楊麗麗，劉果，李發(fā)財，戚大強，張彬，高貫銀（.中訊郵電咨詢設(shè)計院有限公司，北京 00048；.中國聯(lián)合網(wǎng)絡(luò)通信集團有限公司，北京 00033）

0 前言

隨著信息技術(shù)產(chǎn)業(yè)的蓬勃發(fā)展，信息系統(tǒng)的軟硬件也不斷涌入互聯(lián)網(wǎng)，由此產(chǎn)生的軟硬件漏洞以及公網(wǎng)暴露面給信息系統(tǒng)帶來了諸多安全風(fēng)險。輕者使得系統(tǒng)信息被泄露，重者導(dǎo)致系統(tǒng)被控制，甚至使整個系統(tǒng)以及網(wǎng)絡(luò)癱瘓。

面對漏洞的諸多安全威脅，信息系統(tǒng)的漏洞修復(fù)一直是各主體單位的重點關(guān)注對象，但是目前漏洞的閉環(huán)管理工作大部分還是以漏掃工具和人工修復(fù)判斷為主。一般通過漏掃發(fā)現(xiàn)漏洞，經(jīng)過維護人員的評估，在業(yè)務(wù)閑時對其進行修復(fù)，漏洞的評估和修復(fù)通常以一個獨立的漏洞孤島來看待。這種模式能從根本上解決漏洞本身的風(fēng)險，但也存在很多弊端，比如，帶來系統(tǒng)可用性以及兼容性問題，修復(fù)操作以及修復(fù)效果不透明，修復(fù)方案的移植性較差，運維人員需要全面了解業(yè)務(wù)環(huán)境的相關(guān)性以及漏洞的危害。

從以上場景看，為了減小和防范系統(tǒng)漏洞風(fēng)險，需要高度依賴人工經(jīng)驗，這不可避免地帶來一些其他負面問題。通過一些技術(shù)手段對系統(tǒng)的基本信息進行統(tǒng)一管理，結(jié)合漏洞掃描、滲透測試等技術(shù)，動態(tài)地發(fā)現(xiàn)漏洞以及漏洞被利用的風(fēng)險；之后，通過對漏洞的風(fēng)險評估和業(yè)務(wù)影響的決策分析，形成從路徑阻斷到完全修復(fù)的過渡方案，實現(xiàn)系統(tǒng)在安全性和可用性方面的平衡，降低因片面的漏洞評估產(chǎn)生的負面影響。從該角度出發(fā)，提出基于動態(tài)系統(tǒng)畫像的漏洞風(fēng)險遏制方案。

1 整體方案

本方案是以信息系統(tǒng)的資產(chǎn)管理為脈絡(luò)，通過動態(tài)調(diào)度漏掃、滲透測試、攻防專家經(jīng)驗庫為系統(tǒng)進行安全畫像，安全畫像主要暴露系統(tǒng)漏洞引入的風(fēng)險點以及可能利用的風(fēng)險路徑。經(jīng)過對畫像中風(fēng)險阻斷以及系統(tǒng)的業(yè)務(wù)影響決策，產(chǎn)生適用于當(dāng)下的風(fēng)險遏制操作，經(jīng)過遏制策略以及動態(tài)分析的迭代調(diào)整，逐步完成漏洞根本問題的修復(fù)，從而使系統(tǒng)安全畫像的風(fēng)險點位處于收斂趨勢。整體方案如圖1所示。

圖1 整體方案示意圖

其中，資產(chǎn)管理的安全畫像為動態(tài)計算的過程，隨著資產(chǎn)管理內(nèi)的資產(chǎn)范圍、邊界以及漏洞庫等因素的變化，自動觸發(fā)評估工具，從而更新安全畫像的信息。隨著安全畫像中的新風(fēng)險暴露，自動觸發(fā)決策分析，通過決策分析得到是否產(chǎn)生新的風(fēng)險遏制手段以及可能的影響范圍。風(fēng)險的遏制策略在決策分析中需要綜合考慮對系統(tǒng)業(yè)務(wù)可用性以及當(dāng)前威脅的程度。隨著風(fēng)險遏制策略的實施，安全畫像的整體風(fēng)險會減小。

就方案的設(shè)計思路（見圖2）做如下介紹。

圖2 方案的設(shè)計思路

a）系統(tǒng)安全畫像是將系統(tǒng)內(nèi)資產(chǎn)的漏洞風(fēng)險進行統(tǒng)一管理，除了單個資產(chǎn)的漏洞風(fēng)險，還對漏洞風(fēng)險的影響面進行評估，從而建立資產(chǎn)與資產(chǎn)之間的風(fēng)險關(guān)鍵路徑。資產(chǎn)管理的基礎(chǔ)信息（操作系統(tǒng)、軟件版本、業(yè)務(wù)屬性）、網(wǎng)絡(luò)拓撲、安全邊界等為系統(tǒng)安全畫像的過程提供了基本的數(shù)據(jù)支撐，同時也為下一步的決策分析提供了全面的分析維度。

b）決策分析是針對系統(tǒng)安全畫像的風(fēng)險以及風(fēng)險的影響路徑進行全端點、全路徑覆蓋分析，通過加入風(fēng)險權(quán)重、資產(chǎn)的保護等級、業(yè)務(wù)影響的接受程度、業(yè)務(wù)閑時/忙時的數(shù)據(jù)統(tǒng)計等多因素進行決策，生成針對客觀條件下業(yè)務(wù)影響范圍最小、風(fēng)險阻斷效率較高的風(fēng)險遏制策略。該策略包含按不同時段、不同優(yōu)先級的多項操作步驟，為系統(tǒng)運維人員的操作提供詳細指南。

c）風(fēng)險遏制是運維人員按照決策分析結(jié)果進行風(fēng)險遏制的實施環(huán)節(jié)。運維人員通過選擇系統(tǒng)安全畫像的風(fēng)險點或者風(fēng)險路徑進行實施，操作完成后相應(yīng)的風(fēng)險點以及路徑在安全畫像上隨之消失或風(fēng)險處于減小趨勢，修復(fù)效果在系統(tǒng)畫像中得到充分體現(xiàn)。

以上3 個環(huán)節(jié)從風(fēng)險的發(fā)現(xiàn)評估、遏制策略分析和策略實施操作對漏洞風(fēng)險進行了有效的閉環(huán)管理。同時，隨著調(diào)度算法的調(diào)優(yōu)將會極大地提高系統(tǒng)漏洞風(fēng)險的暴露速度以及系統(tǒng)畫像的準確度，策略分析算法的優(yōu)化將逐步降低策略建議的復(fù)雜度并減少無效操作。

2 詳細設(shè)計

2.1 系統(tǒng)安全畫像

系統(tǒng)安全畫像是以資產(chǎn)管理為基礎(chǔ)，加入對資產(chǎn)的漏洞動態(tài)評估過程，利用知識圖譜技術(shù)將資產(chǎn)漏洞評估產(chǎn)生的安全風(fēng)險以及風(fēng)險發(fā)生的相關(guān)路徑進行關(guān)系定義而形成的一張系統(tǒng)安全全景圖。采用知識圖譜直觀地呈現(xiàn)資產(chǎn)與風(fēng)險，資產(chǎn)與資產(chǎn)，風(fēng)險與風(fēng)險的關(guān)系網(wǎng)絡(luò)。在圖譜中的每一個資產(chǎn)的安全風(fēng)險的評估結(jié)果都不是獨立產(chǎn)生的，其需要從關(guān)系網(wǎng)中的相互影響評估獲得。系統(tǒng)安全畫像示意圖如圖3 所示。

圖3 系統(tǒng)安全畫像示意圖

2.1.1 目標

a）建立基于系統(tǒng)的知識圖譜體系，為系統(tǒng)安全畫像提供風(fēng)險附著點、風(fēng)險影響路徑、風(fēng)險嚴重程度的可視化，方便系統(tǒng)運維人員對系統(tǒng)安全概況進行全局了解。

b）通過資產(chǎn)變化以及資產(chǎn)關(guān)聯(lián)關(guān)系的變化，動態(tài)調(diào)度檢測工具對資產(chǎn)進行實時評估和數(shù)據(jù)收集，使系統(tǒng)安全畫像的時效性得到保障。

c）對系統(tǒng)安全畫像中的風(fēng)險進行全流程閉環(huán)管理，方便回溯系統(tǒng)漏洞從發(fā)現(xiàn)到遏制過程的合理性和有效性，為系統(tǒng)安全畫像以及決策分析提供評價指標。

2.1.2 設(shè)計方法

系統(tǒng)安全畫像的形成大致總結(jié)為以下4 個環(huán)節(jié)，如圖4所示。

圖4 系統(tǒng)安全畫像過程

a）資產(chǎn)管理的數(shù)據(jù)收集階段。通過系統(tǒng)歷史臺賬、資產(chǎn)發(fā)現(xiàn)工具、開放錄入渠道等作為系統(tǒng)資產(chǎn)搜集的來源，搜集的資產(chǎn)屬性主要包含業(yè)務(wù)屬性、網(wǎng)絡(luò)拓撲、安全策略信息、資產(chǎn)保護等級等。以上屬性中網(wǎng)絡(luò)拓撲和安全策略信息會在系統(tǒng)畫像建立知識圖譜的過程中發(fā)揮重要作用，由于網(wǎng)絡(luò)的連接以及安全策略的開放，不同資產(chǎn)的漏洞可能會被聯(lián)合利用或者迭代利用，從2 個低危漏洞演變成系統(tǒng)的1 個高危風(fēng)險。而業(yè)務(wù)屬性（業(yè)務(wù)閑時/忙時、業(yè)務(wù)的功能屬性、迭代版本時間等）、資產(chǎn)等級保護等會在決策分析環(huán)節(jié)起關(guān)鍵作用。

b）系統(tǒng)安全畫像的數(shù)據(jù)形成。資產(chǎn)范圍的新增會自動觸發(fā)漏洞檢測工具和自動化滲透測試工具的動態(tài)調(diào)度。從漏洞掃描中獲得單個資產(chǎn)的漏洞信息以及指紋信息，完成對單個漏洞或資產(chǎn)的風(fēng)險評估。通過滲透測試對漏洞的利用價值進行評估，生成系統(tǒng)可能被攻擊的路徑以及漏洞利用的路徑。在此過程中，通過對漏洞的組合利用和關(guān)聯(lián)分析，可以形成新的風(fēng)險點。在系統(tǒng)滲透的過程中根據(jù)漏洞的利用價值給予攻擊路徑一定的權(quán)重信息，該權(quán)重直觀地反映了風(fēng)險的嚴重程度。通過知識圖譜對上述基礎(chǔ)信息以及風(fēng)險信息進行組織，形成具有關(guān)聯(lián)關(guān)系的網(wǎng)絡(luò)圖譜。

c）系統(tǒng)安全畫像的數(shù)據(jù)補充。通過系統(tǒng)定期的攻防演練，收集攻防專家經(jīng)驗以及成果，加強系統(tǒng)安全性。雖然此種活動的持續(xù)性較低，但對系統(tǒng)的安全性提升會有較大突破，尤其是系統(tǒng)風(fēng)險點以及風(fēng)險路徑的發(fā)現(xiàn)得到進一步豐富，使系統(tǒng)的安全畫像更具真實性。

d）系統(tǒng)安全畫像的風(fēng)險閉環(huán)管理。運維人員基于安全畫像的風(fēng)險點或風(fēng)險路徑進行相應(yīng)的風(fēng)險遏制操作。隨著操作的實施，畫像中風(fēng)險點以及風(fēng)險路徑的權(quán)重會隨之減弱或消除。直到一系列的風(fēng)險遏制策略實施完成，風(fēng)險點會從安全畫像中消失，從而實現(xiàn)風(fēng)險閉環(huán)管理。查看資產(chǎn)管理節(jié)點時可查看該資產(chǎn)出現(xiàn)的所有歷史風(fēng)險遏制操作數(shù)據(jù)。

2.2 決策分析

2.2.1 目標

決策分析基于系統(tǒng)安全畫像中的多維屬性，通過決策算法規(guī)劃出從控制風(fēng)險到消除風(fēng)險的一些遏制點，同時動態(tài)調(diào)度安全策略知識庫，提取針對風(fēng)險或風(fēng)險路徑的最優(yōu)遏制方法，經(jīng)過遏制點和遏制策略的組合生成一組遏制策略方案。

2.2.2 設(shè)計方法

決策分析的建模環(huán)節(jié)大致需要經(jīng)過以下4 個步驟，如圖5所示。

圖5 決策分析過程

a）識別系統(tǒng)安全畫像中參與決策分析的屬性，比如重點關(guān)注的風(fēng)險點、風(fēng)險關(guān)聯(lián)路徑及權(quán)重、風(fēng)險值、系統(tǒng)業(yè)務(wù)屬性、資產(chǎn)保護等級等屬性。隨著模型的訓(xùn)練，根據(jù)屬性在模型中的貢獻度調(diào)整模型涉及的屬性范圍。

b）建立決策算法，優(yōu)先采用加權(quán)決策樹預(yù)測每一個風(fēng)險決策路徑的結(jié)果，決策樹的路徑選擇方法是模擬人工判斷風(fēng)險決策的過程。決策樹中的葉子節(jié)點即為每一個風(fēng)險點或風(fēng)險路徑，而其他屬性即為子節(jié)點的特征。對于決策算法中的已知風(fēng)險，風(fēng)險的相關(guān)特征相對比較穩(wěn)定，決策算法的預(yù)測結(jié)果會比較準確。而對于新的未知風(fēng)險，影響因素的特征值估算不準可能會對模型造成干擾，將列入異常邊界數(shù)據(jù)進行處理。隨著不斷的測量，將未知風(fēng)險轉(zhuǎn)化為已知風(fēng)險，從而提高算法的預(yù)測準確度。

c）決策算法中針對一個節(jié)點（即風(fēng)險）出發(fā)進行計算，得到每一輪決策的最佳的阻斷方案。而對于同一風(fēng)險，其起始決策結(jié)果很大程度對業(yè)務(wù)的特征依賴度較高，故從風(fēng)險的角度只是減小漏洞最大可能利用的概率，大概率并未根除。隨著決策路徑覆蓋范圍變廣，待參與決策樹的路徑變短以及噪聲數(shù)據(jù)的減少，消除風(fēng)險方案的形成也趨于穩(wěn)定和集中，風(fēng)險的消除方案必然會產(chǎn)生。

d）建立決策分析中的安全策略知識庫，決策分析的過程需要依賴調(diào)度對應(yīng)風(fēng)險的安全策略知識庫。該知識庫收集了大量的風(fēng)險類型的控制和消除方案，一般來自于官方漏洞庫的解決方案和系統(tǒng)維護人員處置風(fēng)險的經(jīng)驗積累。

2.3 風(fēng)險遏制

2.3.1 目標

風(fēng)險遏制是基于決策分析產(chǎn)生的策略方案，運維人員進行實施操作的過程，此過程在遏制風(fēng)險的同時，快速提升運維人員對系統(tǒng)架構(gòu)的熟悉程度。而人工對策略方案的分析，可能找到更加合理的策略方案，從而有利于系統(tǒng)的回歸優(yōu)化。

2.3.2 設(shè)計方法

風(fēng)險遏制的實施過程及對整體方案的影響如圖6所示。

圖6 風(fēng)險遏制過程及影響

a）系統(tǒng)運維人員根據(jù)遏制風(fēng)險策略方案，基于系統(tǒng)畫像找到操作的風(fēng)險點或風(fēng)險路徑，實施對畫像中對應(yīng)風(fēng)險點的標記操作。

b）標記的風(fēng)險點自動觸發(fā)畫像的觸點關(guān)聯(lián)性重評估，評估運維人員實施效果有效性。如運維人員誤操作，風(fēng)險遏制并未達到預(yù)期效果，此時在畫像中給予特殊標記提醒。如運維人員的操作達到效果，但與推薦方案預(yù)期不符，則系統(tǒng)記錄差異。如運維人員操作方案以及結(jié)果與模型相符，則對應(yīng)的風(fēng)險點從畫像中消失，該風(fēng)險點的處置處于閉環(huán)狀態(tài)。

c）風(fēng)險遏制的操作結(jié)果即為對系統(tǒng)整體流程的驗證環(huán)節(jié)，驗證漏洞風(fēng)險以及路徑設(shè)計的合理性，以及策略規(guī)劃的有效性。

3 總結(jié)

本文從信息系統(tǒng)漏洞帶來的風(fēng)險出發(fā)，考慮安全運維團隊對漏洞修復(fù)普遍存在的問題，提出基于系統(tǒng)安全畫像的漏洞風(fēng)險遏制方案，權(quán)衡風(fēng)險修復(fù)操作的利弊問題，在保障風(fēng)險可控的同時，兼容系統(tǒng)可用性、可靠性方面的要求。

另外隨著時間的推移，由于大部分信息系統(tǒng)的業(yè)務(wù)復(fù)雜度逐步提升以及人員的更替問題，無法保證漏洞評估和修復(fù)的時效性以及有效性。而通過系統(tǒng)安全畫像使系統(tǒng)基礎(chǔ)信息以及風(fēng)險程度可視化，運維人員在處理系統(tǒng)風(fēng)險的同時了解了系統(tǒng)的基本架構(gòu)及周邊關(guān)系，通過系統(tǒng)決策分析產(chǎn)生的風(fēng)險遏制方案使運維人員的日常工作變的規(guī)范化、簡單化。