面向運(yùn)營(yíng)商行業(yè)的漏洞全生命周期管理解決方案

０引言安全漏洞是網(wǎng)絡(luò)威脅的根源之一。大部分嚴(yán)重的網(wǎng)絡(luò)安全威脅都是由信息系統(tǒng)所存在的安全漏洞誘發(fā)的，由漏洞所引發(fā)的安全事件可能會(huì)造成經(jīng)濟(jì)損失、聲譽(yù)影響，甚至有可能違法，因此落實(shí)好網(wǎng)絡(luò)安全漏洞管理，及時(shí)發(fā)現(xiàn)和處理漏洞是安全防范工作的重中之重。１方案背景漏洞管理工作在運(yùn)營(yíng)商及各行業(yè)已經(jīng)開(kāi)展多年，在風(fēng)險(xiǎn)管理工作中，漏洞管理能夠防患于未然，是投入和效果比最高的管理環(huán)節(jié)，已經(jīng)得到充分認(rèn)識(shí)和廣泛的基礎(chǔ)建設(shè)和實(shí)踐。但隨著攻防技術(shù)的發(fā)展，漏洞數(shù)量的逐年增多（根據(jù)《2019年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》數(shù)據(jù)顯示，2019年，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄安全漏洞數(shù)量創(chuàng)下歷史新高，收錄安全漏洞數(shù)量同比增長(zhǎng)14.0%，共計(jì)16,193個(gè)，2013年以來(lái)每年平均增長(zhǎng)率為12.7%），由安全漏洞所引發(fā)的安全事件頻發(fā)，業(yè)務(wù)發(fā)展帶來(lái)的資產(chǎn)數(shù)量的快速增加使得需要處理的漏洞成倍增長(zhǎng)，安全形勢(shì)的變化以及各方面安全合規(guī)的要求，導(dǎo)致傳統(tǒng)的漏洞發(fā)現(xiàn)和管理方式，開(kāi)始面對(duì)越來(lái)越多的挑戰(zhàn)，難以滿足實(shí)際網(wǎng)絡(luò)安全漏洞管理的需要，如圖1所示。圖1為什么需要進(jìn)行漏洞管理傳統(tǒng)漏洞發(fā)現(xiàn)和管理方式主要存在以下幾方面的局限性：（1）漏洞管理缺乏有效跟蹤傳統(tǒng)的電子郵件，線下報(bào)告等漏洞管理方式缺乏有效跟蹤，無(wú)法系統(tǒng)性的從上至下貫徹安全漏洞管理方針，有效實(shí)現(xiàn)漏洞閉環(huán)管理，從而容易出現(xiàn)安全漏洞屢禁不絕、屢查不止，缺乏有效監(jiān)管和跟蹤等現(xiàn)象。（2）缺乏復(fù)查手段，安全漏洞死灰復(fù)燃需要漏洞定期自動(dòng)核查手段，避免出現(xiàn)安全檢查前臨時(shí)修補(bǔ)漏洞，安全檢查后恢復(fù)原狀的現(xiàn)象出現(xiàn)。（3）缺乏數(shù)據(jù)深入挖掘由于缺乏對(duì)漏洞信息、檢查結(jié)果、影響分布、整改狀況等相關(guān)數(shù)據(jù)進(jìn)行多角度、多層次的挖掘，使用戶(hù)難以從責(zé)任、趨勢(shì)、對(duì)比等角度衡量漏洞管理工作的情況。（4）新安全漏洞層出不窮隨著信息行業(yè)的發(fā)展以及5G、大數(shù)據(jù)、人工智能等新技術(shù)的應(yīng)用，新的安全漏洞不斷被發(fā)現(xiàn)，需要具備新漏洞的迅速感知能力。２方案目標(biāo)漏洞管理平臺(tái)作為運(yùn)營(yíng)商日常安全漏洞預(yù)警、分析、處置的支持系統(tǒng)，以漏洞閉環(huán)管理、漏洞快速預(yù)警響應(yīng)、漏洞管理可視化為目標(biāo)，通過(guò)漏洞情報(bào)采集分析、漏洞預(yù)警發(fā)布、漏洞識(shí)別、漏洞確認(rèn)、漏洞整改、漏洞驗(yàn)證、漏洞白名單及漏洞信息庫(kù)等功能，實(shí)現(xiàn)漏洞情報(bào)發(fā)現(xiàn)漏洞的威脅性、漏洞預(yù)警發(fā)布關(guān)聯(lián)資產(chǎn)漏洞及時(shí)性、漏洞采集數(shù)據(jù)的全面性，使得管理人員可以有效地跟蹤漏洞生命周期，實(shí)現(xiàn)漏洞全生命周期的可視、可控和可管，提升安全合規(guī)管理工作。漏洞閉環(huán)管理：從漏洞識(shí)別、漏洞確認(rèn)、漏洞整改、漏洞消除四個(gè)步驟實(shí)現(xiàn)對(duì)漏洞生命周期的全閉環(huán)管理。漏洞預(yù)警快速響應(yīng)：漏洞情報(bào)與資產(chǎn)進(jìn)行關(guān)聯(lián)分析匹配推送漏洞預(yù)警，通知IT管理人員當(dāng)前的安全威脅會(huì)影響的相關(guān)業(yè)務(wù)、資產(chǎn)、系統(tǒng)、安全風(fēng)險(xiǎn)的嚴(yán)重程度，有效防范安全風(fēng)險(xiǎn)。漏洞管理可視化：從多維度、多層次提供漏洞視圖，包括漏洞類(lèi)型分布、漏洞影響范圍、漏洞整改進(jìn)度和比例等，清楚掌握全網(wǎng)的安全健康狀況。３方案設(shè)計(jì)3.1平臺(tái)架構(gòu)漏洞管理平臺(tái)（如圖2所示）通過(guò)漏洞情報(bào)采集分析、持續(xù)資產(chǎn)脆弱性關(guān)聯(lián)分析預(yù)警、資產(chǎn)漏洞全生命周期過(guò)程閉環(huán)控制（漏洞識(shí)別、漏洞確認(rèn)、漏洞整改、漏洞消除）等核心業(yè)務(wù)模塊及一些輔助模塊（外部接口、白名單、知識(shí)庫(kù)、報(bào)表統(tǒng)計(jì)分析等），實(shí)現(xiàn)漏洞情報(bào)的實(shí)時(shí)收集、漏洞的威脅性（對(duì)資產(chǎn)可能的危害程度）持續(xù)預(yù)警發(fā)布、資產(chǎn)脆弱性的即時(shí)發(fā)現(xiàn)、即時(shí)修復(fù)、持續(xù)改進(jìn)、持續(xù)評(píng)估的漏洞閉環(huán)管理業(yè)務(wù)模式。漏洞管理平臺(tái)具有跨平臺(tái)、分布式、分層、模塊化、可組合、可伸縮的體系架構(gòu)；各功能模塊之間的通訊采用標(biāo)準(zhǔn)通訊接口，通過(guò)底層通訊總線完成各功能模塊之間的數(shù)據(jù)交互和調(diào)用，保證系統(tǒng)部署的靈活性和穩(wěn)定、可靠、高性能的運(yùn)行；適應(yīng)安全管理系統(tǒng)的變化，具備良好的功能擴(kuò)展性和開(kāi)放性。圖2漏洞管理平臺(tái)架構(gòu)漏洞管理平臺(tái)包括漏洞情報(bào)管理、資產(chǎn)管理、資產(chǎn)脆弱性預(yù)警分析及管理、漏洞閉環(huán)管理、報(bào)表統(tǒng)計(jì)、知識(shí)庫(kù)、漏洞驗(yàn)證復(fù)測(cè)、外部接口等。（1）漏洞情報(bào)基于漏洞情報(bào)采集引擎，自動(dòng)收集最新漏洞情報(bào)等信息，信息來(lái)源包括CVE、CNVD等，定期與平臺(tái)進(jìn)行漏洞情報(bào)數(shù)據(jù)同步、展示和關(guān)聯(lián)分析。（2）資產(chǎn)管理實(shí)現(xiàn)主動(dòng)資產(chǎn)發(fā)現(xiàn)、資產(chǎn)持續(xù)檢測(cè)、資產(chǎn)信息管理維護(hù)及資產(chǎn)信息展現(xiàn)等功能。支持資產(chǎn)自動(dòng)偵測(cè)、錄入與批量導(dǎo)入、與第三方CMDB數(shù)據(jù)即時(shí)同步、資產(chǎn)信息變化實(shí)時(shí)感知。（3）資產(chǎn)脆弱性預(yù)警分析及管理通過(guò)漏洞情報(bào)與資產(chǎn)指紋信息的關(guān)聯(lián)分析匹配，實(shí)現(xiàn)快速、高效的漏洞威脅預(yù)警[3]和受漏洞影響的資產(chǎn)統(tǒng)計(jì)，實(shí)現(xiàn)對(duì)資產(chǎn)脆弱性持續(xù)的監(jiān)控，對(duì)最新漏洞影響的及時(shí)預(yù)警和掌控。（4）漏洞閉環(huán)管理負(fù)責(zé)漏洞多種方式的采集，并結(jié)合工單系統(tǒng)、漏洞修復(fù)審核、漏洞延期等功能來(lái)驅(qū)動(dòng)漏洞的識(shí)別、確認(rèn)、整改、消除的閉環(huán)過(guò)程控制。（5）漏洞復(fù)測(cè)與驗(yàn)證通過(guò)POC漏洞驗(yàn)證、漏洞復(fù)測(cè)等方式對(duì)已發(fā)現(xiàn)或已修復(fù)加固的漏洞進(jìn)行快速誤報(bào)驗(yàn)證和復(fù)測(cè)驗(yàn)證，以自動(dòng)化的方式完成漏洞誤報(bào)確認(rèn)、修復(fù)加固確認(rèn)等工作。（6）報(bào)表統(tǒng)計(jì)分析為用戶(hù)直觀地、多維度地展示系統(tǒng)的關(guān)鍵數(shù)據(jù)，主要包括：業(yè)務(wù)和資產(chǎn)信息的統(tǒng)計(jì)分析報(bào)表、資產(chǎn)脆弱性預(yù)警信息統(tǒng)計(jì)分析報(bào)表、漏洞信息及影響分布統(tǒng)計(jì)分析報(bào)表、漏洞整改信息統(tǒng)計(jì)分析等各類(lèi)報(bào)表信息。（7）知識(shí)庫(kù)漏洞修復(fù)加固過(guò)程形成的知識(shí)經(jīng)驗(yàn)經(jīng)過(guò)匯總積累、共享，可指導(dǎo)協(xié)助后續(xù)同類(lèi)漏洞修復(fù)加固工作，提升漏洞修復(fù)加固工作效率及水平。（8）外部接口提供各種外部接口，包括：資產(chǎn)信息同步接口、任務(wù)管理接口、漏洞威脅預(yù)警接口，并且可與外部第三方CMDB系統(tǒng)、工單系統(tǒng)、管理平臺(tái)進(jìn)行集成對(duì)接。４方案效果4.1漏洞管理全閉環(huán)網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的過(guò)程，網(wǎng)絡(luò)結(jié)構(gòu)的調(diào)整、配置的變更、系統(tǒng)的升級(jí)、新應(yīng)用的上線、新的安全漏洞和攻擊方式等因素都可能帶來(lái)新的安全問(wèn)題和風(fēng)險(xiǎn)。因此需要通過(guò)持續(xù)性、周期性的漏洞發(fā)現(xiàn)、漏洞確認(rèn)、漏洞整改、漏洞消除步驟實(shí)現(xiàn)對(duì)漏洞的全生命周期管理（如圖3所示），進(jìn)而推動(dòng)日常安全漏洞的加固管理工作，實(shí)現(xiàn)漏洞全生命周期的可視、可控和可管，提升整體漏洞風(fēng)險(xiǎn)管理水平。圖3漏洞生命周期閉環(huán)管理4.2最新漏洞及時(shí)預(yù)警面對(duì)最新出現(xiàn)的漏洞，傳統(tǒng)的漏洞掃描方式需要漏掃系統(tǒng)升級(jí)后進(jìn)行掃描，當(dāng)面臨的資產(chǎn)規(guī)模較大時(shí)，掃描需要一定的周期，在這個(gè)時(shí)段相關(guān)資產(chǎn)將會(huì)面臨被攻擊的風(fēng)險(xiǎn)，通過(guò)漏洞情報(bào)與資產(chǎn)指紋信息的關(guān)聯(lián)匹配，可快速，高效的發(fā)現(xiàn)受漏洞影響的資產(chǎn)并進(jìn)行預(yù)警，及時(shí)有效的處理可降低風(fēng)險(xiǎn)，減少影響。4.3建立統(tǒng)一知識(shí)庫(kù)通過(guò)漏洞管理平臺(tái)可建立統(tǒng)一知識(shí)庫(kù)，形成有效的共享和積累，提升漏洞管理和處理能力。日常漏洞修復(fù)過(guò)程的經(jīng)驗(yàn)和知識(shí)、漏洞加固知識(shí)方案均可通過(guò)漏洞管理平臺(tái)進(jìn)行持續(xù)統(tǒng)一的匯總、積累、共享，最大程度地發(fā)揮知識(shí)庫(kù)的作用。4.4漏洞管理可視化通過(guò)多維度、多層次提供資產(chǎn)、漏洞及影響、漏洞整改等視圖，可清晰掌握全網(wǎng)的安全健康狀況，提升風(fēng)險(xiǎn)管理能力和水平，實(shí)現(xiàn)漏洞等風(fēng)險(xiǎn)全生命周期的可視、可控、可管。５結(jié)語(yǔ)網(wǎng)絡(luò)安全