◆倪浩杰

（江蘇省國(guó)際信托有限責(zé)任公司 江蘇 210000）

1 引言

隨著互聯(lián)網(wǎng)在社會(huì)各領(lǐng)域的廣泛應(yīng)用，企事業(yè)單位及各經(jīng)濟(jì)組織的網(wǎng)絡(luò)問題受到高度關(guān)注。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，識(shí)別組織內(nèi)部信息資產(chǎn)，全面地分析資產(chǎn)脆弱性，系統(tǒng)排查面臨的威脅，綜合評(píng)估組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，為最大限度地保障信息安全提供科學(xué)依據(jù)。漏洞掃描器就是風(fēng)險(xiǎn)評(píng)估的重要工具。

2 漏洞掃描的意義

漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對(duì)指定目標(biāo)的脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用漏洞的一種安全檢測(cè)設(shè)備。漏洞掃描器包括網(wǎng)絡(luò)漏掃、主機(jī)漏掃、數(shù)據(jù)庫漏掃等不同種類。網(wǎng)絡(luò)漏洞掃描器可以根據(jù)不斷完善的漏洞資料庫，檢測(cè)分析組織中工作站、服務(wù)器、數(shù)據(jù)庫、防火墻等的漏洞，提出漏洞解決方案和修復(fù)建議，使得網(wǎng)絡(luò)安全員能及時(shí)修復(fù)安全漏洞，在黑客攻擊前進(jìn)行防范，做到防患于未然。

3 漏洞掃描器存在的問題

當(dāng)前市場(chǎng)上的漏洞掃描器，按照預(yù)先掃描任務(wù)，通過主機(jī)掃描、端口掃描、指紋庫識(shí)別等技術(shù)手段，可有效發(fā)現(xiàn)組織內(nèi)部漏洞，但它也存在不少問題。風(fēng)險(xiǎn)評(píng)估要綜合資產(chǎn)、脆弱性和威脅三因素，漏洞掃描器一方面僅僅機(jī)械地執(zhí)行用戶設(shè)置的單項(xiàng)掃描任務(wù)，它沒有組織整體的資產(chǎn)視角，割裂了資產(chǎn)、脆弱性和威脅三者之間的聯(lián)系，為此不能評(píng)價(jià)組織面臨的整體風(fēng)險(xiǎn)；二是漏洞掃描器漏洞發(fā)現(xiàn)功能強(qiáng)大，漏洞掃描效果較好，一般不具備漏洞處置功能。為此漏洞掃描器適合安全測(cè)評(píng)、安全咨詢公司使用。企事業(yè)單位關(guān)心漏洞的發(fā)現(xiàn)，更關(guān)心漏洞消除和修復(fù)，以及漏洞處置過程的記錄與留痕，以備后期信息審計(jì)。為此，漏洞掃描器不能滿足現(xiàn)今企事業(yè)單位的需求，一種新型的漏洞管理工具呼之欲出。

4 新型漏洞管理平臺(tái)功能與架構(gòu)

漏洞管理按照生命周期，分為漏洞發(fā)現(xiàn)、漏洞處置、漏洞消除三個(gè)階段。漏洞發(fā)現(xiàn)嚴(yán)重依賴清晰的資產(chǎn)清單，為了更有效地預(yù)警組織網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，資產(chǎn)漏洞風(fēng)險(xiǎn)實(shí)時(shí)展示也顯得尤為重要，因此基于生命周期的新型漏洞管理平臺(tái)就包括資產(chǎn)識(shí)別、漏洞發(fā)現(xiàn)、漏洞處置、漏洞消除和資產(chǎn)風(fēng)險(xiǎn)可視化五大模塊，系統(tǒng)框圖見圖1。

圖1 基于生命周期的新型漏洞管理平臺(tái)系統(tǒng)框圖

5 新型漏洞管理平臺(tái)主要功能模塊

5.1 資產(chǎn)識(shí)別模塊

資產(chǎn)作為衍生出脆弱性的母體、威脅的作用對(duì)象，使得資產(chǎn)識(shí)別成為風(fēng)險(xiǎn)評(píng)估工作的重要環(huán)節(jié)。資產(chǎn)識(shí)別模塊采用掃描技術(shù)發(fā)現(xiàn)資產(chǎn)，參考BS7799 和GB/20984 等標(biāo)準(zhǔn)，對(duì)識(shí)別資產(chǎn)進(jìn)行分類，結(jié)合組織實(shí)際按業(yè)務(wù)類型、使用部門、等級(jí)劃分、設(shè)備種類等要素標(biāo)識(shí)資產(chǎn)，形成組織資產(chǎn)清單。

5.2 漏洞發(fā)現(xiàn)模塊

組織資產(chǎn)導(dǎo)入漏洞發(fā)現(xiàn)模塊，利用主機(jī)、端口掃描等掃描技術(shù)發(fā)現(xiàn)組織內(nèi)部漏洞。為了降低該模塊的誤報(bào)率，引入漏洞驗(yàn)證插件，篩選出真實(shí)漏洞，形成漏洞報(bào)告，發(fā)送漏洞處置模塊，以待進(jìn)一步處理（圖2）。

5.3 漏洞處置模塊

漏洞處置模塊是新型漏洞管理平臺(tái)的核心，也是當(dāng)前市場(chǎng)上漏洞掃描器所沒有的功能模塊。有部分漏洞管理平臺(tái)有漏洞處置模塊，但大部分僅作分發(fā)和驗(yàn)證，功能相對(duì)簡(jiǎn)單。漏洞處置模塊工作流程有接受漏洞報(bào)告、漏洞驗(yàn)證、漏洞評(píng)估、漏洞修復(fù)方案制定、漏洞修復(fù)方案測(cè)試和漏洞修復(fù)方案部署6 個(gè)環(huán)節(jié)。

圖2 漏洞發(fā)現(xiàn)模塊工作流程

5.3.1 接受漏洞報(bào)告

接受漏洞報(bào)告是漏洞處置工作的流程起點(diǎn)。

5.3.2 漏洞驗(yàn)證

該模塊的漏洞驗(yàn)證功能有別于漏洞發(fā)現(xiàn)模塊中的漏洞驗(yàn)證。后者側(cè)重于漏洞掃描階段的漏洞誤報(bào)消除，前者側(cè)重于開發(fā)、配置等層面，即漏洞是否存在、漏洞可否復(fù)現(xiàn)以及漏洞利用的難易程度等，從而為漏洞評(píng)估提供依據(jù)。

5.3.3 漏洞評(píng)估

漏洞評(píng)估根據(jù)資產(chǎn)重要性、資產(chǎn)暴露情況、已有保護(hù)措施、漏洞評(píng)級(jí)、漏洞能否修復(fù)，結(jié)合實(shí)際業(yè)務(wù)需要、修復(fù)時(shí)間、消除成本等因素，制定漏洞修復(fù)清單和優(yōu)先級(jí)排序表。對(duì)于不能修復(fù)的漏洞，做好補(bǔ)救措施，接受風(fēng)險(xiǎn)。對(duì)于不能修復(fù)的漏洞，不予處置，忽略風(fēng)險(xiǎn)。

5.3.4 漏洞修復(fù)方案制定

業(yè)務(wù)系統(tǒng)負(fù)責(zé)人根據(jù)漏洞報(bào)告，確定漏洞層面，分發(fā)漏洞處理人。若漏洞是由代碼問題產(chǎn)生，分發(fā)給開發(fā)人員制定漏洞修復(fù)方案。若漏洞是屬于配置問題，直接分發(fā)給運(yùn)維人員制定漏洞修復(fù)方案。

5.3.5 漏洞修復(fù)方案測(cè)試

運(yùn)維人員按照漏洞修復(fù)方案測(cè)試漏洞修復(fù)方案的有效性。

5.3.6 漏洞修復(fù)方案部署

漏洞修復(fù)方案測(cè)試驗(yàn)證后，由運(yùn)維人員部署到生產(chǎn)環(huán)境（圖3）。

圖3 漏洞處置模塊工作流程

5.4 漏洞消除模塊

漏洞處理模塊處理結(jié)束后，流轉(zhuǎn)到漏洞消除模塊。由網(wǎng)絡(luò)安全管理員，對(duì)漏洞進(jìn)行復(fù)檢，檢查漏洞修復(fù)情況。確認(rèn)漏洞修復(fù)后，記錄漏洞處置要素，最后消除漏洞，關(guān)閉流程（圖4）。

圖4 漏洞消除模塊工作流程

5.5 資產(chǎn)風(fēng)險(xiǎn)可視化模塊

資產(chǎn)風(fēng)險(xiǎn)可視化模塊，將采集資產(chǎn)、漏洞發(fā)現(xiàn)、漏洞處置和漏洞消除等數(shù)據(jù)，通過算法加工計(jì)算，直觀在展示組織資產(chǎn)風(fēng)險(xiǎn)，實(shí)時(shí)投射在監(jiān)控大屏上，實(shí)現(xiàn)風(fēng)險(xiǎn)管理的可視化。