2006年10月,国际内部审计师协会(IIA)发布了第六号全球信息技术审计指南——GTAG6(Global Technology Audit Guide 6),主要描述了目前企业IT资产漏洞管理的现状,概述了漏洞管理的工作流程,以及如何评价企业的IT漏洞管理工作,为内部审计人员更好地帮助企业减小和避免损失提出了准则性的指南。虽然GTAG6只是一个准则性的指南,但其对漏洞管理和漏洞审计提出了前瞻性的对策,尤其是在漏洞治理的问题上并不单纯的从技术角度,而是从企业整体的角度出发提出了一些系统的规范的管理程序,值得深入研究。 一、漏洞对企业的威胁 漏洞是指企业的IT资产中任何有可能导致其保密性、完整性和可用性缺失的弱点或缺陷。据美国国家漏洞数据库统计,每年有大约5000个新漏洞被发现,其中40%具有高破坏性。全球发生的黑客事件、商业IT犯罪案例等已举不胜举了,而这些对网络系统的攻击无一不是利用了网络或者计算机中的漏洞。因此,企业IT漏洞管理和审计的重要性不言而喻。漏洞给企业带来的风险也许是潜在的,但一旦没有经过合理的处理而使风险成为现实,对企业的影响是相当沉痛的。其影响通常表现在三方面:第一,可能导致企业的保密信息失窃,企业的一些商业机密可能被侵入者获得,从而导致企业在市场上失去主动性和商机。第二,可能导致企业的客户服务中断,使企业不能为其客户提供正常的服务,影响企业与客户的关系,导致企业失去商业信誉。第三,可能直接攻击企业的内部网络,造成企业内部网络瘫痪,扰乱企业的正常运营。当然对企业来说,最终的影响都是造成经济利益的流失。 二、漏洞管理的工作流程 1、扫描漏洞。漏洞的扫描主要是技术性工作,大致上可分为三个步骤。首先,企业应对自己所拥有和在用的IT资产有清楚的了解,要先分清那些设备是被完全控制的以及哪些不是,并且弄清楚企业内部网络的结构和周边的网络环境,制定一份IT资产及其状态的详细清单和网络结构示意图,简单地说就是要建立一个完整的资产管理程序;其次,要对IT资产进行漏洞扫描,通常要用专用的扫描设备和软件,比如防火墙技术,Tripwire软件等,这些设备和软件要定期更新,并对资产进行实时监控并报告扫描结果;再次,要对扫描结果进行验证,确认漏洞是否真实存在。 2、风险评估和缓急排序。企业通常所需要处理的漏洞是非常多的,处理起来也需要一定时间。因此,在验证漏洞的真实性后,审计人员要对漏洞进行风险评估,根据对企业影响的大小以及治理漏洞所需要的成本,按照成本收益原则和其他一些原则进行缓急排序。在这一过程中,审计人员必须建立一套能够快速应用的风险衡量程序来应对每一个漏洞。GTAG6中提出一套漏洞管理的原则性机制,对关键性的漏洞应该由一个事件管理程序处理,对突发性事件采取及时有效的措施;对非关键性的漏洞应由变动管理程序处理,变动管理程序是一套标准的漏洞管理程序;最后应有一套修正管理程序来协调漏洞处理工作并更新改进后的配置。 3、治理漏洞。当我们处理关键性漏洞时,一般是采用事件记录系统。外界对系统的攻击一般都是利用系统漏洞侵入内部网络并更改系统配置,事件记录系统能够对访问和系统变更进行记录,当IT安全人员发现未授权的变更时就会警惕是否有漏洞被攻击。而对于大多数的非关键性漏洞,我们需要一个与系统的配置管理程序相结合的漏洞管理程序,当发现漏洞时能自动及时采取最有效的弥补措施。在漏洞治理中,GTAG6特别指出了漏洞管理成功的关键在于IT安全部门和IT管理部门建立起良好的关系,并且治理工作得到领导层的支持和坚决执行。这些都要得力于内部审计人员的工作。 4、持续改进。企业的漏洞管理工程是一个不断完善不断改进的过程,一个企业的漏洞管理水平的提升必须做好以下几方面工作:一是建立预警机制,在IT安全人员检测并追踪到漏洞后,应该通知变更管理程序采取必要的措施,这需要IT安全部门与其他部门之间建立高效的通信机制;二是使IT安全部门和IT管理部门的水平保持一致,安全部门是第一个发现漏洞的,但具体实施治理工作的却是IT管理部门,因此保持两个部门的管理水平一致才能保证漏洞管理工作在第一时间得到落实;三是采用自动化管理,一些程序化的工作如漏洞扫描、配置补丁、更新状态、报告等利用计算机来做能大大提高漏洞管理的效率;四是利用以前的漏洞治理经验来指导未来的工作,漏洞的数量虽多,但其类型是有限的,建立漏洞数据库,对已发现的漏洞进行归档分析,再发现同种类型的漏洞时就能很快找到解救之道。 三、在漏洞管理中内部审计人员的职责 1、让漏洞管理得到领导层的重视。由于IT资产在现代企业中的重要性,IT控制已成为企业内部控制体系中的一部分。一个合格的内部审计人员应该使领导层认识到漏洞控制的重要性,力争得到领导层对漏洞治理工作的支持,及时向领导层汇报漏洞治理工作的最新进展,使漏洞治理成为一项不间断不松懈的长期性日常性工作。 2、评价IT漏洞管理工作。评价是内部审计人员的职能。内部审计人员对企业漏洞管理工作的评价包括两个方面:一方面是对漏洞给企业带来的风险进行评价,主要根据漏洞的关键性、企业的内部需求、合规性、治理成本以及对企业的影响几个因素进行综合评价。另一方面是对企业的漏洞管理工作的成熟度进行评价。 3、向领导层提出合理建议。内部审计人员对企业IT漏洞管理的最大贡献在于向企业提供针对漏洞管理的指南和准则,建立完善的漏洞管理程序,并在充分考虑企业内部需要和合规性要求的基础上,向领导层提出对可能存在的漏洞或风险的看法以及合理化建议,帮助管理者避免安全事件和违规事件的发生,使企业免受经济损失。