一種信息安全漏洞管理方案的實踐

葉明達 黃智 張寒之

摘 要：隨著互聯網發展，企業信息資產數量不斷擴張，安全漏洞數量不斷增多，由于補丁升級、漏洞修復等操作具備較強的專業性及業務相關性，因此企業安全漏洞管理也面臨著諸多困難，比如漏洞掃描產品難以支撐管理要求；運維團隊人員缺失且安全知識不足。漏洞管理需結合漏洞風險程度、漏洞利用性質等，同時安全漏洞管理離不開實際生產環境，需分步治理，長期運營。

關鍵詞：信息安全；漏洞管理；系統漏洞；主機漏洞

中圖分類號：TP393.08 文獻標識碼：A

1 引言

近10年來互聯網大發展，正逐漸改變人們的生活娛樂方式，同時推動了生產系統的更新換代和生產方式的變革。然而，生產力大大提高的同時，網絡的脆弱性也將生產系統暴露給別有用心者，甚至導致災難性的破壞，各個互聯網公司的應用也越來越多、安全域不斷調整、設備數量種類不斷增加、業務邏輯越來越復雜。與此同時，安全漏洞也層出不窮，隨時威脅著系統、數據、業務的安全，安全漏洞的研究與管理勢在必行。

信息安全領域涵蓋IT行業多個細分領域，對信息安全運維、管理工作者有著較高的技術、管理要求。因此，研究企業安全漏洞管理方法，搭建標準統一的漏洞管理系統，對于提高各廠商產品安全性、提升安全管理效率、降低安全管理門檻具有重要意義。

2 安全漏洞的定義

漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統，使受限制的計算機、組件、應用程序或其他聯機資源的無意中留下的不受保護的入口點。常見的安全漏洞有幾種。

（1）代碼注入——包括SQL注入在內的廣義攻擊，它取決于插入代碼并由應用程序執行。

（2）會話固定——這是一種會話攻擊，通過該漏洞攻擊者可以劫持一個有效的用戶會話。會話固定攻擊可以在受害者的瀏覽器上修改一個已經建立好的會話，因此在用戶登錄前可以進行惡意攻擊。

（3）路徑訪問，或者“目錄訪問”——旨在訪問儲存在Web根文件外的文件或者目錄。

（4）弱密碼，字符少、數字長度短以及缺少特殊符號——這種密碼相對容易破解[3]。

3 企業安全漏洞管理面臨的困難

3.1 漏掃產品難以支撐管理要求

其實很多企業、組織混淆了漏洞管理工作和漏洞評估產品的概念，認為買了漏洞掃描產品能解決所有問題。企業、組織內部的漏洞管理要求，是圍繞著如何更好的使用漏洞掃描產品而制定。

但在國際著名咨詢機構Gartner的觀點中，無論如何“漏洞管理”是不可能通過購買而獲得的，漏洞管理是在安全脆弱性被利用前，發現并作出修補的關鍵流程。這個流程包括定義安全策略、評估、防護、消減和監控等環節。而安全流程不是應用、軟件、服務，是不能買來的，需要組織或企業自發建立，并且要適合自身實際情況。

市場上現有的多數漏洞掃描產品，只能做到漏洞管理流程中的漏洞評估一個環節的工作，可以稱之為漏洞評估產品。漏洞評估產品只是管理流程中的一個環節，它應該包括對設備、系統層面的漏洞發現，Web站點等應用層面的漏洞發現，同時也要能夠人員操作層面的配置錯誤和疏忽。

而漏洞管理流程同時還需要完善的管理制度、自動化IT安全管理平臺、執行制度的人等共同支撐流程的運轉，目前市場上充當管理平臺角色的一般是大而全的SOC系統或SIME，應用復雜缺少針對性。

3.2 漏洞運維管理成本和專業性

漏洞運維管理成本和專業性主要表現在兩個方面。

（1）企業漏洞運維投入資源有限。實際漏洞的數量非常巨大，如果按照純人工計算，要實現有效的安全運維需要非常高昂的人工成本，這些高昂的成本往往是企業難以負擔也不愿負擔的。

（2）知識獲取困難。安全攻防知識體系包括很多內容，一個合格的安全人員不但需要了解最新的安全漏洞前沿資訊或情報，具備深厚的安全專業技術功底，往往也需要對業務有這深刻的了解。在實際工作中，無論是安全情報，還是業務知識，這些信息的獲取都是非常困難的。

4 安全漏洞管理實施方案

安全漏洞管理離不開實際生產環境，根據等級保護、行業等相關要求，從公司實際安全性考慮，業務系統進行了分級分域管理，那么對于安全漏洞的管理也需要充分考慮安全漏洞歸屬資產的實際業務環境。再者，需要結合安全漏洞管理本身的性質，例如上文所說是否屬于軟件版本漏洞，還是屬于原理掃描發現的安全漏洞。所以，從實際出發總結了一下漏洞管理的基本思路，分為三步，如圖1所示。

（1） 確定資產安全等級。根據“安全風險模型”對業務系統相關資產進行安全定級。影響的定級的因素主要包含資產重要性（承載的業務及數據重要性）、面臨安全風險大小（是否允許外網訪問存在外部攻擊風險）兩個方面。

（2） 確定漏洞整改優先級。根據漏洞資產重要性、風險值、易利用程度等方面對漏洞整改優先級進行確定，如圖2所示。

（3） 分步治理，長期運營。確立漏洞修復計劃，優先對安全等級高的業務系統資產中整改優先級高的漏洞進行整改加固；針對不同安全等級資產設定不同的安全漏洞復查周期[2]。

4.1 方案總體流程

如圖3所示，該方案核心業務流由分散的能力項構成，例如資產管理、情報管理、漏洞處置等。一連串的功能項構成了整體業務，換言之，業務系統是操作人員對功能項的調用序列。一般的平臺系統由操作員自身記憶操作過程，具有主觀隨意性，不夠規范且容易遺漏。

在該方案中，通過流程來標識和落實整體業務。業務流程為特定角色的特定業務操作流程，系統閉環業務鏈由有限條各用戶交織的流程所構建。通過流程管理可支持系統靈活運營，有兩個特點。

（1）用戶維度：定義了完整的用戶操作端到端有序步驟，充分必要地約束了操作行為。

（2）業務維度：一條業務流程可貫穿多個角色與賬號，體現系統級別的協同性。

具體而言，該方案流程由流程策略單構成，具體來說，一個業務流程是由一系列流程策略單組成，包括流程單生成策略、派發角色/賬號、任務內容。

按照流程單生成策略，每個流程策略可以在特定條件下產生流程單，即操作任務單。操作任務單會在特定條件下發送給相應的執行對象（生成工作臺待辦），以在系統中自動地驅動管理流程。

4.2 方案實施步驟

4.2.1 資產核查

用于內網的感知和監控，流程分為三個環節，由系統管理員執行三步驟。

（1）發起資產稽查，配置稽查的策略，啟動稽查任務。

（2）資產稽查掃描策略，對于稽查中資產發現掃描任務策略的配置。

（3）稽查報表，即結果的查看和報表導出，稽查結果分為綜述統計內容和詳細對比內容。

4.2.2 快速定位快速響應

如圖4所示，此流程目的將使用者從漏洞管理流程，變為快速發現和響應流程。流程分為四個環節，由運維人員分四步執行。

（1）使用者手動錄入漏洞資產配置。

（2）資產預警策略配置，系統自動按照漏洞策略篩選相關的可疑資產范圍。

（3）預警資產評估，給使用者展示預警資產以便認為評估風險。

（4）預警資產掃描，當掃描引擎支持策略漏洞后，提示使用者發起漏洞閉環流程。

4.2.3 漏洞閉環運維管理

漏洞閉環是系統的基礎流程：通過它能夠將該方案的基本能力組織起來，實現標準的脆弱性/漏洞全生命周期管理，通過流程單與操作人員完成互動，同時實現底層資源的調度分派，為使用者提供業務數據展示、存儲和輸出。此流程同時可為其他流程所調用，因此是構成系統流程體系的基石[1]。

如圖5所示，漏洞閉環流程由六個環節構成，分別由業務管理員和平臺運維人員完成。

資產管理：實現脆弱性評估目標范圍的界定和選取。

資產掃描：配置脆弱性的監測策略、時間策略等，掃描資產漏洞（發現資產和脆弱性的關系）。

風險評估：資產掃描環節所產生的漏洞，在本環節與該系統威脅情報結合，按照使用者定制的風險評估模型，計算風險優先級并展示，由運維人員選擇修復范圍。

漏洞修復：系統按運維人員選擇的修復范圍每漏洞產生一個修復單，運維人員按線下實際修復情況改變修復單的狀態，或實現修復單流轉。

修復核查：對于運維人員將其狀態變更為“已修復”的修復單，系統會為對應目標資產提供與該漏洞發現時檢測策略一致的掃描操作和結果審核接口，由運維人員通過重掃完成是否修復的判斷。取決于實際修復狀態，修復核查與漏洞修復可以循環往復進行。

報表輸出：整個漏洞閉環流程可以根據運維人員的需要裁剪其中的環節，該系統提供可定制的報表輸出，例如報表可以僅覆蓋資產發現，或者覆蓋到風險評估環節的原始數據，或者輸出漏洞修復核查后的全流程風險處理結果。

5 結束語

通過漏洞管理可以分析安全漏洞的存在狀況，可以做歷史分析及跟蹤處理，實現安全風險的閉環管理。目前好多企業雖然開展了信息安全漏洞的檢測、整改工作，但是關于資產信息安全漏洞的生命周期管理都沒有建立，也沒有這方面的分析手段。數據記錄及數據分析對安全漏洞的管理會有重要的作用，所以通過本文提供的漏洞管理方案的實踐，使運維人員對自己管理的資產中的安全漏洞可以了如指掌。

參考文獻

[1] 婁宇.信息安全漏洞閉環管理的研究[J].通訊世界，2016 （23）.

[2] 王世文，羅濱，等.基于動態隱患庫的信息通信安全分級分類閉環管理研究[J].信息通信.2016年10期.

[3] 陳永峰，楊寧俠.淺析安全策略漏洞防范[J].無線互聯科技，2015（1）.