引言：企業(yè)的信息安全管理是一項管理與技術(shù)結(jié)合的工作，著重側(cè)重其中一方最后往往收效甚微，因此在安全脆弱性管理這樣的工作中也要充分考慮管理層面的可落地性，并逐步思考完善系統(tǒng)化的管理方法。

隨著企業(yè)信息化程度的提升，大中型企業(yè)擁有大量的IT系統(tǒng)，企業(yè)關(guān)鍵的信息資產(chǎn)也正是分布在這其中。來自企業(yè)外部的攻擊日新月異，深入企業(yè)內(nèi)部逐步入侵核心資產(chǎn)的攻擊模式越來越多。企業(yè)信息安全的防護(hù)逐漸向兩個分支發(fā)展：一支緊盯攻擊者、跟蹤其行動路線、推理其使用工具、確定攻擊動機(jī)，是對攻擊者的研究；一支著重內(nèi)部安全風(fēng)險的檢測、加固、防御，是對防御者的研究。而本文將要探討的就是后者，如何能將企業(yè)內(nèi)部的安全風(fēng)險快速準(zhǔn)確的檢測出來并且閉環(huán)處理。

當(dāng)前，檢測安全脆弱性的系統(tǒng)及工具都日趨成熟，其細(xì)分產(chǎn)品類型也非常龐大，安全管理人員在使用這些檢測工具時，面臨了如下問題：檢測結(jié)果在各個工具中導(dǎo)致展示維度各不相同；脆弱性無法統(tǒng)一展示：脆弱性整改工作繁瑣：整改工作的整個流程沒有系統(tǒng)支持：不斷產(chǎn)生的問題和不及時的響應(yīng)導(dǎo)致管理錯亂。

解決方案

要解決當(dāng)前脆弱性管控工作中的問題，要完成以下要點：

1.統(tǒng)一展示入口、統(tǒng)一下發(fā)工作、統(tǒng)一處理入口；

2.企業(yè)組織的各個結(jié)點上的各個檢查專題都可以隨意組合；

3.要展示安全脆弱性“現(xiàn)狀”，即“當(dāng)前”存在的“問題列表”；

4.任務(wù)結(jié)果實時更新表要含有所有任務(wù)結(jié)果的信息，且需要去重的、實時更新過的，展示內(nèi)容需要篩選；

5.統(tǒng)一檢查任務(wù)的管理。避免“重復(fù)”檢查；

6.檢查結(jié)果要簡潔明了,避免一些復(fù)雜的檢查狀態(tài)帶來的結(jié)果混淆；

7.結(jié)果是衡量脆弱性的唯一標(biāo)準(zhǔn),不會因檢查項的問題去撤銷對問題設(shè)備的判斷，也不會因為現(xiàn)網(wǎng)實際整改困難，而取消整改提示。

系統(tǒng)設(shè)計

1.整體流程設(shè)計

為實現(xiàn)解決方案中描述的方法，需要對系統(tǒng)做整體上的流程設(shè)計，分析關(guān)鍵的參與人員、閉環(huán)處理過程中的數(shù)據(jù)流向。

系統(tǒng)化過程中的關(guān)鍵環(huán)節(jié)：

總負(fù)責(zé)的管理者啟動或者一般管理者啟動任務(wù)檢查；

角色鑒權(quán)，判斷檢查的數(shù)據(jù)權(quán)限和崗位權(quán)限適用的檢查范圍；

在眾多的檢查任務(wù)中，選擇本次所要進(jìn)行的檢查專題；

將檢查結(jié)果按設(shè)備更新到實時更新表中，這樣保證了在任務(wù)完成一部分的情況下，仍有效輸出檢查結(jié)果，并且使用戶時刻都能看到最新的脆弱性結(jié)果；

將結(jié)果按照組織結(jié)構(gòu)進(jìn)行分發(fā)；

生成更為詳細(xì)的脆弱性明細(xì)表；

安全接口人查看自己組織下的安全問題，進(jìn)行線下整改；

在整改過程中隨時可自定義任務(wù)進(jìn)行“復(fù)查”；

整改報告作為設(shè)備脆弱性結(jié)果的一部分更新到實時更新表中；

匯總所有檢查任務(wù)結(jié)果呈現(xiàn)給安全管理負(fù)責(zé)人。

分析結(jié)果變更歷史對比檢查結(jié)果，得出整改工作的成效。

2.工作角色

安全管理員：具有各專項能力（基線配置、弱口令、防火墻策略、URPF、系統(tǒng)漏洞、內(nèi)網(wǎng)Web漏洞、外網(wǎng)Web漏洞）自查、復(fù)查和統(tǒng)一檢查權(quán)限；查看各專項能力的問題明細(xì)、問題出現(xiàn)次數(shù)、整改情況等權(quán)限；查詢權(quán)限內(nèi)系統(tǒng)未連通設(shè)備明細(xì)、設(shè)備問題明細(xì)和問題匯總權(quán)限；按“開始時間與結(jié)束時間”、“檢查的組織范圍”、“檢查類型”條件增刪改快照和查詢快照組織系統(tǒng)的問題整改情況。

安全接口人：各專項能力（基線配置、弱口令、防火墻策略、URPF、系統(tǒng)漏洞、內(nèi)外網(wǎng)Web漏洞）自查、復(fù)查和統(tǒng)一檢查權(quán)限；查看各專項能力的問題明細(xì)、整改情況等和進(jìn)行整改情況報備權(quán)限；查詢權(quán)限內(nèi)系統(tǒng)未連通設(shè)備明細(xì)、設(shè)備的問題明細(xì)和問題匯總權(quán)限。

3.綜合調(diào)度

連通率、基線、弱口令、防火墻策略核查、URPF、系統(tǒng)漏掃等任務(wù)的統(tǒng)一自動調(diào)度包括了執(zhí)行順序、執(zhí)行優(yōu)先級、各組件內(nèi)部任務(wù)的自動協(xié)調(diào)。任務(wù)的狀態(tài)應(yīng)集中展示在綜合調(diào)度上，任務(wù)是否啟動、啟動后執(zhí)行中的任務(wù)狀態(tài)、中斷行為的展示。

執(zhí)行任務(wù)過程中，任務(wù)下發(fā)人若因系統(tǒng)占用或發(fā)現(xiàn)錯誤情況可能需要終止綜合任務(wù)，此時各模塊產(chǎn)生的報告和結(jié)果文件已完成的部分需要更新和記錄。插入任務(wù)則需要系統(tǒng)后臺設(shè)置好各模塊的執(zhí)行優(yōu)先級，對當(dāng)前正執(zhí)行的任務(wù)采取掛起操作。

綜合調(diào)度任務(wù)涉及到各個脆弱性系統(tǒng)模塊的整合，下發(fā)后執(zhí)行過程中必然存在任務(wù)執(zhí)行異常，異常需要任務(wù)下發(fā)人通過各種異常信息提示聯(lián)系到能夠處理的人。那么調(diào)度系統(tǒng)一方面要提供異常情況的預(yù)判能力，另一方面提供異常處理的建議，類似于資源連通性測試時產(chǎn)生網(wǎng)絡(luò)不通、資源未接入等情況的錯誤信息提示。

模板自適應(yīng)，當(dāng)使用任務(wù)模板時，系統(tǒng)對模板中選定的設(shè)備所在的組織結(jié)構(gòu)進(jìn)行實時查詢，對比模板，若發(fā)現(xiàn)新增或已下線設(shè)備的情況，直接更新為實時的資源列表，若此前模板并未覆蓋全部資源而是個別資源的話，應(yīng)提示所選資源發(fā)生變動，同時更新為最新情況。

4.整改流程

綜合檢查完成后，生成的檢查結(jié)果應(yīng)分發(fā)給各安全接口人，讓其參與整改，并反饋整改完成項與未完成項，未完成項需填寫誤報和無法整改的備注。整改三種狀態(tài)：已整改、無法整改、誤報。

檢查結(jié)果的生成過程中，按照組織結(jié)構(gòu)維度進(jìn)行組裝。

在報告按照組織結(jié)構(gòu)輸出后，還需要對應(yīng)到組織的安全接口人，用以在安全接口人登錄后在其待辦中顯示。待辦中需有詳實的待整改設(shè)備列表，清楚展示設(shè)備存在哪幾類問題、每類問題個數(shù)、問題的詳細(xì)信息等。

因檢查結(jié)果實時更新，對專項檢查來說整改率是項考察組織側(cè)日常安全工作開展的重要指標(biāo)，但整改周期長時，對組織的評價很難通過歷史時間判斷其整改的最終效果。當(dāng)前漏洞數(shù)里有專項檢查后官方發(fā)布的新漏洞或因系統(tǒng)配置導(dǎo)致新增的漏洞，因此：整改率“必須是“一個比較過的結(jié)果，而非單純的數(shù)字計算，例如1月0個漏洞，2月 A、B、C、D4個漏洞，3月 5日查看時B、C、D、E4個漏洞，那么2月整改率是25%。關(guān)于誤報，是參與到整改率的計算中，被認(rèn)為是”已處理的“、”非遺留的“項，在計算時分子和分母中都有”誤報項“參與計算。

對安全接口人來說，收到檢查結(jié)果后，應(yīng)按結(jié)果對權(quán)限下設(shè)備進(jìn)行整改，整改完成后報送一個“整改完成”的結(jié)果即可，但整改過程中會遇到兩種情況誤報和無法整改，如遇需添加整改備注。誤報：由于檢查項或檢查方式不適用于檢查設(shè)備，造成的檢查結(jié)果錯誤。無法整改：因設(shè)備處關(guān)鍵系統(tǒng)，不允許宕機(jī)等原因無法完成漏洞修補的情況。組織安全接口人會根據(jù)實際情況在報送整改時，追加誤報和無法整改兩種情況的備注。整改備注包括正常整改內(nèi)容的備注、誤報情況、無法整改等三方面內(nèi)容，執(zhí)行一次任務(wù)后，之后的復(fù)查結(jié)果（界面展示和報告）上會一直標(biāo)識整改備注（誤報和無法整改）。

5.綜合呈現(xiàn)

檢查結(jié)果包含多種檢查的報告整合，且需要按照不同維度展現(xiàn)并預(yù)置其可查看的權(quán)限，功能相對復(fù)雜因此作為單獨模塊表述。

系統(tǒng)中的這張匯總表處于動態(tài)加載狀態(tài)，一旦有某項任務(wù)執(zhí)行導(dǎo)致了結(jié)果的變動，此表都需要更新。

為支持后續(xù)的分析、展示、標(biāo)識乃至未來的評分，檢查結(jié)果都需要進(jìn)行統(tǒng)一的標(biāo)準(zhǔn)化處理以滿足變更、擴(kuò)展、關(guān)系對應(yīng)等要求。

展示內(nèi)容需按照“任務(wù)”作為基本線條來展示，“任務(wù)”表示了用戶對某個例行或?qū)ｍ棛z查的計劃，任務(wù)是由“開始時間與結(jié)束時間”、“檢查的組織范圍”、“檢查專題的范圍”三個要素構(gòu)成。

綜合調(diào)度檢查后，輸出的內(nèi)容龐雜，應(yīng)提供簡便易讀的最終輸出物報表和視圖。

通過多次檢查后，會出現(xiàn)某些組織在某項指標(biāo)上一直存在問題，例如系統(tǒng)資源上存在漏洞，經(jīng)過3次檢查漏洞依然存在，這除了誤報和無法整改還可能由于安全接口人消極處理導(dǎo)致，因此對此類問題應(yīng)輸出相應(yīng)的展示及報表。展示內(nèi)容包括了該問題被檢查出的歷史任務(wù)列表、整改備注、整改后消除不達(dá)標(biāo)項的時間。

總結(jié)

該方法從實際工作場景出發(fā)，將工作入口、工作成果做統(tǒng)一的處理，最終令脆弱性處理工作符合使用習(xí)慣和工作需要。這種基于工作場景的創(chuàng)新具有創(chuàng)新意義。

按照本文提供的方法進(jìn)行脆弱性管理將使脆弱性管理工作得心應(yīng)手，符合參與各方的工作需求和使用體驗，告別繁瑣復(fù)雜、令人疑惑的管理流程和呈現(xiàn)結(jié)果。