3.3　参与者

前面已经讨论了高级管理者的支持对漏洞管理计划自顶向下贯彻的重要性。但是，还有其他一些参与者也承担着非常重要的角色，不容忽视。对他们角色的清晰定义，有助于防止纷争、促使开发过程合理、便于技术部署、激励个人及团队的漏洞管理工作分派。

漏洞管理计划的参与者基本分为两类。一类是贡献角色，他们协助计划的启动和运行。这些参与者不直接参与执行漏洞评估，但没有他们的帮助，评估将无法执行。另一类是操作者角色。这些参与者是日复一日直接执行漏洞管理技术的人员。他们执行扫描、漏洞评估、优先级与其组别相匹配。他们还确保漏洞管理技术在一个动态变化的环境中能够保持功能的持续优化。漏洞管理流程中的一些关键组包括资产拥有者、安全负责人、人力资源负责人、IT负责人、漏洞管理员、事件管理员、变更管理员，以及合规管理员。这些角色要么直接被包含在漏洞管理流程中，要么至少受它的重要影响。

3.3.1　操作者角色

即将开始运转的漏洞管理计划所包括的其他角色，要么直接要么间接的参与，都为该计划的有效性做出了巨大贡献。开发的早期阶段就需要确定这些角色，获得硬件和软件后，要进行更具体的修改。这是因为，选择的技术将影响人们工作的方式，与其他团队成员沟通的方式，以及他们之间的关系。如果一个自动化的流程实现了某个角色的关键活动，那么对该角色的需求将大大减少。

例如，起初按计划，应该有一位管理员来发现关键漏洞，并发布修复请求给相应的系统所有者或管理员。但是，随后选择的技术能自动进行该流程，于是最终只需要一个检查员就可以了。

1. 漏洞管理员
   该角色负责确保正确的配置和技术操作，以及创建、监控及发布需要的报告。这绝不是一个简单的管理员角色。该角色必须能读懂系统产生的技术报告，并能解释漏洞产生的原因和修复方法，需要有操作系统、网络和安全实践方面的知识。这一角色将与系统管理员和网络管理员打交道，确保漏洞检测和修复过程达标。
2. 事件管理员
   当出现高危漏洞时，必须有人承担修复责任。通常这个人就是受攻击的目标主机的所有者或管理员。这个人应该对目标主机的配置和操作有深入的了解，能对变更系统造成的影响进行评估。这个人，被称作事件管理员，将与漏洞管理员一起工作，共同完成必需的修复任务。事件管理员的责任是追踪分配的修复任务直至任务完成。有时候，该角色会与变更管理员的职能合并。例如，小公司可能派一个人同时完成工程师和管理员的工作。这个人需要负责接收事件、协调变更并分配修复工作。
3. 变更管理员
   在一个复杂的修复情况中，多个系统或业务功能可能受到复杂变更的影响，变更管理员需要像项目经理一样监督整个变更过程。该管理员需要通知受影响的各方、协调行动、执行测试或确保完成了适当的测试，以及同漏洞管理员一起验证结果是否合规。
4. 合规管理员
   该角色通常是一个接受者、一个漏洞管理系统的最终用户，或者是一个主要受益人。常见的合规检测活动是，合规管理者要确保公司使用的系统符合策略和标准。该管理员通常是漏洞管理系统报告的接受者或顾客。更重要的是，在一个动态的环境中，合规管理员将审核趋势报告，判断系统中是否重复出现导致不合规结果的持续或重复活动。这使得合规管理员能够发现该组织流程中重复导致偏离策略的流程。

在一个采用服务品质协议（Service Level Agreement, SLA）而建立的服务等级环境中，漏洞管理的计划管理员可能会为合规管理员创建一个SLA，以确保按所需的频率进行审计，对每个目标持续进行适当的核查。通过漏洞扫描报告，就能进行简单且容易的度量。

3.3.2　贡献者角色

最常见的对漏洞管理流程有贡献的角色群体是：资产所有者、人力资源、IT及安全部门。你可能有点奇怪，认为安全部门应该是操作者角色，而不是贡献者角色。虽然安全部门是系统主要的操作者，但我们站在更高、更抽象层面可以将安全部门当做一个客户，他们为漏洞管理流程的需求做出了贡献。

1. 资产所有者
   资产所有者是那些最终买单并获得最大利益的人。他们掌管着财务的支付，因此在该做什么上有相当重要的话语权。在很多公司，资产所有者就是产品购买者，常常发生账单拒付或直接购买的情况。这在中、高层管理者中体现得最为明显。

一般的IT工作人员很自然地把他们管理的系统当做是自己的。这种物主身份感不是实际可见的，但却是一种确实存在的感情依恋。在一个大公司中，当需要制订计划对资产的安全性进行评估时，取得资产管理者的合作将能产生更好的成效。在进行资产关键的安全性评估时，收起对资产的个人情感将有助于提高评估结果的客观性。资产所有者有两个非常重要的贡献：资产分级（asset classification）和定价（valuation）职能，这两件事不能也不应该由系统管理员来执行。关于这点，将在介绍漏洞管理计划的规划和执行时展开讨论。

1. 安全部门
   安全部门工作人员通常是直接与漏洞管理打交道的人。但是，对于特别关注服务管理（即ITIL服务管理框架中描述的服务管理）的公司，可能只是将漏洞管理作为服务管理的一个部分。不论哪种情况，安全部门和IT部门都应当保持密切合作的关系。这种关系将使漏洞管理实现起来更容易并能获得更好的内部支持。

由于安全是漏洞管理系统的终极目标，因此安全部门自然是漏洞管理计划关键的参与者，并很有可能是漏洞管理程序完全的所有者和操作者。但是，根据业务的类型，也可能是别的团队（如合规团队）承担这个角色。例如，特别倚重支付卡行业（PCI）标准合规的公司可能希望合规部门获得漏洞管理的所有权，而将安全部门作为顾客和关键成员，与之密切合作。

1. 人力资源部门
   人力资源部门（HR）是最容易被忽视的部门之一。漏洞管理系统常常发现关键的合规问题，这些问题有时甚至可能成为员工导致的安全事故的证据。HR是报告流程中的很重要的角色，并在安全策略中起着“指挥棒”的作用。最终，HR帮助处理员工的所作所为给公司造成的风险。当需要提起诉讼而不仅仅是进行打补丁和配置管理时，开发出来的任何报告流程都要考虑同HR的关系。

HR也被包括在创建和维护绩效管理计划的工作中。经过仔细的规划，可以将漏洞修复的绩效同员工的绩效目标挂钩。为了实现这一点，可能需要让HR对漏洞管理程序和支撑系统的工作模式有一个清晰的理解。然后HR就能与漏洞管理程序管理者协同工作，一起决定在管理员工时可能遇到的冲突调解过程中，各自应当承担什么样的角色。

1. IT部门
   很显然，信息技术同技术和流程密切相关。如果你作为安全管理或合规小组的成员单独工作，建议找一位IT项目经理做搭档，来实现技术部署。一个高层IT管理者对系统和网络修复也能提供很大帮助。漏洞管理程序管理者应该与高层IT管理者合作，共同开发流程、任命监管工作的负责人。你很可能需要从管理者那里得到一些最初的指示，然后提出流程方案。切记提供一张流程图。IT人员能很好地在图表配合下工作，一般都很擅长分析已有设计。