楊一未 孫成昊

(中國信息安全測評中心 北京 100085)

(yangyw@itsec.gov.cn)

在萬物互聯(lián)的信息時代，網(wǎng)絡(luò)的觸角不斷延伸，關(guān)鍵信息基礎(chǔ)設(shè)施安全已成為全球各國普遍關(guān)注的重點問題.2017年6月我國實施的《中華人民共和國網(wǎng)絡(luò)安全法》[1](簡稱《網(wǎng)絡(luò)安全法》)，從立法層面明確要求對可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施實施重點保護.2021年8月頒布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》[2]對關(guān)鍵信息基礎(chǔ)設(shè)施保護相關(guān)的一系列要素作了更具體的規(guī)定，進(jìn)一步推進(jìn)了《網(wǎng)絡(luò)安全法》在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的落地工作.全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會正在起草的《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求(報批稿)》[3]等系列標(biāo)準(zhǔn)從不同角度對關(guān)鍵信息基礎(chǔ)設(shè)施保護要素特別是漏洞管理提出了更為具體的要求.自網(wǎng)絡(luò)安全問題誕生以來，網(wǎng)絡(luò)安全漏洞就是攻防雙方關(guān)注的焦點問題.及時掌握漏洞資源信息、準(zhǔn)確評估漏洞危害、采取適當(dāng)有效的措施消除或緩解漏洞產(chǎn)生的風(fēng)險是信息安全管理工作的核心落腳點.是否有必要編寫一套在關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理工作中使用的標(biāo)準(zhǔn)、該標(biāo)準(zhǔn)應(yīng)包括哪些內(nèi)容、供哪些關(guān)鍵信息基礎(chǔ)設(shè)施保護相關(guān)角色使用，以促進(jìn)我國關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)法規(guī)在漏洞管理領(lǐng)域的落地，并切實提升我國網(wǎng)絡(luò)安全防護水平等一系列問題，值得深入研究與思考.

1 國內(nèi)外關(guān)鍵信息基礎(chǔ)設(shè)施保護體系建設(shè)研究

1.1 國外關(guān)鍵信息基礎(chǔ)設(shè)施保護體系發(fā)展歷史

不斷加強關(guān)鍵信息基礎(chǔ)設(shè)施保護力度已逐漸成為世界主要大國和信息強國的共識，關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理更是各國關(guān)鍵信息基礎(chǔ)設(shè)施保護的必要內(nèi)容.通過研究國外關(guān)鍵基礎(chǔ)設(shè)施保護相關(guān)法律法規(guī)、政策、標(biāo)準(zhǔn)的發(fā)展歷史，發(fā)現(xiàn)歐美等信息安全強國在構(gòu)建關(guān)鍵基礎(chǔ)設(shè)施保護體系過程中，基本都經(jīng)歷了對關(guān)鍵基礎(chǔ)設(shè)施角色進(jìn)行劃分、關(guān)鍵基礎(chǔ)設(shè)施保護體系搭建和聚焦關(guān)鍵基礎(chǔ)設(shè)施漏洞管理3個步驟.美國2013年第21號總統(tǒng)政策指令《關(guān)鍵信息基礎(chǔ)設(shè)施的安全和恢復(fù)能力》[4]和2017年特朗普政府《聯(lián)邦政府網(wǎng)絡(luò)與關(guān)鍵性基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全強化》[5]提出了“關(guān)鍵基礎(chǔ)設(shè)施所有者”概念，開始對關(guān)鍵基礎(chǔ)設(shè)施角色進(jìn)行劃分，并關(guān)注到關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理，提出關(guān)鍵信息基礎(chǔ)設(shè)施間的漏洞信息共享；2018年3月至9月，先后出臺的2018 DHS(United States Department of Homeland Security)《網(wǎng)絡(luò)事件響應(yīng)小組法案》[6]《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架(網(wǎng)絡(luò)安全框架1.1)》[7]《國家網(wǎng)絡(luò)戰(zhàn)略》[8]，分別從私營企業(yè)的安全專家引入、關(guān)鍵基礎(chǔ)設(shè)施保護的靈活性和關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全工作的支柱、目標(biāo)、優(yōu)先行動等問題入手，思考和建立關(guān)鍵基礎(chǔ)設(shè)施保護體系；2020年5月美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(Cybersecurity and Infrastructure Security Agency, CISA)、能源部(Department of Energy, DOE)等共同發(fā)布的《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全最佳實踐》[9]，重點提及了要加強漏洞分析和補丁管理，進(jìn)一步聚焦關(guān)鍵基礎(chǔ)設(shè)施漏洞管理工作.歐盟數(shù)據(jù)治理法律體系的建構(gòu)演進(jìn)主要分為5個階段：1981年公約階段；1995年指令階段；2016年條例階段；2018年條例配套法律階段；2020年始數(shù)據(jù)戰(zhàn)略階段[10].在這個過程中歐盟各成員國和英國于2017年11月發(fā)布了《關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的物聯(lián)網(wǎng)安全基線指南》[11]，提出了關(guān)鍵基礎(chǔ)設(shè)施安全基線分析框架，引入多種關(guān)鍵基礎(chǔ)設(shè)施角色；2018年5月，《歐盟“關(guān)鍵信息設(shè)施”網(wǎng)絡(luò)與信息安全(network and information security, NIS)指令》[12-13]，要求成員國建立國家網(wǎng)絡(luò)安全戰(zhàn)略、網(wǎng)絡(luò)安全事件應(yīng)急小組、國家網(wǎng)絡(luò)與信息安全主管部門，確定基礎(chǔ)服務(wù)運營商名單，這標(biāo)志著歐盟關(guān)鍵基礎(chǔ)設(shè)施保護體系搭建工作全面開展.成員國建立的國家網(wǎng)絡(luò)安全戰(zhàn)略中應(yīng)包括關(guān)鍵基礎(chǔ)設(shè)施保護工作的現(xiàn)實依據(jù)、框架條件、基本原則、戰(zhàn)略目標(biāo)和保障措施等內(nèi)容.前面提到的《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全最佳實踐》，英國國家網(wǎng)絡(luò)安全中心也參與其中，說明英國和歐盟各國也逐漸關(guān)注到關(guān)鍵基礎(chǔ)設(shè)施漏洞管理，逐漸進(jìn)入到將關(guān)鍵基礎(chǔ)設(shè)施漏洞管理工作獨立出來的發(fā)展階段.

① 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會WG7信息安全管理工作組. 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架(草案)[S] (2018).

1.2 我國關(guān)鍵信息基礎(chǔ)設(shè)施保護體系建設(shè)現(xiàn)狀

回顧我國關(guān)鍵信息基礎(chǔ)設(shè)施保護工作，2017年6月起實施的《網(wǎng)絡(luò)安全法》標(biāo)志著我國將關(guān)鍵信息基礎(chǔ)設(shè)施保護工作提升到立法高度.《網(wǎng)絡(luò)安全法》作為上位法規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施保護的總要求，而《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》是落實關(guān)鍵信息基礎(chǔ)設(shè)施保護的專門規(guī)章.為了配合法律法規(guī)的落地，我國正在起草制定一系列關(guān)鍵信息基礎(chǔ)設(shè)施保護標(biāo)準(zhǔn)，《關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施(征求意見稿)》[14]對關(guān)鍵信息基礎(chǔ)設(shè)施保護相關(guān)角色和職責(zé)進(jìn)行了明確，分為關(guān)鍵信息基礎(chǔ)設(shè)施運營者、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作部門、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護中的其他參與者3類，并在該標(biāo)準(zhǔn)中對關(guān)鍵信息基礎(chǔ)設(shè)施運營者在漏洞管理、資產(chǎn)管理、人員責(zé)任和培訓(xùn)、漏洞監(jiān)測控制等方面提出了目標(biāo)要求；《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架(草案)》①給出了關(guān)鍵信息基礎(chǔ)設(shè)施運營者的具體定義；《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求(報批稿)》對關(guān)鍵信息基礎(chǔ)設(shè)施運營者在業(yè)務(wù)識別、資產(chǎn)識別、風(fēng)險識別、變更過程、安全制度、人員管理等方面提出了目標(biāo)要求；《關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系(報批稿)》[15]給出了關(guān)鍵信息基礎(chǔ)設(shè)施運營者的信息安全漏洞數(shù)據(jù)庫中漏洞數(shù)據(jù)量和漏洞等級的指標(biāo)計算方法；《關(guān)鍵信息基礎(chǔ)設(shè)施安全防護能力評價方法(征求意見稿)》[16]和《關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評估指南(送審稿)》[17]分別從不同的管理粒度提出了關(guān)鍵信息基礎(chǔ)設(shè)施安全評估、評價需考慮的資產(chǎn)、業(yè)務(wù)、風(fēng)險等要素的要求，同時給出了檢測關(guān)鍵信息基礎(chǔ)設(shè)施漏洞存在情況應(yīng)采用的方法和技術(shù)手段.

通過對我國關(guān)鍵信息基礎(chǔ)設(shè)施保護體系建設(shè)情況的分析，如果關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作部門能夠綜合運用好現(xiàn)行關(guān)鍵信基礎(chǔ)設(shè)施保護和漏洞管理標(biāo)準(zhǔn)，形成關(guān)鍵信息基礎(chǔ)設(shè)施漏洞發(fā)現(xiàn)的良性循環(huán)，不斷完善關(guān)鍵信息基礎(chǔ)設(shè)施評估與共享體系，加強關(guān)鍵信息基礎(chǔ)設(shè)施間的漏洞保護合作與關(guān)聯(lián).同時配合現(xiàn)行關(guān)鍵信基礎(chǔ)設(shè)施保護和漏洞管理標(biāo)準(zhǔn)，針對關(guān)鍵信息基礎(chǔ)設(shè)施運營者編寫一套指南類標(biāo)準(zhǔn)(該標(biāo)準(zhǔn)向關(guān)鍵信息基礎(chǔ)設(shè)施運營者提供關(guān)鍵信息基礎(chǔ)設(shè)施漏洞庫、補丁庫建設(shè)方法，涵蓋資產(chǎn)管理、人員管理和關(guān)鍵信息基礎(chǔ)設(shè)施保護其他參與者管理等內(nèi)容)，將進(jìn)一步健全我國關(guān)鍵信息基礎(chǔ)設(shè)施管理體系，深化推進(jìn)《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》的落實工作.

2 國內(nèi)外漏洞管理標(biāo)準(zhǔn)及理論成果

2.1 國內(nèi)外漏洞管理標(biāo)準(zhǔn)

現(xiàn)行的漏洞管理類標(biāo)準(zhǔn)要么從漏洞處理的某個角度定義了漏洞生命周期后，進(jìn)行規(guī)范的制定，要么是以漏洞某一屬性，進(jìn)行漏洞某一特性的分析.所以，根據(jù)不同漏洞生命周期和通用特性為劃分標(biāo)準(zhǔn)，漏洞管理標(biāo)準(zhǔn)可分為以下3類：

1) 漏洞生態(tài)中的漏洞生命周期標(biāo)準(zhǔn)

該類標(biāo)準(zhǔn)的漏洞生命周期大體分為漏洞發(fā)現(xiàn)、漏洞接收、漏洞驗證、漏洞處置、漏洞發(fā)布(披露)等幾個環(huán)節(jié).其使用主體為產(chǎn)品廠商、漏洞庫建設(shè)者、安全服務(wù)人員等.顯著特點是該類標(biāo)準(zhǔn)規(guī)范了漏洞報送和披露的流程，可以促進(jìn)廠商提升版本管理、補丁管理、安全管理等的規(guī)范程度，提升產(chǎn)業(yè)生態(tài)良性發(fā)展空間.其中代表性的漏洞管理相關(guān)標(biāo)準(zhǔn)為《ISO/IEC 30111：2019信息技術(shù)-安全技術(shù)-漏洞處理流程》[18]《ISO/IEC 29147：2018 信息技術(shù)-安全技術(shù)-漏洞披露》[19]《GB/T30276—2020信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞管理規(guī)范》[20]等.

2) 漏洞消控工作中的漏洞生命周期標(biāo)準(zhǔn)

該類標(biāo)準(zhǔn)聚焦的是資產(chǎn)中的漏洞消控流程，核心工作是漏洞排查和漏洞修復(fù).其使用主體應(yīng)該是某一組織或?qū)嶓w，或者是關(guān)鍵信息基礎(chǔ)設(shè)施運營者.這類標(biāo)準(zhǔn)的代表是：以《NISTIR 8011 第4卷 安全控制評估自動化支持：軟件漏洞管理》[21-24]為代表的“NISTIR 8011系列標(biāo)準(zhǔn)”、《NIST 800-40 第2版 創(chuàng)建補丁和漏洞管理程序》[25]《NIST 800-40 第3版 企業(yè)補丁管理技術(shù)指南》[26]《NCSC(National Cyber Security Centre)漏洞管理》[27]等.

3) 描述漏洞通用特性的標(biāo)準(zhǔn)

該類標(biāo)準(zhǔn)包括以《ITU-TX.1520 網(wǎng)絡(luò)安全漏洞常見標(biāo)識》[28-32]為代表的“ITU-T漏洞管理系列標(biāo)準(zhǔn)”《GB/T 28458—2020信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞標(biāo)識與描述規(guī)范》[33]《GB/T 30279—2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級指南》[34]等.該類標(biāo)準(zhǔn)是針對漏洞的某一特性，或組成漏洞的某一元素進(jìn)行規(guī)范后形成的標(biāo)準(zhǔn).

2.2 國內(nèi)外關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理最新研究成果

美國先后發(fā)布的《持續(xù)診斷和緩解方案》[35]《協(xié)調(diào)漏洞披露》[36]《關(guān)鍵基礎(chǔ)設(shè)施安全和恢復(fù)指南》[37]《國家網(wǎng)絡(luò)事件相應(yīng)計劃》[38]等，從關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險、關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)、關(guān)鍵基礎(chǔ)設(shè)施漏洞共享等不同角度，闡述了在國家層面關(guān)鍵信息基礎(chǔ)設(shè)施漏洞保護的目標(biāo)和要求，特別強調(diào)了不同關(guān)鍵信息基礎(chǔ)設(shè)施之間的強關(guān)聯(lián)性導(dǎo)致的關(guān)鍵基礎(chǔ)設(shè)施漏洞共享，以及漏洞庫在關(guān)鍵基礎(chǔ)設(shè)施漏洞管理中的作用，對關(guān)鍵基礎(chǔ)設(shè)施安全保護工作部門具有很高的參考價值.歐洲網(wǎng)絡(luò)與信息安全局在《2018/2019漏洞狀態(tài)：漏洞生命周期中的事件分析》[39]報告肯定了漏洞庫在關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理中的重要作用，但同時認(rèn)為所有的漏洞庫都不可能是足夠完整的，所以應(yīng)搭建適合自己的漏洞庫，該報告給出的“漏洞模型”和“漏洞研究方法模型”對關(guān)鍵信息基礎(chǔ)設(shè)施運營者進(jìn)行漏洞管理具有很高的借鑒意義.

桑迪亞國家實驗室和卡耐基梅隆大學(xué)的觀點均認(rèn)為，關(guān)鍵信息基礎(chǔ)設(shè)施漏洞消控管理應(yīng)考慮能承受的風(fēng)險、可支付的成本，并制定相應(yīng)的計劃，同時要對消控結(jié)果進(jìn)行評估.卡耐基梅隆大學(xué)在美國國防部資助成立的研究和發(fā)展中心承擔(dān)的美國國土安全部(DHS)網(wǎng)絡(luò)安全評估項目(cyber security evaluation program, CSEP)中先后共開發(fā)了10個CRR(cyber resilience review)資源指南，除了《漏洞管理》[40]指南提供了建立漏洞管理流程的指導(dǎo)性建議外，其他指南涉及了《資產(chǎn)管理》[41]《控制管理》[42]《配置和變更管理》[43]《事件管理》[44]《服務(wù)連續(xù)性管理》[45]《風(fēng)險管理》[46]《外部依賴關(guān)系管理》[47]《培訓(xùn)和意識》[48]《態(tài)勢感知》[49]等內(nèi)容.是適合美國國情的關(guān)鍵信息基礎(chǔ)設(shè)施漏洞保護的體系性文件，對于我國關(guān)鍵信息基礎(chǔ)設(shè)施漏洞消控管理標(biāo)準(zhǔn)的制定具有極為重要的參考價值.

國內(nèi)外的企業(yè)及機構(gòu)根據(jù)自己的市場經(jīng)驗和本國國情，給出了不同的漏洞消控方法論和模型，雖然各自的階段劃分不完全相同，但基本都具有準(zhǔn)備、制定計劃、執(zhí)行操作、檢驗評估和循環(huán)改進(jìn)5個步驟.

雖然各國政府主管部門、科研院所、企業(yè)及機構(gòu)的漏洞消控前沿理論，對建設(shè)我國關(guān)鍵信息基礎(chǔ)設(shè)施漏洞消控管理標(biāo)準(zhǔn)具有重要的參考價值，但目前國內(nèi)外的漏洞消控理論在定義資產(chǎn)屬性、處理流程、屬性規(guī)范等方面均存在較大差異，需要根據(jù)我國的基本國情重新進(jìn)行梳理，編制出具有我國關(guān)鍵基礎(chǔ)信息基礎(chǔ)設(shè)施特色的領(lǐng)域標(biāo)準(zhǔn).

3 關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理標(biāo)準(zhǔn)化建議

3.1 關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理與我國現(xiàn)行漏洞管理標(biāo)準(zhǔn)對比

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作部門對關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理站位較高，需總體協(xié)調(diào)漏洞資源，實現(xiàn)不同關(guān)鍵信息基礎(chǔ)設(shè)施間的漏洞共享，對關(guān)鍵信息基礎(chǔ)設(shè)施漏洞消控工作提出總體目標(biāo)要求，促進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理生態(tài)良性循環(huán).關(guān)鍵信息基礎(chǔ)設(shè)施運營者視角的漏洞管理最為關(guān)心的是資產(chǎn)上的漏洞消控問題，所以對于信息資產(chǎn)的管理、應(yīng)用環(huán)境下漏洞危害的評估方法和漏洞消控快速處置機制是最為突出，也是關(guān)鍵信息基礎(chǔ)設(shè)施運營者最為關(guān)心和關(guān)注的問題.可以看出關(guān)鍵信息基礎(chǔ)設(shè)施運營者的漏洞消控問題是核心，也是重點.

大部分關(guān)鍵信息基礎(chǔ)設(shè)施運營者也是信息系統(tǒng)建設(shè)者，信息系統(tǒng)建設(shè)者視角下的安全生命周期可劃分為立項(系統(tǒng)規(guī)劃)、開發(fā)(系統(tǒng)分析、系統(tǒng)設(shè)計、系統(tǒng)實施)、運維和廢棄[50]4個階段，關(guān)鍵信息基礎(chǔ)設(shè)施運營者的漏洞管理工作貫穿其中.由于關(guān)鍵信息基礎(chǔ)設(shè)施的漏洞管理是基于漏洞消控的漏洞管理，所以首先面對的就是脆弱性資產(chǎn)上的漏洞消控問題.從關(guān)鍵信息基礎(chǔ)設(shè)施運營者視角觀察資產(chǎn)(或系統(tǒng))的使用狀態(tài)，可分為2大類：一類是已經(jīng)在使用中的資產(chǎn)(或系統(tǒng))；另一類則是已經(jīng)完成開發(fā)、等待上線的系統(tǒng).對于第1類資產(chǎn)的漏洞管理流程，主要包括漏洞發(fā)現(xiàn)、脆弱性資產(chǎn)排查、消控方案制定、漏洞消控等階段；第2類資產(chǎn)的漏洞管理流程則包括漏洞發(fā)現(xiàn)(代碼掃描、滲透測試等手段)、漏洞修復(fù)、回歸測試等幾個階段.關(guān)鍵信息基礎(chǔ)設(shè)施的漏洞生命周期和現(xiàn)行國標(biāo)漏洞生命周期的對比如圖1所示：

圖1 關(guān)鍵信息基礎(chǔ)設(shè)施的漏洞生命周期和現(xiàn)行國標(biāo)漏洞生命周期的對比圖

3.2 關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理標(biāo)準(zhǔn)框架

關(guān)鍵信息基礎(chǔ)設(shè)施的漏洞消控管理往往涉及資產(chǎn)(探測)管理、事件型漏洞的發(fā)現(xiàn)與處置、通用型漏洞事件化管理、系統(tǒng)化的補丁收集與分發(fā)管理、防護方案的制定與驗證管理、紅藍(lán)隊的組織與管理、外部力量的使用與管理等.因此，其要素可以概括為漏洞管理、資產(chǎn)管理、補丁管理、人員管理和組織管理.每個要素又可分為準(zhǔn)備、規(guī)劃、執(zhí)行、監(jiān)控和變更5個管理階段，覆蓋關(guān)鍵信息基礎(chǔ)設(shè)施2種情況下的漏洞生命周期，關(guān)鍵信息基礎(chǔ)設(shè)施漏洞消控管理各組成部分的相互關(guān)系，如圖2所示.

圖2 關(guān)鍵信息基礎(chǔ)設(shè)施漏洞消控管理各組成部分的相互關(guān)系

漏洞管理：作為消控單元具體參考的核心數(shù)據(jù)，建立全面、準(zhǔn)確、規(guī)范的漏洞庫對整體的消控起到關(guān)鍵性的作用；另外，基于不同用戶需求建立滿足不同場景的專項漏洞庫對指導(dǎo)具體領(lǐng)域的消控也很重要；漏洞庫建立過程中涉及到的分類、數(shù)據(jù)源準(zhǔn)確性判斷、漏洞類型劃分、漏洞危害定級等都對漏洞庫的質(zhì)量提出了明確的需求.

資產(chǎn)管理：資產(chǎn)作為消控的主體單元，對資產(chǎn)的編排、監(jiān)控、部署等信息的獲取或收錄也同樣面臨重大的挑戰(zhàn)；摸清家底，并對家底的相關(guān)信息部署結(jié)構(gòu)以及重要性進(jìn)行標(biāo)識，對進(jìn)行具體資產(chǎn)的漏洞消控有很好的參照性.

補丁管理：補丁庫作為漏洞消控的主要資源，對補丁的收錄、可用性、安全性、有效性的驗證也成為漏洞消控的重要一環(huán)；另外，補丁在具體使用過程中也應(yīng)做好相關(guān)管控記錄，保證補丁的整個使用過程可視化、可監(jiān)控.在此將消控方案也視為補丁管理的一部分，因為漏洞消控主要分為2個方面：一方面，通過安裝相關(guān)補丁實現(xiàn)對漏洞的消控，而安裝補丁與具體的業(yè)務(wù)系統(tǒng)相關(guān)，如果安裝補丁對業(yè)務(wù)系統(tǒng)沒有影響，可以達(dá)到消控的目的；如果安裝補丁會對業(yè)務(wù)系統(tǒng)帶來潛在風(fēng)險，那么不能通過補丁完成漏洞消控的目標(biāo)；另一方面，可以通過構(gòu)建有效的加固方案來達(dá)到控制漏洞的目的.因此，通過建立針對相關(guān)漏洞的有效加固方案的方法同樣重要.

人員管理：漏洞消控的主體是資產(chǎn)，而具體操作是執(zhí)行人.因此，通過2方面建立人員管理制度：1)建立合規(guī)的漏洞消控規(guī)約制度，保障按照一定的指南標(biāo)準(zhǔn)來實施漏洞消控的相關(guān)步驟；2)加強人員的網(wǎng)絡(luò)安全素養(yǎng)，強化實施人在資產(chǎn)安全加固和安全知識體系的建設(shè)，做到知其然知其所以然.

組織管理：針對《關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施(征求意見稿)》中定義的關(guān)鍵信息基礎(chǔ)設(shè)施保護中的其他參與者而言，主要是對安全產(chǎn)業(yè)內(nèi)參與關(guān)鍵信息基礎(chǔ)設(shè)施運營者漏洞管理工作的相關(guān)合作廠商的管理.通過客觀、合理、高效的外部依賴關(guān)系管理，能夠更加有效地使用外部資源，提升關(guān)鍵信息基礎(chǔ)設(shè)施運營者漏洞管理效率，充分利用產(chǎn)業(yè)資源，形成良好產(chǎn)業(yè)生態(tài).

關(guān)鍵信息基礎(chǔ)設(shè)施運營者視角下的漏洞全生命周期管理由一系列以漏洞消控為核心的安全管理活動組成.關(guān)鍵信息基礎(chǔ)設(shè)施漏洞消控管理的工作過程如表1所示:

表1 關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理要素、階段與過程

漏洞消控管理5要素與漏洞消控5階段交叉細(xì)分為32個工作過程，其中漏洞管理包括12個工作過程、資產(chǎn)管理包括7個工作過程、補丁管理包括4個工作過程、人員管理包括6個工作過程、組織管理包括3個工作過程.關(guān)鍵信息基礎(chǔ)設(shè)施運營者漏洞消控工作標(biāo)準(zhǔn)化工作，可通過對上述32個工作過程的剖析尋求合理的解決之道.

4 總 結(jié)

本文從對國內(nèi)外關(guān)鍵信息基礎(chǔ)設(shè)施保護體系建設(shè)的歷史出發(fā)，總結(jié)出其發(fā)展的客觀規(guī)律，結(jié)合我國發(fā)展現(xiàn)狀，認(rèn)為現(xiàn)階段正是我國處于為關(guān)鍵信息基礎(chǔ)設(shè)施運營者建立專門的漏洞消控相關(guān)標(biāo)準(zhǔn)的時期，該標(biāo)準(zhǔn)的出臺可促進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)化開展漏洞消控管理工作.本文通過對國內(nèi)外漏洞管理標(biāo)準(zhǔn)及理論研究成果進(jìn)一步的研究，及關(guān)鍵信息基礎(chǔ)設(shè)施漏洞生命周期與現(xiàn)行國標(biāo)漏洞生命周期的對比分析，概括總結(jié)了關(guān)鍵信息基礎(chǔ)設(shè)施漏洞消控管理5要素、5階段和32個工作過程，該模型可作為編制具有我國關(guān)鍵信息基礎(chǔ)設(shè)施特色標(biāo)準(zhǔn)的基礎(chǔ)，繼續(xù)深化形成具有良好適用性和可用性的國家標(biāo)準(zhǔn).