随着IT系统覆盖面的不断延伸发展，从传统的网络设备和服务器到B/S系统，单位内会建设越来越多的IT系统作为业务支撑，也因此存在了更多的安全漏洞风险。当单位内组织机构越复杂时，信息安全问题就会越突出，对于IT系统的漏洞风险处置也越来越困难。本文尝试以单位复杂组织机构的漏洞风险处置作为切入点，介绍在跨组织、跨区域环境下的安全漏洞测试基地的应用。

传统环境漏洞风险处置

当单位内部有多个组织机构建设的业务系统，或存在跨城市、省区域的分/子部门时，在安全漏洞处置上常常会处于各自为战状态，使得总部的信息安全管理部门无法及时有效的对分部门的IT安全风险进行管控。

在传统环境下进行漏洞风险处置时，检测到的安全漏洞常被分为三类：

较易整改漏洞：能够比较容易就可以进行加固整改的漏洞；

疑难漏洞：加固整改存在一定技术难度或修复所需时间较长，有较高修复门槛的漏洞；

无法整改漏洞：因技术或业务原因导致无法进行加固整改的漏洞。

对于较易整改的漏洞，因为修复门槛较低，组织内部能够在短时间内进行加固。但对于疑难漏洞就难以在短时间内加固修复，对于无法整改的漏洞更是无限延长了漏洞风险影响的窗口期，给单位信息安全带来比较严重的影响，降低了其整体的安全水平。

图1 传统环境漏洞风险处置

从图示1也不难发现，很多时候不同的组织内可能存在着通用的、甚至完全相同的安全漏洞，比如Struts2系列漏洞。通用的漏洞常常也具备较为通用的加固修复方式，能够形成一致的加固方案和安全知识，但是由于不同组织间职责分工问题、安全技术水平侧重度问题，在漏洞风险加固修复上较难做到及时有效的信息共享和联动。

另外从成本和业务风险方面考虑，一些分组织也未必愿意做第一个漏洞修复的尝试者，因此漏洞的加固修复更应该落实到愿意承担加固测试任务和具有一定条件的分组织上。

安全漏洞测试基地

在复杂的组织机构环境下通过建立安全漏洞测试基地的方式，尝试解决大、中型跨区域公司的IT漏洞风险问题。安全漏洞测试基地通过在总部从漏洞验证、漏洞加固、知识共享三个方面对分/子部门进行督导管理。安全漏洞测试基地示意图如图2所示。

验证任务：总部选择某一分组织作为验证某一漏洞是否存在并将验证过程生成知识文档的测试基地。测试基地接收到短信、E-Mail通知，登录平台查看详情，并进行线下漏洞验证。验证完成后，填写并上传验证结果报告，若存在此漏洞，则生成漏洞，状态为确认，进入安全漏洞处置流程；

验证方案：即分组织直接执行总部的验证方案进行验证漏洞是否存在。分组织接收到短信、E-Mail通知，登录平台查看详情，并按照方案进行漏洞验证。验证完成后，填写并上传验证结果，若存在此漏洞，则生成漏洞，状态为确认，进入安全漏洞处置流程；

图2 安全漏洞测试基地示意图

加固任务：总部选择某一分组织对某一漏洞的加固修复并将过程知识生成知识文档。测试基地接收到短信、E-Mail通知，登录平台查看详情，并进行加固实验。加固完成后，填写并上传加固方案，若成功加固，漏洞状态为加固完成；

加固方案：即分组织直接执行总部的加固方案进行加固并反馈加固结果。分组织接收到短信、E-Mail通知，登录平台查看详情，并按照方案进行加固。加固完成后，填写并上传加固结果，若成功加固，漏洞状态为加固完成；

漏洞消除：当漏洞状态标识为加固完成后，漏洞即为完成，形成归档后的安全漏洞。

除了由以上的漏洞验证、加固的两级联动形成的信息安全知识文档，还会有上级对下级部门的管理规定要求，比如日常IT信息安全巡检、重大活动保障等。无论是管理层面的文件要求，还是技术层面的知识文档，都是单位IT信息安全的宝贵财产。可以在总部侧建设信息安全知识库，对这些知识文档进行收纳归档，并可以基于这个基础进行管理和技术交流。

经验及思考

针对于组织机构比较多的大中型企业，尤其是在IT系统建设比较复杂的环境，信息安全管理尤为重要。但在实际的操作环节中，又由于各分部门之间职责定位不同、信息安全认识方向不同等原因，会存在很多问题。通过建立安全漏洞测试基地的方式，由总部主管部门进行统一的、制度化的督导管理，辅以绩效关联，可以比较容易的推动疑难杂症、治理周期长等问题的解决。