劉 暢

(中國郵政儲蓄銀行信用卡中心 北京 100040)

隨著互聯(lián)網(wǎng)技術的發(fā)展，人們從各方面享受到信息化帶來的便利.與此同時，網(wǎng)絡、計算機系統(tǒng)、服務器、應用軟件等面臨的安全問題也日益嚴峻.其中，安全漏洞[1]作為網(wǎng)絡安全中最為嚴重的威脅之一,其存在大大增加了硬件設備或應用系統(tǒng)的安全隱患，使其更容易受到網(wǎng)絡攻擊的威脅.因此，人們越來越重視安全漏洞的管理[2].與此同時，國家市場監(jiān)督管理總局和國家標準化管理委員會更新發(fā)布了《信息安全技術 網(wǎng)絡安全漏洞管理規(guī)范》(GB/T 30276—2020)[3]，對漏洞的全生命周期管理提出了更高的要求.

傳統(tǒng)的漏洞管理流程是首先通過掃描器掃描或滲透測試的方式發(fā)現(xiàn)漏洞，定位漏洞所在設備或對應負責人；然后郵件或電話通知其進行整改及反饋；最后跟進整改情況.整個過程大都通過人工執(zhí)行，主要存在以下4個問題：

1) 漏洞信息來源分散.部分企業(yè)會采購多種掃描器或使用不同掃描軟件進行漏洞檢測，漏洞來源分散.同時部分企業(yè)未關注到官方機構發(fā)布的權威漏洞，即使有所關注，由于不同機構發(fā)布漏洞的時間和方式不同，要想獲得所有的漏洞信息也需要消耗較長的時間.

2) 漏洞信息無法統(tǒng)一呈現(xiàn).不同掃描設備出具的掃描報告以及不同掃描軟件得出的掃描結果形式不一，發(fā)布漏洞的不同機構網(wǎng)站提供的漏洞基礎信息也不盡相同，各安全廠商提供的漏洞管理工具也無法兼容.即使在同一設備或者同一網(wǎng)站，不同板塊發(fā)布或展示漏洞的方法也不同.缺少漏洞的統(tǒng)一分析和報表化呈現(xiàn).

3) 缺少統(tǒng)一的反饋溝通機制.漏洞通過各種渠道發(fā)布之后，無法保證信息安全人員、研發(fā)及運維人員及時獲取相關的漏洞信息，在獲取漏洞信息之后，也無法保證及時對所有漏洞的處置情況進行跟進.漏洞在不同人員之間的流轉不僅影響了漏洞的處置效率，也帶來了新的安全隱患.

4) 漏洞管理效率較低.隨著企業(yè)的硬件設備或應用系統(tǒng)的數(shù)量逐漸增加，漏洞掃描、人工定位及確認的時間都會大大加長，此時采取人工的方式進行漏洞的處置不僅效率較低，容易出錯，也容易錯過漏洞整改的最佳時間，帶來延誤和損失的風險.

為了緩解上述問題，及時、全面、準確地處置安全漏洞，滿足監(jiān)管合規(guī)要求，降低漏洞帶來的安全風險，本文提出一種漏洞全生命周期[4]管理機制.通過建立統(tǒng)一漏洞管理平臺，規(guī)范漏洞的檢測及處置工作，使安全人員對漏洞能夠快速發(fā)現(xiàn)、定位、響應和處置.

1 平臺架構

統(tǒng)一漏洞管理平臺采用松耦合的分布式技術架構，所使用的服務器及數(shù)據(jù)庫均采用主備模式進行部署，以保證平臺和數(shù)據(jù)的高可用性.平臺包含基礎服務管理模塊、漏洞來源管理模塊、漏洞數(shù)據(jù)管理模塊、漏洞分析管理模塊、漏洞處置管理模塊以及漏洞展示預警模塊這6大功能模塊.各模塊協(xié)同通過通用的開發(fā)語言和標準的服務接口與其他基礎服務平臺系統(tǒng)或網(wǎng)絡安全工具協(xié)同聯(lián)動，從而在統(tǒng)一平臺上實現(xiàn)了漏洞檢測、數(shù)據(jù)管理、資產(chǎn)匹配、定位跟蹤、整改復測、總結分析等功能.使漏洞的全生命周期管理工作形成閉環(huán)[5]，解決了傳統(tǒng)的漏洞處置及解決方案中人工處置、效率低下等問題.

統(tǒng)一漏洞管理平臺應用架構如圖1所示.

2 功能模塊設計與實現(xiàn)

2.1 基礎服務管理模塊

基礎服務管理模塊包含管理服務臺和API服務接口2大部分.其中管理服務臺用于平臺的系統(tǒng)配置，進行日志管理、配置用戶及訪問權限等.API服務接口管理平臺用于實現(xiàn)與其他基礎平臺或系統(tǒng)之間的接口調用，包括配置管理數(shù)據(jù)庫(CMDB)、IT服務管理平臺(ITSM)、郵件服務器、短信服務平臺、漏洞掃描器、漏洞掃描軟件以及大數(shù)據(jù)平臺[6]等.其中大數(shù)據(jù)平臺支持流處理、實時分析等多種數(shù)據(jù)分析和處理功能，數(shù)據(jù)信息通過KAFKA消息隊列訂閱[7]的方式提供給其他模塊.

2.2 漏洞來源管理模塊

漏洞的來源主要有漏洞掃描設備或漏洞掃描軟件掃描發(fā)現(xiàn)的漏洞、通過人工滲透測試或其他安全測試發(fā)現(xiàn)的漏洞，以及由官方或權威機構(如CNVD[8]、CNNVD[9]、補天[10]等)整理并發(fā)布的漏洞預警.利用漏洞來源管理模塊可以統(tǒng)一管理以上3個來源的漏洞.

2.2.1 掃描任務管理

通過掃描任務管理可以控制掃描任務的執(zhí)行并收集掃描結果.該組件可通過標準的API二次開發(fā)接口適配主流安全廠商的漏洞掃描引擎，也可將開源的漏洞掃描軟件嵌入其中.掃描內容可覆蓋主機漏洞掃描和應用漏洞掃描.

為了支撐多種漏洞掃描需求，掃描任務分為周期性自動化掃描任務、臨時性掃描任務和復測任務.周期性自動化掃描任務適用于常規(guī)漏洞管理工作場景，對已知資產(chǎn)定期執(zhí)行漏洞掃描.臨時性掃描任務適用于對新增資產(chǎn)、新上線系統(tǒng)等進行安全檢測的臨時性掃描需求.復測任務適用于對存在漏洞的資產(chǎn)進行復測和整改確認.

2.2.2 官方漏洞管理

官方漏洞管理用于收集、整理官方或權威機構的漏洞預警.該組件利用網(wǎng)絡爬蟲技術[11]、網(wǎng)頁處理技術、檢索排序技術等從多個不同的安全漏洞發(fā)布平臺抓取不同類型的安全漏洞信息.同時該組件也支持自主按模板上傳其他特定來源的漏洞信息.

2.2.3 滲透測試管理

滲透測試管理用于收集滲透測試發(fā)現(xiàn)的漏洞信息.該組件支持自主按模板上傳經(jīng)滲透測試發(fā)現(xiàn)的漏洞信息.

2.2.4 弱口令管理

針對口令[12]的掃描及處置需求專門設立了弱口令管理組件.該組件功能與掃描任務管理組件類似，同時還支持賬號口令模板的更新和弱口令的核驗功能.依據(jù)不同的生產(chǎn)情況和工作場景添加新的賬號口令模板，能夠更好地貼合實際情況；通過弱口令核驗功能可調出secureCRT,Navicat,FileZilla等常用軟件，并自動代填檢測出的賬號密碼以驗證掃描結果的準確性，有效降低誤報.

2.3 漏洞數(shù)據(jù)管理模塊

漏洞數(shù)據(jù)管理模塊對漏洞來源管理模塊收集的所有數(shù)據(jù)進行統(tǒng)一接收和規(guī)范化處理，經(jīng)過合并去重等操作后將所有結果存儲在統(tǒng)一漏洞管理平臺的統(tǒng)一漏洞庫中，用以支撐后續(xù)的漏洞查詢、分析、管理等功能.定義一個漏洞的基礎信息包含漏洞CVE編號[13]、公開日期、危害級別、影響產(chǎn)品、漏洞描述、漏洞類型、參考鏈接、漏洞解決方案、廠商補丁等.

2.3.1 統(tǒng)一漏洞庫

統(tǒng)一漏洞庫[14]由5部分組成，除了由漏洞來源管理模塊中各組件收集到的漏洞所形成的漏掃結果庫、官方漏洞庫、滲透測試庫和弱口令庫之外，還設有一個漏洞知識庫.漏洞知識庫作為統(tǒng)一的漏洞數(shù)據(jù)標準化平臺存儲基礎漏洞數(shù)據(jù)，通過不斷收集爬取互聯(lián)網(wǎng)已知的各種漏洞信息，用以支撐不同漏掃結果的合并去重和格式標準化，便于對漏洞信息進行管理和維護.

2.3.2 白名單管理

白名單管理組件可實現(xiàn)對特殊情況的漏洞進行白名單標記，標記后的漏洞將在漏掃任務中被屏蔽，且不參與漏洞數(shù)據(jù)的統(tǒng)計分析.加入白名單包括但不限于以下4種情況：1)經(jīng)驗證后漏洞為掃描器誤報;2)經(jīng)評估后漏洞風險可控無需修復;3)漏洞暫無修復方式或因多種原因無法修復;4)漏洞掃描等漏洞管理操作對資產(chǎn)可用性造成較大威脅，不加入常規(guī)的漏洞管理流程.

2.3.3 檢索查詢管理

檢索查詢管理支持漏洞、時間、資產(chǎn)、負責人、掃描任務等不同維度的檢索查詢功能.檢索維度設置標簽功能，可通過增加控制標簽達到精確檢索.

2.4 漏洞分析管理模塊

漏洞分析管理模塊提供與其他模塊的關聯(lián)分析功能，可關聯(lián)配置管理數(shù)據(jù)庫進行資產(chǎn)匹配和相關信息的核查；可關聯(lián)大數(shù)據(jù)平臺，利用其流處理、分析、存儲等功能進行實時分析和處置；也可依托大數(shù)據(jù)技術進行數(shù)據(jù)分析和數(shù)據(jù)挖掘，從而進行資產(chǎn)畫像的刻畫和漏洞的預測.

2.4.1 漏洞定級管理

漏洞定級管理[15]組件能夠對來自漏洞來源管理模塊的漏洞進行分類[16]和嚴重程度的定級[17].漏洞定級依據(jù)漏洞類型、相關程度、敏感級別、漏洞關鍵字、資產(chǎn)情況、所屬系統(tǒng)等內容，按照權重評分劃分成高危、中危、低危，或按實際需求劃分成更多等級，從而實現(xiàn)安全漏洞的差異化處置和精細化管理[18].

2.4.2 任務對比分析

利用大數(shù)據(jù)分析技術將多次掃描任務或不同時段的漏洞情況進行對比分析，從而支持漏洞展示預警模塊的統(tǒng)計分析功能.

2.4.3 資產(chǎn)匹配管理

資產(chǎn)匹配管理組件關聯(lián)配置管理數(shù)據(jù)庫，為存在漏洞的資產(chǎn)匹配所在系統(tǒng)、所屬業(yè)務、配置信息、關聯(lián)關系、負責人員等詳細信息.同時本組件可聯(lián)動掃描任務管理組件設置如下2個場景：一是針對相對固定的資產(chǎn)觸發(fā)周期性自動化掃描；二是資產(chǎn)發(fā)生變化時，對變化資產(chǎn)進行漏洞狀態(tài)確認并觸發(fā)臨時性掃描任務.

2.5 漏洞處置管理模塊

漏洞處置管理模塊可進行漏洞通知管理、狀態(tài)跟蹤等相關工作.漏洞通知管理組件關聯(lián)郵箱服務器或短信平臺，可根據(jù)資產(chǎn)匹配管理所得到的漏洞負責人信息有針對性地通知負責人進行漏洞預警或漏洞整改.漏洞狀態(tài)跟蹤組件可為每一條漏洞數(shù)據(jù)打上狀態(tài)標簽，對漏洞是否加固完成的狀態(tài)及時進行更新，以完成漏洞全生命周期的閉環(huán)管理，并支持漏洞數(shù)據(jù)的分析統(tǒng)計功能.在漏洞負責人確認漏洞整改完成后，可通過本組件批量下發(fā)掃描任務到漏洞來源管理模塊，進行漏洞掃描復測確認.同時本組件也可關聯(lián)第三方的Workflow[19]管理軟件實現(xiàn)漏洞的處置狀態(tài)跟蹤.

2.6 漏洞展示預警模塊

可利用本模塊發(fā)布漏洞預警，查看統(tǒng)計報表和分析視圖，同時可選擇所需信息依照自定義模板建立分析場景并定制掃描報告.漏洞預警便于信息安全管理人員或資產(chǎn)負責人員查看漏洞信息、資產(chǎn)畫像、漏洞處置及整改等相關統(tǒng)計分析情況.本模塊可提供多種統(tǒng)計報表和分析視圖，用于展示漏洞分析管理模塊的高級分析結果，基于數(shù)據(jù)統(tǒng)計的漏洞風險管理，從不同維度整體展現(xiàn)企業(yè)各業(yè)務系統(tǒng)、各部門的安全漏洞態(tài)勢，形成安全漏洞管理的整體視圖.

統(tǒng)計分析場景可包括：一是全局漏洞分布態(tài)勢(如漏洞總量、不同資產(chǎn)的漏洞分布、不同業(yè)務系統(tǒng)的漏洞分布、不同風險等級的漏洞分布)；二是安全漏洞的變化發(fā)展趨勢(如顯示不同類型的漏洞在某一時間段的數(shù)量變化曲線，以直觀了解業(yè)務系統(tǒng)的漏洞變化趨勢)；三是漏洞加固成果對比分析(體現(xiàn)各業(yè)務系統(tǒng)、各部門在漏洞處置工作中的進度和成效).

3 平臺處置流程實踐

下面以主動觸發(fā)的漏洞掃描及處置為例，利用統(tǒng)一漏洞管理平臺進行漏洞管理，具體流程如圖2所示.

步驟1. 用戶登錄統(tǒng)一漏洞管理平臺.

步驟2. 設置白名單.利用漏洞數(shù)據(jù)管理模塊將無需進行漏洞掃描的特殊情況的資產(chǎn)進行加白處理.

步驟3. 發(fā)起漏洞掃描任務.首先調用漏洞來源管理模塊的掃描任務管理組件，用戶可自主設置掃描資產(chǎn)的IP或域名、掃描時間、掃描并發(fā)數(shù)、掃描優(yōu)先級、掃描服務類型、掃描器類型等內容；然后調用基礎服務管理模塊中的漏洞掃描器進行漏洞掃描.

步驟4. 掃描結果入庫.掃描完成后，掃描器自動將掃描結果推送至漏洞數(shù)據(jù)管理模塊，經(jīng)格式化處理后存入統(tǒng)一漏洞庫.

步驟5. 查看漏洞情況.用戶可從不同維度查看漏洞情況，如查詢當次的掃描結果、對比本月和上月的漏洞數(shù)據(jù)變化情況、為新增漏洞找到負責人、觀察漏洞分布比例和屬性、個性化定制漏洞報告等.

步驟6. 通知整改并跟蹤.利用漏洞處置管理模塊，向一線員工、值班人員、資產(chǎn)負責人等相關人員發(fā)布漏洞整改通報或掃描報告，并及時跟蹤相關人員的反饋.同時平臺可通過定時任務的方式，定期對掃描發(fā)現(xiàn)的漏洞進行復測，繼續(xù)跟蹤未整改完成的漏洞直到漏洞處置完成，形成閉環(huán).

4 平臺成果創(chuàng)新價值

統(tǒng)一漏洞管理平臺提供了一套漏洞全生命周期管理的解決方案，可完成有關安全漏洞事前、事中、事后的全部檢測和處理流程.通過漏洞掃描器、配置管理數(shù)據(jù)庫、大數(shù)據(jù)平臺等之間的相互聯(lián)動，利用單點登錄功能，實現(xiàn)統(tǒng)一平臺的集中調度管控.該平臺從以下4個方面快速、全面、高效地解決安全漏洞問題：

1) 漏洞信息全面獲取.利用漏洞來源管理模塊全面收集來自異構掃描器、掃描軟件、滲透測試及官方通報的漏洞信息，同時利用漏洞數(shù)據(jù)管理模塊對數(shù)據(jù)信息進行規(guī)范化處理，從而保證及時、快速、準確、全面地獲取所有漏洞信息，方便后期對漏洞進一步的處理和展示.

2) 漏洞統(tǒng)一展示預警.匯集漏洞來源管理模塊和漏洞數(shù)據(jù)管理模塊收集的漏洞基礎數(shù)據(jù)信息，以及漏洞分析管理模塊和漏洞處置管理模塊處理的統(tǒng)計結果.利用漏洞展示預警模塊形成漏洞信息的統(tǒng)一呈現(xiàn)，提供豐富的統(tǒng)計報表和分析視圖，用于全面掌握現(xiàn)狀和更加合理的決策.

3) 反饋溝通形成閉環(huán).利用漏洞處置管理模塊全流程跟蹤漏洞的處理及反饋情況.方便安全、研發(fā)及運維人員及時獲取、處置及反饋相關信息，形成良性的反饋溝通機制.確保漏洞的閉環(huán)管理，大大降低漏洞管理流程中由于某環(huán)節(jié)疏漏所帶來的安全風險和隱患.

4) 漏洞管理效率大幅提升.通過自動化的管理方式，在統(tǒng)一平臺上實現(xiàn)的漏洞全生命周期管理相較于傳統(tǒng)的人工處置，不僅提高了漏洞發(fā)布的準確性，也提高了漏洞處置的及時性，從而大大提升了漏洞管理效率.同時，平臺也可通過資源擴容來支持設備增加和系統(tǒng)擴建.

5 結束語

統(tǒng)一漏洞管理平臺為漏洞管理提供了一種參考方案，組織或企業(yè)可依據(jù)自身規(guī)模、所具有的基礎組件等實際情況選擇整個解決方案中的部分模塊或功能進行搭建.基于方便的API接口，可在后期建設過程中更加便捷地進行補充和完善，以優(yōu)化漏洞管理流程，實現(xiàn)高效、自動化的漏洞管理機制.同時平臺還可整體接入態(tài)勢感知或安全管理系統(tǒng)，以實現(xiàn)安全的整體感知與統(tǒng)一管理.后續(xù)工作可遵循PDCA原則[20]，對管理平臺進行持續(xù)的優(yōu)化和改進.