邱永哲 張智南

摘 要 供應(yīng)鏈安全是組織整體信息安全體系重要的組成部分。從安全事件對(duì)業(yè)務(wù)系統(tǒng)的影響的角度出發(fā)是評(píng)估供應(yīng)鏈安全的重要方法。建立了供應(yīng)鏈安全評(píng)估預(yù)警模型。模型以安全事件作為評(píng)估驅(qū)動(dòng)力，以業(yè)務(wù)系統(tǒng)及其組件為考察對(duì)象，從危害程度、危害部位、危害范圍、修復(fù)方式、修復(fù)時(shí)間等5個(gè)相關(guān)聯(lián)的維度評(píng)估供應(yīng)鏈的安全狀況，最后給出是否需要在組織內(nèi)進(jìn)行預(yù)警的判斷。在阿帕奇Struts2 S45安全漏洞事件中，利用模型評(píng)估了某組織業(yè)務(wù)網(wǎng)站體系的供應(yīng)鏈安全，取得了顯著的效果。

關(guān)鍵詞 供應(yīng)鏈安全；評(píng)估；預(yù)警

中圖分類號(hào) TP3 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2018）206-0135-03

在2017年5月27日出版的2016年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告中，統(tǒng)計(jì)了2016年國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄軟硬件漏洞情況。其中，漏洞總數(shù)為10？822個(gè)，高危漏洞4？146個(gè)，占總數(shù)的38.3%；中危漏洞5？993個(gè)，占總數(shù)的55.4%。整體上比2015年增加34%，呈現(xiàn)出上升趨勢(shì)。其中可用于實(shí)施遠(yuǎn)程網(wǎng)絡(luò)攻擊的漏洞達(dá)到9？503個(gè)，占到總數(shù)的87.8%，呈現(xiàn)出非常嚴(yán)峻的安全形勢(shì)。從安全運(yùn)維的角度，可用于遠(yuǎn)程網(wǎng)絡(luò)攻擊的中高危漏洞危害性最強(qiáng)，安全隱患最大，必須優(yōu)先進(jìn)行處理。但是，許多關(guān)鍵業(yè)務(wù)與發(fā)現(xiàn)漏洞的組件功能緊耦合，無(wú)法通過(guò)系統(tǒng)或應(yīng)用升級(jí)的方式處理，成為安全運(yùn)維人員必須面對(duì)的難題。

究其原因，根本還是在業(yè)務(wù)系統(tǒng)開發(fā)時(shí)，沒有考慮網(wǎng)絡(luò)安全方面的需求，造成業(yè)務(wù)系統(tǒng)上線后出現(xiàn)安全問題難以處理。從根本上說(shuō)，就是沒有從供應(yīng)鏈的角度考慮安全需求。本文第一部分通過(guò)分析安全事件對(duì)業(yè)務(wù)的影響情況，建立供應(yīng)鏈安全評(píng)估預(yù)警模型；第二部分基于Struts2應(yīng)用框架S45漏洞預(yù)警實(shí)例討論如何應(yīng)用模型分析供應(yīng)鏈安全；最后進(jìn)行了總結(jié)和展望。

1 供應(yīng)鏈安全評(píng)估預(yù)警模型

在組織安全管理過(guò)程中，采購(gòu)產(chǎn)品的安全性往往是很重要的風(fēng)險(xiǎn)點(diǎn)。特別是操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、虛擬化管理平臺(tái)系統(tǒng)等的安全性尤為重要。因此，我們從安全事件分析的角度，提出了安全事件驅(qū)動(dòng)的供應(yīng)鏈安全評(píng)估預(yù)警模型，如圖1所示。

如圖1所示，供應(yīng)鏈安全評(píng)估預(yù)警模型由安全事件（含安全預(yù)警）驅(qū)動(dòng)，從危害程度、危害部位、危害范圍、修復(fù)方式、修復(fù)時(shí)間5個(gè)相關(guān)聯(lián)的維度展開評(píng)估。為便于敘述，按照①②③④⑤順序表示上述5個(gè)評(píng)估維度。

在模型中，安全事件主要考慮兩種兩類。一是安全預(yù)警，主要是由國(guó)家網(wǎng)絡(luò)安全主管機(jī)關(guān)、第三方安全眾測(cè)機(jī)構(gòu)以及網(wǎng)絡(luò)安全廠商發(fā)布的漏洞、惡意代碼等安全預(yù)警；二是攻擊事件，主要是在國(guó)內(nèi)外互聯(lián)網(wǎng)、專用網(wǎng)，以及行業(yè)內(nèi)發(fā)生的網(wǎng)絡(luò)攻擊事件。

危害程度評(píng)估主要評(píng)估安全預(yù)警中漏洞、惡意代碼的危害性，攻擊事件中網(wǎng)絡(luò)攻擊的技術(shù)手段，如表1所示。其中序號(hào)（如②）表示下一步進(jìn)入哪一個(gè)維度的評(píng)估，X表示退出評(píng)估（下同）。

危害部位評(píng)估主要評(píng)估受影響業(yè)務(wù)系統(tǒng)的重要性，如表2所示。其中，關(guān)鍵業(yè)務(wù)系統(tǒng)是指承載核心業(yè)務(wù)，數(shù)據(jù)敏感性要求高或系統(tǒng)可用性要求高的業(yè)務(wù)系統(tǒng)，其余為一般業(yè)務(wù)系統(tǒng)。

危害范圍評(píng)估主要評(píng)估受影響業(yè)務(wù)系統(tǒng)的分布情況，如表3所示。其中，集中部署是指系統(tǒng)服務(wù)器集中部署在單一地市級(jí)范圍內(nèi)或單個(gè)公有云內(nèi)；全省部署是指系統(tǒng)服務(wù)器分布式部署在單個(gè)省級(jí)行政區(qū)內(nèi)；跨省部署是指系統(tǒng)服務(wù)器分布式部署在多個(gè)省級(jí)行政區(qū)、多個(gè)國(guó)家或多個(gè)公有云，以及上述部署方式的混合模式。

修復(fù)方式評(píng)估主要評(píng)估修復(fù)業(yè)務(wù)系統(tǒng)脆弱性問題的方式，如表4所示。其中，修改系統(tǒng)配置是指僅通過(guò)配置系統(tǒng)組件（包括但不限于操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、商業(yè)應(yīng)用系統(tǒng)、虛擬化平臺(tái)等）參數(shù)即可完成脆弱性問題修復(fù)的方式；升級(jí)系統(tǒng)組件是指通過(guò)將系統(tǒng)組件升級(jí)到不受影響的版本完成脆弱性問題修復(fù)的方式；修改系統(tǒng)代碼是指必須通過(guò)修改系統(tǒng)代碼，通過(guò)重新編譯生成新版本的方式，主要考慮自研業(yè)務(wù)系統(tǒng)、開源組件定制等場(chǎng)景；外圍安全防護(hù)是指不能通過(guò)修改配置、升級(jí)、修改代碼等方式修復(fù)，但可通過(guò)在防火墻、入侵防御系統(tǒng)等外圍安全設(shè)備上設(shè)置防護(hù)策略，避免業(yè)務(wù)系統(tǒng)脆弱性被利用。無(wú)法正常修復(fù)是指上述修復(fù)手段均無(wú)效的場(chǎng)景。

修復(fù)時(shí)間評(píng)估主要修復(fù)業(yè)務(wù)系統(tǒng)脆弱性問題的時(shí)間（T），如表5所示。其中引用了RTO？（Recovery？ Time？Objective，復(fù)原時(shí)間目標(biāo)）作為評(píng)估指標(biāo)。RTO原指企業(yè)可容許業(yè)務(wù)系統(tǒng)服務(wù)中斷的時(shí)間長(zhǎng)度，在本文中引申為從安全事件發(fā)布到修復(fù)相關(guān)問題的時(shí)間，其數(shù)值主要由評(píng)估單位根據(jù)業(yè)務(wù)需求確定。

模型通過(guò)定性和定量結(jié)合的方式從5個(gè)相關(guān)聯(lián)的維度對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行安全評(píng)估，最終確定系統(tǒng)供應(yīng)鏈安全風(fēng)險(xiǎn)是否處于高危狀態(tài)，需要發(fā)布相關(guān)預(yù)警。

2 模型應(yīng)用實(shí)例

2017年3月6日，阿帕奇網(wǎng)站上公布了Struts2遠(yuǎn)程代碼執(zhí)行漏洞，編號(hào)S2-045（國(guó)際通用漏洞庫(kù)CVE編號(hào)：CVE-2017-5638，國(guó)家信息安全漏洞共享平臺(tái)CNVD編號(hào)：CNVD-2017-02474），危害等級(jí)為高危（High）。受影響的版本號(hào)包括：

1）Struts？2.3.5？-？Struts？2.3.31；

2）Struts？2.5？-？Struts？2.5.10。

根據(jù)國(guó)家信息安全漏洞共享平臺(tái)抽樣測(cè)試結(jié)果，互聯(lián)網(wǎng)上采用阿帕奇Struts2框架的網(wǎng)站（不區(qū)分版本，樣本集>500，覆蓋政府、高校、企業(yè)）受影響比例為60.1%。同時(shí)，在互聯(lián)網(wǎng)上已經(jīng)有該漏洞的利用工具傳播，并出現(xiàn)了利用該漏洞攻擊網(wǎng)站，關(guān)鍵數(shù)據(jù)被竊取的案例。

某行業(yè)主管單位下屬858個(gè)互聯(lián)網(wǎng)業(yè)務(wù)網(wǎng)站，分布在全國(guó)21個(gè)?。ㄗ灾螀^(qū)、直轄市）。這些網(wǎng)站均直接面向公眾提供業(yè)務(wù)服務(wù)，直接影響公眾日常生活，屬于行業(yè)關(guān)鍵業(yè)務(wù)系統(tǒng)。通過(guò)遠(yuǎn)程安全評(píng)估方式，發(fā)現(xiàn)該行業(yè)所屬的19個(gè)業(yè)務(wù)網(wǎng)站存在此漏洞，并分布在10個(gè)?。ㄗ灾螀^(qū)、直轄市）。如圖2所示。

按照該行業(yè)24小時(shí)的RTO指標(biāo)，在漏洞發(fā)布后24小時(shí)對(duì)存在S45漏洞網(wǎng)站修復(fù)情況進(jìn)行復(fù)測(cè)，發(fā)現(xiàn)其中8個(gè)網(wǎng)站修復(fù)了漏洞，漏洞修復(fù)率僅42.11%。如圖3所示。

根據(jù)供應(yīng)鏈安全評(píng)估預(yù)警模型，該漏洞為高?？杀挥糜谶h(yuǎn)程攻擊類型，危害跨省部署的關(guān)鍵業(yè)務(wù)系統(tǒng)，部分可通過(guò)升級(jí)系統(tǒng)組件修復(fù)，部分需通過(guò)修改系統(tǒng)代碼修復(fù)，但部分業(yè)務(wù)系統(tǒng)的實(shí)際修復(fù)時(shí)間大于行業(yè)RTO要求，最終在全行業(yè)進(jìn)行供應(yīng)鏈安全預(yù)警，要求在業(yè)務(wù)網(wǎng)站開發(fā)中控制阿帕奇Struts2框架的使用，并在現(xiàn)有系統(tǒng)中逐步淘汰阿帕奇Struts2框架。

3 結(jié)論

網(wǎng)絡(luò)安全是一個(gè)全應(yīng)用生命周期都需要重視的基礎(chǔ)性工作。在業(yè)務(wù)系統(tǒng)設(shè)計(jì)早期就考慮安全需求，能夠用盡可能小的代價(jià)控制安全風(fēng)險(xiǎn)。在這個(gè)過(guò)程中，基于供應(yīng)鏈安全評(píng)估預(yù)警模型，可以從全行業(yè)的維度去考慮網(wǎng)絡(luò)安全整體布局，為行業(yè)網(wǎng)絡(luò)安全管理工作提供數(shù)據(jù)和方法支撐。