管理实践.原创 | 不对漏洞进行修复的安全管理

一、前言

  "漏洞修复"是安全管理的重要内容，很多安全管理者谈到"打补丁"都非常头痛，担心打完补丁会影响业务系统的正常运行。是否有不修复漏洞，同时能保障业务系统安全运行的好方法？当然有，这篇文章告诉你。

  笔者在漏洞管理方面具有多年的实践，现分享部分经过实战检验的"干货"给大家，相信一定能助力大家提升安全管理水平，同时欢迎各位安全管理者联系笔者进行交流。

  本公众号发表的内容不包含企业秘密，仅代表个人言论，仅供各位参考。

二、一个故事

  很多年前，某机构安全管理者向笔者咨询等级保护测评的应对措施，情况是机构被测评单位扫描发现数据库存在漏洞，机构不想修复漏洞。笔者的回复是：我们不会让测评机构扫描到数据库，数据库仅限相应的应用系统服务器访问！安全管理者秒懂，进行简单的安全防护配置后顺利通过等级保护测评。

三、不被利用的漏洞可以忽略

  修复漏洞的初衷是不希望漏洞被攻击者利用，如果可以控制攻击者无法利用漏洞也就实现了与修复漏洞一样的安全管理效果。如上述故事中的场景，严格控制对数据库的访问，同时保护好应用系统服务器的安全，此时数据库的漏洞就不会被利用，也就可以忽略。

四、管理实践

  为了让读者更容易理解，以下通过举例的方式进行详细说明，有条件的读者可以参照单位的实际情况进行系统加固。

1、采用网络防火墙进行隔离

图片

  上图中数据库服务器(10.10.10.88)存在MySQL某漏洞，可以在网络防火墙配置一条仅允许应用服务器(172.16.16.6