自身的系统环境适配修复方案,从而导致项目组和中间件专业团队之间进行大
量的沟通确认。
3.修复测试要求不明确,部分系统为了避免生产实施风险,无论何种情况都务必进行全
功能和非功能的修复升级测试,测试工作量较大,导致修复完成周期大大延长。另外
一部分系统为了尽快修复漏洞,只做少量或不做任何测试,直接进行产品修复,容易
造成产品事故。
功能和非功能的修复升级测试,测试工作量较大,导致修复完成周期大大延长。另外
一部分系统为了尽快修复漏洞,只做少量或不做任何测试,直接进行产品修复,容易
造成产品事故。
4.每个系统测试的完成时间不同,跟踪测试结果需要大量人力资源,而且生产执行也只
能分散安排在各个系统测试完成时间,执行方案和时间的不确定使得操作人员疲于奔命
,而且生产版本零碎,生产漏洞修补很难跟踪。
能分散安排在各个系统测试完成时间,执行方案和时间的不确定使得操作人员疲于奔命
,而且生产版本零碎,生产漏洞修补很难跟踪。
