事件驅(qū)動的供應(yīng)鏈安全評估預(yù)警模型研究

邱永哲 張智南

摘 要 供應(yīng)鏈安全是組織整體信息安全體系重要的組成部分。從安全事件對業(yè)務(wù)系統(tǒng)的影響的角度出發(fā)是評估供應(yīng)鏈安全的重要方法。建立了供應(yīng)鏈安全評估預(yù)警模型。模型以安全事件作為評估驅(qū)動力，以業(yè)務(wù)系統(tǒng)及其組件為考察對象，從危害程度、危害部位、危害范圍、修復(fù)方式、修復(fù)時間等5個相關(guān)聯(lián)的維度評估供應(yīng)鏈的安全狀況，最后給出是否需要在組織內(nèi)進行預(yù)警的判斷。在阿帕奇Struts2 S45安全漏洞事件中，利用模型評估了某組織業(yè)務(wù)網(wǎng)站體系的供應(yīng)鏈安全，取得了顯著的效果。

關(guān)鍵詞 供應(yīng)鏈安全；評估；預(yù)警

中圖分類號 TP3 文獻(xiàn)標(biāo)識碼 A 文章編號 1674-6708（2018）206-0135-03

在2017年5月27日出版的2016年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告中，統(tǒng)計了2016年國家信息安全漏洞共享平臺（CNVD）收錄軟硬件漏洞情況。其中，漏洞總數(shù)為10？822個，高危漏洞4？146個，占總數(shù)的38.3%；中危漏洞5？993個，占總數(shù)的55.4%。整體上比2015年增加34%，呈現(xiàn)出上升趨勢。其中可用于實施遠(yuǎn)程網(wǎng)絡(luò)攻擊的漏洞達(dá)到9？503個，占到總數(shù)的87.8%，呈現(xiàn)出非常嚴(yán)峻的安全形勢。從安全運維的角度，可用于遠(yuǎn)程網(wǎng)絡(luò)攻擊的中高危漏洞危害性最強，安全隱患最大，必須優(yōu)先進行處理。但是，許多關(guān)鍵業(yè)務(wù)與發(fā)現(xiàn)漏洞的組件功能緊耦合，無法通過系統(tǒng)或應(yīng)用升級的方式處理，成為安全運維人員必須面對的難題。

究其原因，根本還是在業(yè)務(wù)系統(tǒng)開發(fā)時，沒有考慮網(wǎng)絡(luò)安全方面的需求，造成業(yè)務(wù)系統(tǒng)上線后出現(xiàn)安全問題難以處理。從根本上說，就是沒有從供應(yīng)鏈的角度考慮安全需求。本文第一部分通過分析安全事件對業(yè)務(wù)的影響情況，建立供應(yīng)鏈安全評估預(yù)警模型；第二部分基于Struts2應(yīng)用框架S45漏洞預(yù)警實例討論如何應(yīng)用模型分析供應(yīng)鏈安全；最后進行了總結(jié)和展望。

1 供應(yīng)鏈安全評估預(yù)警模型

在組織安全管理過程中，采購產(chǎn)品的安全性往往是很重要的風(fēng)險點。特別是操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、虛擬化管理平臺系統(tǒng)等的安全性尤為重要。因此，我們從安全事件分析的角度，提出了安全事件驅(qū)動的供應(yīng)鏈安全評估預(yù)警模型，如圖1所示。

如圖1所示，供應(yīng)鏈安全評估預(yù)警模型由安全事件（含安全預(yù)警）驅(qū)動，從危害程度、危害部位、危害范圍、修復(fù)方式、修復(fù)時間5個相關(guān)聯(lián)的維度展開評估。為便于敘述，按照①②③④⑤順序表示上述5個評估維度。

在模型中，安全事件主要考慮兩種兩類。一是安全預(yù)警，主要是由國家網(wǎng)絡(luò)安全主管機關(guān)、第三方安全眾測機構(gòu)以及網(wǎng)絡(luò)安全廠商發(fā)布的漏洞、惡意代碼等安全預(yù)警；二是攻擊事件，主要是在國內(nèi)外互聯(lián)網(wǎng)、專用網(wǎng)，以及行業(yè)內(nèi)發(fā)生的網(wǎng)絡(luò)攻擊事件。

危害程度評估主要評估安全預(yù)警中漏洞、惡意代碼的危害性，攻擊事件中網(wǎng)絡(luò)攻擊的技術(shù)手段，如表1所示。其中序號（如②）表示下一步進入哪一個維度的評估，X表示退出評估（下同）。

危害部位評估主要評估受影響業(yè)務(wù)系統(tǒng)的重要性，如表2所示。其中，關(guān)鍵業(yè)務(wù)系統(tǒng)是指承載核心業(yè)務(wù)，數(shù)據(jù)敏感性要求高或系統(tǒng)可用性要求高的業(yè)務(wù)系統(tǒng)，其余為一般業(yè)務(wù)系統(tǒng)。

危害范圍評估主要評估受影響業(yè)務(wù)系統(tǒng)的分布情況，如表3所示。其中，集中部署是指系統(tǒng)服務(wù)器集中部署在單一地市級范圍內(nèi)或單個公有云內(nèi)；全省部署是指系統(tǒng)服務(wù)器分布式部署在單個省級行政區(qū)內(nèi)；跨省部署是指系統(tǒng)服務(wù)器分布式部署在多個省級行政區(qū)、多個國家或多個公有云，以及上述部署方式的混合模式。

修復(fù)方式評估主要評估修復(fù)業(yè)務(wù)系統(tǒng)脆弱性問題的方式，如表4所示。其中，修改系統(tǒng)配置是指僅通過配置系統(tǒng)組件（包括但不限于操作系統(tǒng)、數(shù)據(jù)庫、中間件、商業(yè)應(yīng)用系統(tǒng)、虛擬化平臺等）參數(shù)即可完成脆弱性問題修復(fù)的方式；升級系統(tǒng)組件是指通過將系統(tǒng)組件升級到不受影響的版本完成脆弱性問題修復(fù)的方式；修改系統(tǒng)代碼是指必須通過修改系統(tǒng)代碼，通過重新編譯生成新版本的方式，主要考慮自研業(yè)務(wù)系統(tǒng)、開源組件定制等場景；外圍安全防護是指不能通過修改配置、升級、修改代碼等方式修復(fù)，但可通過在防火墻、入侵防御系統(tǒng)等外圍安全設(shè)備上設(shè)置防護策略，避免業(yè)務(wù)系統(tǒng)脆弱性被利用。無法正常修復(fù)是指上述修復(fù)手段均無效的場景。

修復(fù)時間評估主要修復(fù)業(yè)務(wù)系統(tǒng)脆弱性問題的時間（T），如表5所示。其中引用了RTO？（Recovery？ Time？Objective，復(fù)原時間目標(biāo)）作為評估指標(biāo)。RTO原指企業(yè)可容許業(yè)務(wù)系統(tǒng)服務(wù)中斷的時間長度，在本文中引申為從安全事件發(fā)布到修復(fù)相關(guān)問題的時間，其數(shù)值主要由評估單位根據(jù)業(yè)務(wù)需求確定。

模型通過定性和定量結(jié)合的方式從5個相關(guān)聯(lián)的維度對業(yè)務(wù)系統(tǒng)進行安全評估，最終確定系統(tǒng)供應(yīng)鏈安全風(fēng)險是否處于高危狀態(tài)，需要發(fā)布相關(guān)預(yù)警。

2 模型應(yīng)用實例

2017年3月6日，阿帕奇網(wǎng)站上公布了Struts2遠(yuǎn)程代碼執(zhí)行漏洞，編號S2-045（國際通用漏洞庫CVE編號：CVE-2017-5638，國家信息安全漏洞共享平臺CNVD編號：CNVD-2017-02474），危害等級為高危（High）。受影響的版本號包括：

1）Struts？2.3.5？-？Struts？2.3.31；

2）Struts？2.5？-？Struts？2.5.10。

根據(jù)國家信息安全漏洞共享平臺抽樣測試結(jié)果，互聯(lián)網(wǎng)上采用阿帕奇Struts2框架的網(wǎng)站（不區(qū)分版本，樣本集>500，覆蓋政府、高校、企業(yè)）受影響比例為60.1%。同時，在互聯(lián)網(wǎng)上已經(jīng)有該漏洞的利用工具傳播，并出現(xiàn)了利用該漏洞攻擊網(wǎng)站，關(guān)鍵數(shù)據(jù)被竊取的案例。

某行業(yè)主管單位下屬858個互聯(lián)網(wǎng)業(yè)務(wù)網(wǎng)站，分布在全國21個省（自治區(qū)、直轄市）。這些網(wǎng)站均直接面向公眾提供業(yè)務(wù)服務(wù)，直接影響公眾日常生活，屬于行業(yè)關(guān)鍵業(yè)務(wù)系統(tǒng)。通過遠(yuǎn)程安全評估方式，發(fā)現(xiàn)該行業(yè)所屬的19個業(yè)務(wù)網(wǎng)站存在此漏洞，并分布在10個省（自治區(qū)、直轄市）。如圖2所示。

按照該行業(yè)24小時的RTO指標(biāo)，在漏洞發(fā)布后24小時對存在S45漏洞網(wǎng)站修復(fù)情況進行復(fù)測，發(fā)現(xiàn)其中8個網(wǎng)站修復(fù)了漏洞，漏洞修復(fù)率僅42.11%。如圖3所示。

根據(jù)供應(yīng)鏈安全評估預(yù)警模型，該漏洞為高危可被用于遠(yuǎn)程攻擊類型，危害跨省部署的關(guān)鍵業(yè)務(wù)系統(tǒng)，部分可通過升級系統(tǒng)組件修復(fù)，部分需通過修改系統(tǒng)代碼修復(fù)，但部分業(yè)務(wù)系統(tǒng)的實際修復(fù)時間大于行業(yè)RTO要求，最終在全行業(yè)進行供應(yīng)鏈安全預(yù)警，要求在業(yè)務(wù)網(wǎng)站開發(fā)中控制阿帕奇Struts2框架的使用，并在現(xiàn)有系統(tǒng)中逐步淘汰阿帕奇Struts2框架。

3 結(jié)論

網(wǎng)絡(luò)安全是一個全應(yīng)用生命周期都需要重視的基礎(chǔ)性工作。在業(yè)務(wù)系統(tǒng)設(shè)計早期就考慮安全需求，能夠用盡可能小的代價控制安全風(fēng)險。在這個過程中，基于供應(yīng)鏈安全評估預(yù)警模型，可以從全行業(yè)的維度去考慮網(wǎng)絡(luò)安全整體布局，為行業(yè)網(wǎng)絡(luò)安全管理工作提供數(shù)據(jù)和方法支撐。