高校網(wǎng)絡(luò)安全漏洞集中化管理的研究與規(guī)劃

安軍 楊謙 況玉茸

摘要：該文以蘭州現(xiàn)代職業(yè)學(xué)院為例，分析當(dāng)前高校的網(wǎng)絡(luò)安全現(xiàn)狀，通過對(duì)網(wǎng)絡(luò)安全漏洞和漏洞集中化管理需求的研究，提出依托漏洞集中管控平臺(tái)實(shí)現(xiàn)信息資產(chǎn)、掃描設(shè)備、任務(wù)工單和漏洞考核四個(gè)方面的網(wǎng)絡(luò)安全漏洞集中化管理規(guī)劃，為我院憑借信息化手段達(dá)到網(wǎng)絡(luò)安全漏洞集中化管理目標(biāo)提供了清晰的思路，該文亦可供其他院校在網(wǎng)絡(luò)安全漏洞管理方面參考、借鑒。

關(guān)鍵詞：網(wǎng)絡(luò)安全漏洞;集中化管理;高校

中圖分類號(hào)：TP393 ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）31-0053-02

1高校網(wǎng)絡(luò)安全現(xiàn)狀

隨著IT技術(shù)的迅速發(fā)展和教育信息化2.0的持續(xù)推進(jìn)，高校信息化環(huán)境變得日趨復(fù)雜，各種 IT 基礎(chǔ)設(shè)施的數(shù)量和類型不斷增多，各種應(yīng)用系統(tǒng)由于業(yè)務(wù)需要也在不斷擴(kuò)充，越來越多的安全風(fēng)險(xiǎn)也進(jìn)一步顯露出來，安全威脅發(fā)生了很大變化。本文以蘭州現(xiàn)代職業(yè)學(xué)院（以下簡(jiǎn)稱“我院”）為例，分析高校網(wǎng)絡(luò)安全現(xiàn)狀如下：

1.1信息系統(tǒng)眾多，網(wǎng)絡(luò)安全基礎(chǔ)薄弱

我院經(jīng)過多年信息化建設(shè)，在教學(xué)、科研、管理、校園生活等各領(lǐng)域?qū)崿F(xiàn)信息技術(shù)對(duì)學(xué)校主要業(yè)務(wù)的大部分覆蓋。其中“校園門戶網(wǎng)站群”系統(tǒng)為我院及下屬二級(jí)院提供互聯(lián)網(wǎng)門戶服務(wù)，此外還有圖書管理、教務(wù)管理、數(shù)字化教學(xué)、“校園一卡通”等眾多內(nèi)網(wǎng)信息系統(tǒng)。

由于前期信息化建設(shè)權(quán)力分散，部分信息系統(tǒng)由二級(jí)學(xué)院自行建設(shè)，缺乏統(tǒng)一規(guī)劃，在形成信息孤島的同時(shí)也導(dǎo)致了安全孤島，不利于網(wǎng)絡(luò)安全問題的統(tǒng)籌解決。同時(shí)，信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維各個(gè)階段由于資金欠缺、經(jīng)驗(yàn)不足等諸多原因，對(duì)于網(wǎng)絡(luò)安全問題考慮不到位、把關(guān)不嚴(yán)格，導(dǎo)致網(wǎng)絡(luò)安全問題層出不窮。

1.2安全意識(shí)薄弱，人員水平參差不齊

從安全管理的角度來說，網(wǎng)絡(luò)安全很大程度上取決于人的安全意識(shí)，安全意識(shí)淡薄才是最大的安全隱患。與其他眾多高校一樣，我院及下屬二級(jí)院均沒有專職的網(wǎng)絡(luò)安全人員，都是由應(yīng)用系統(tǒng)運(yùn)維人員來兼職。應(yīng)用系統(tǒng)運(yùn)維人員比較關(guān)注系統(tǒng)的功能性和可用性，對(duì)于網(wǎng)絡(luò)安全普遍存在不了解、不懂、不重視的情況，大多數(shù)人還存在僥幸心理，認(rèn)為網(wǎng)絡(luò)安全事件不會(huì)發(fā)生在自己身上，還有部分老師雖然重視網(wǎng)絡(luò)安全，但是受限于自身專業(yè)知識(shí)水平和解決實(shí)際安全問題的能力，不能完全勝任網(wǎng)絡(luò)安全工作。

1.3安全投入較少，安全設(shè)備使用不到位

高校信息化建設(shè)中普遍存在“重應(yīng)用，輕安全”的現(xiàn)象，加之受到資金條件的制約，導(dǎo)致網(wǎng)絡(luò)安全方面投入較少，在設(shè)備采購(gòu)、系統(tǒng)建設(shè)等方面均存在欠缺。同時(shí)，由于安全運(yùn)維人員配置不足、網(wǎng)絡(luò)安全培訓(xùn)薄弱，導(dǎo)致部分網(wǎng)絡(luò)安全設(shè)備雖然采購(gòu)到位卻不能做到使用到位，網(wǎng)絡(luò)安全相關(guān)設(shè)備的安全配置由設(shè)備廠商或系統(tǒng)集成商在項(xiàng)目建設(shè)初期配置完成，之后少有變動(dòng)，不能根據(jù)網(wǎng)絡(luò)實(shí)際變化情況進(jìn)行按需配套調(diào)整，導(dǎo)致網(wǎng)絡(luò)安全防護(hù)效能差，不能有效發(fā)揮網(wǎng)絡(luò)安全投入帶來的應(yīng)有價(jià)值。

2網(wǎng)絡(luò)安全漏洞與漏洞管理需求的研究

2.1網(wǎng)絡(luò)安全漏洞

網(wǎng)絡(luò)安全漏洞是指，網(wǎng)絡(luò)產(chǎn)品和服務(wù)在需求分析、設(shè)計(jì)、實(shí)現(xiàn)、配置、測(cè)試、運(yùn)行、維護(hù)等過程中，無意或有意產(chǎn)生的，有可能被利用的缺陷或薄弱點(diǎn)[1]。這些缺陷或薄弱點(diǎn)以不同形式存在于網(wǎng)絡(luò)產(chǎn)品和服務(wù)的各個(gè)層次和環(huán)節(jié)中，一旦被惡意主體所利用，就會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全造成損害，從而影響其正常運(yùn)行[1]。

漏洞是網(wǎng)絡(luò)安全的“萬惡之源”。由于管理員不能及時(shí)修補(bǔ)操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用軟件等廠商公開披露的漏洞，攻擊者利用這些漏洞展開攻擊是一種容易得手的途徑。如何及時(shí)修補(bǔ)漏洞、避免被攻擊者利用是需解決的問題。高校可以將網(wǎng)絡(luò)安全漏洞管理為網(wǎng)絡(luò)安全管理的切入點(diǎn)，關(guān)注漏洞的發(fā)現(xiàn)和漏洞的修復(fù)，針對(duì)性地集中開展工作。

2.1.1 漏洞的發(fā)現(xiàn)

漏洞的發(fā)現(xiàn)是指，通過人工或者自動(dòng)的方法分析、挖掘漏洞的過程，并且該漏洞可以被驗(yàn)證和重現(xiàn)[2]。漏洞管理中所指的漏洞包括操作系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、中間件漏洞、應(yīng)用程序漏洞、網(wǎng)絡(luò)設(shè)備漏洞、安全產(chǎn)品漏洞等。

網(wǎng)絡(luò)安全漏洞的來源主要是通過漏洞掃描設(shè)備來獲取。漏洞掃描設(shè)備一般是基于漏洞特征數(shù)據(jù)庫(kù)，通過掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全漏洞進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)（滲透攻擊）行為。

網(wǎng)絡(luò)安全漏洞還可來自廠商或一些安全組織披露的漏洞信息，例如微軟安全漏洞發(fā)布、國(guó)家網(wǎng)絡(luò)安全漏洞共享平臺(tái)（CNVD）公布等，對(duì)于高校來說網(wǎng)絡(luò)安全漏洞還可以來自上級(jí)主管部門的一些通知文件。

2.1.2 漏洞的處置

漏洞的處置是指，通過補(bǔ)丁、升級(jí)版本或配置策略等對(duì)漏洞進(jìn)行修補(bǔ)的過程，使得該漏洞不能被惡意主體所利用[2]。漏洞處置的關(guān)鍵點(diǎn)在于及時(shí)、有效的修補(bǔ)漏洞。及時(shí)性體現(xiàn)在發(fā)現(xiàn)漏洞后在最短的時(shí)間內(nèi)完成修補(bǔ)，降低被攻擊者利用的風(fēng)險(xiǎn);有效性體現(xiàn)在漏洞修補(bǔ)后要進(jìn)行復(fù)檢以驗(yàn)證漏洞是否被消除。

漏洞的處置方式一般包括針對(duì)漏洞進(jìn)行修補(bǔ)、使用替代方案避免出現(xiàn)該漏洞或接受漏洞的安全風(fēng)險(xiǎn)。漏洞的處置有嚴(yán)謹(jǐn)?shù)墓ぷ髁鞒蹋话惆┒吹陌l(fā)現(xiàn)、通報(bào)、確認(rèn)、修補(bǔ)、核驗(yàn)等幾個(gè)關(guān)鍵環(huán)節(jié)。

2.2 漏洞管理需求

網(wǎng)絡(luò)安全漏洞的管理主要是完成對(duì)漏洞的快速準(zhǔn)確識(shí)別和及時(shí)有效修補(bǔ)。通過對(duì)我院及二級(jí)院信息系統(tǒng)現(xiàn)狀、網(wǎng)絡(luò)安全漏洞現(xiàn)狀的分析，我們提出通過集中化的漏洞管理信息系統(tǒng)完成漏洞的發(fā)現(xiàn)、通報(bào)、確認(rèn)、修補(bǔ)、核驗(yàn)，最終實(shí)現(xiàn)漏洞的可識(shí)別、可控制的閉環(huán)管理。網(wǎng)絡(luò)安全漏洞集中化管理有以下主要需求：

2.2.1全系統(tǒng)覆蓋

集中化的漏洞管理信息系統(tǒng)應(yīng)能覆蓋我院全業(yè)務(wù)管理環(huán)境下所需要進(jìn)行漏洞管理控制的各類信息系統(tǒng)，包括內(nèi)網(wǎng)圖書管理、教務(wù)管理、財(cái)務(wù)管理、數(shù)字化學(xué)習(xí)等信息系統(tǒng)和互聯(lián)網(wǎng)暴露面的“校園門戶網(wǎng)站群”系統(tǒng)。

2.2.2全過程管理

依托電子化的任務(wù)工單對(duì)漏洞管理過程中的漏洞發(fā)現(xiàn)、修復(fù)、復(fù)檢、考核實(shí)現(xiàn)電子化流程管理，使漏洞管理工作的流程、數(shù)據(jù)和信息能夠完整、精確、統(tǒng)一、共享。

2.2.3 全自動(dòng)掃描

通過完備的系統(tǒng)間接口，實(shí)現(xiàn)漏洞集中化管理信息系統(tǒng)能夠自動(dòng)調(diào)用漏洞掃描設(shè)備執(zhí)行掃描任務(wù)，并獲取掃描結(jié)果報(bào)告，對(duì)于重要系統(tǒng)可調(diào)用兩臺(tái)不同品牌的漏洞掃描設(shè)備進(jìn)行交叉掃描，提高漏洞掃描的全面性和準(zhǔn)確性。

3漏洞集中化管理的規(guī)劃

通過分析我院網(wǎng)絡(luò)安全漏洞集中化管理需求，本文規(guī)劃構(gòu)建網(wǎng)絡(luò)安全漏洞集中管控平臺(tái)（簡(jiǎn)稱管控平臺(tái)），依托管控平臺(tái)實(shí)現(xiàn)信息資產(chǎn)、掃描設(shè)備、任務(wù)工單和漏洞考核四個(gè)方面的網(wǎng)絡(luò)安全漏洞集中化管理，完成對(duì)網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)、確認(rèn)、修補(bǔ)、核驗(yàn)的閉環(huán)管理，從而憑借信息化手段最終達(dá)到漏洞集中化管理的管理意圖。

3.1信息資產(chǎn)的集中化管理

網(wǎng)絡(luò)安全漏洞是依附在信息資產(chǎn)之上的固有屬性，資產(chǎn)管理是漏洞管理的基礎(chǔ)，漏洞集中化管理需要厘清管理范圍、確定信息資產(chǎn)清單。本文所提到的網(wǎng)絡(luò)安全漏洞集中化管理僅限于我院信息系統(tǒng)相關(guān)主機(jī)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用程序、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的網(wǎng)絡(luò)安全漏洞，對(duì)于全院普通用戶的辦公終端的漏洞不在管理范圍內(nèi)。

我院經(jīng)過校園網(wǎng)絡(luò)及信息系統(tǒng)整合，實(shí)現(xiàn)了全院統(tǒng)一規(guī)劃網(wǎng)絡(luò)架構(gòu)、統(tǒng)一規(guī)劃IP地址、統(tǒng)一互聯(lián)網(wǎng)出口，這為全院信息資產(chǎn)集中化統(tǒng)一管理提供了基礎(chǔ)。我院的信息資產(chǎn)清單的確定是通過以下三步完成的：首先通過學(xué)院直屬部門和各二級(jí)學(xué)院統(tǒng)一上報(bào);然后使用NMAP進(jìn)行掃描稽核;最后由學(xué)院信息資產(chǎn)管理委員會(huì)評(píng)估、確定需要集中管理的信息資產(chǎn)清單。

3.2 掃描設(shè)備的集中化管理

漏洞掃描設(shè)備由學(xué)院統(tǒng)一進(jìn)行集中化管理。目前學(xué)院有某品牌漏洞掃描設(shè)備一套，計(jì)劃將各二級(jí)學(xué)院的漏洞掃描設(shè)備收歸學(xué)院統(tǒng)一調(diào)配使用，借此完成集中化管理，實(shí)現(xiàn)不同品牌的漏洞掃描設(shè)備搭配使用，從而實(shí)現(xiàn)交叉掃描。對(duì)掃描任務(wù)和掃描報(bào)告也進(jìn)行集中化管理。

3.2.1掃描任務(wù)的集中化管理

通過漏洞集中管控平臺(tái)實(shí)現(xiàn)對(duì)掃描任務(wù)的調(diào)度管理。在實(shí)際的網(wǎng)絡(luò)安全管理過程中，掃描任務(wù)都是針對(duì)指定范圍內(nèi)的對(duì)象進(jìn)行掃描，掃描任務(wù)可分為：定期按時(shí)掃描任務(wù)，不定期按需掃描任務(wù)。

掃描任務(wù)由被掃描設(shè)備所在安全域內(nèi)的掃描設(shè)備來執(zhí)行，也可根據(jù)管理需要進(jìn)行跨域、跨二級(jí)院執(zhí)行。重要系統(tǒng)需要兩種或兩種以上掃描設(shè)備或工具進(jìn)行掃描，避免單一掃描設(shè)備或工具帶來的漏判或誤判，可將不同掃描結(jié)果進(jìn)行對(duì)比，形成最優(yōu)掃描結(jié)果。

掃描任務(wù)管理可根據(jù)漏掃設(shè)備接口開放情況來實(shí)現(xiàn)，如果漏掃設(shè)備提供第三方可調(diào)用的啟動(dòng)掃描接口，漏洞管理通過該接口自動(dòng)發(fā)起漏洞掃描;如果漏掃設(shè)備未提供該接口，管控平臺(tái)則自動(dòng)發(fā)起掃描工單，由安全管理員來手動(dòng)啟動(dòng)掃描。

3.2.2 掃描報(bào)告的集中化管理

執(zhí)行掃描任務(wù)后形成的掃描報(bào)告由漏洞管理信息化系統(tǒng)統(tǒng)一保存管理。系統(tǒng)對(duì)掃描報(bào)告進(jìn)行數(shù)據(jù)分析，為漏洞修補(bǔ)管理模塊和統(tǒng)計(jì)與報(bào)表模塊提供數(shù)據(jù)來源，為下一步的漏洞管理工作提供指引。掃描報(bào)告導(dǎo)入漏洞管理信息化系統(tǒng)通過兩種方式，如果漏掃設(shè)備提供掃描報(bào)告導(dǎo)出接口，管控平臺(tái)調(diào)用該接口自動(dòng)獲取掃描報(bào)告;如果漏掃設(shè)備未提供該接口，則通過手工方式導(dǎo)入管控平臺(tái)。

3.2.3 漏掃設(shè)備升級(jí)的集中化管理

漏洞掃描設(shè)備一般是基于漏洞特征數(shù)據(jù)庫(kù)來進(jìn)行工作的，漏洞掃描的及時(shí)性和有效性的保障來自設(shè)備漏洞數(shù)據(jù)庫(kù)的及時(shí)更新。為了杜絕漏洞掃描設(shè)備因漏洞數(shù)據(jù)庫(kù)更新不及時(shí)導(dǎo)致的遺漏和誤判問題，在管控平臺(tái)中自動(dòng)發(fā)起漏洞數(shù)據(jù)庫(kù)更新工單，由管理員完成更新后關(guān)閉工單。

3.3 任務(wù)工單的集中化管理

漏洞掃描是手段，發(fā)現(xiàn)并加固漏洞從而降低安全風(fēng)險(xiǎn)才是漏洞管理工作的終極目標(biāo)。漏洞掃描設(shè)備輸出的掃描報(bào)告是計(jì)算機(jī)系統(tǒng)容易解析的結(jié)構(gòu)化數(shù)據(jù)，管控平臺(tái)能夠自動(dòng)分析掃描報(bào)告，根據(jù)漏洞分類、風(fēng)險(xiǎn)等級(jí)等屬性自動(dòng)形成漏洞修補(bǔ)工單下發(fā)至系統(tǒng)或設(shè)備所屬組織結(jié)構(gòu)的網(wǎng)絡(luò)安全管理員，由網(wǎng)絡(luò)安全管理員負(fù)責(zé)檢查、確認(rèn)、修補(bǔ)漏洞并反饋工單。

管控平臺(tái)收到漏洞修補(bǔ)工單的反饋后，對(duì)該系統(tǒng)或設(shè)備進(jìn)行再次掃描，復(fù)檢漏洞是否已成功修補(bǔ)，如未通過復(fù)檢，系統(tǒng)會(huì)自動(dòng)再次啟動(dòng)漏洞修補(bǔ)工單。如果網(wǎng)絡(luò)安全管理員經(jīng)過三次漏洞修補(bǔ)仍未通過漏洞復(fù)檢，工單將自動(dòng)流轉(zhuǎn)到學(xué)院科技信息處網(wǎng)絡(luò)安全管理主管，由學(xué)院網(wǎng)絡(luò)安全主管指導(dǎo)網(wǎng)絡(luò)安全管理員完成漏洞修補(bǔ)、實(shí)施替補(bǔ)方案或評(píng)估接受該漏洞的安全風(fēng)險(xiǎn)。

3.4 漏洞考核的集中化管理

漏洞管理的考核是我院網(wǎng)絡(luò)安全考核管理的重要組成部分，只有通過科學(xué)有效的考核才能切實(shí)提高網(wǎng)絡(luò)安全漏洞管理的效能。漏洞管理考核的對(duì)象分為三級(jí)，包括我院內(nèi)部的網(wǎng)絡(luò)安全管理員（個(gè)人）、二級(jí)院（組織）、漏洞管理合作單位（第三方）。管控平臺(tái)通過定期、不定期的漏洞掃描檢查以及漏洞修補(bǔ)后的復(fù)核檢查來獲取考核基礎(chǔ)數(shù)據(jù)。

管控平臺(tái)中的考核管理主要功能包括指標(biāo)管理和考核展示。系統(tǒng)可以對(duì)漏洞管理涉及的相關(guān)工作進(jìn)行考核指標(biāo)定義，考核指標(biāo)可以針對(duì)安全管理員或單位來進(jìn)行指標(biāo)設(shè)定，指標(biāo)包括漏洞發(fā)現(xiàn)率、漏洞修補(bǔ)率、漏洞修補(bǔ)及時(shí)率、漏洞修補(bǔ)技能水平、漏洞數(shù)據(jù)庫(kù)更新及時(shí)率等，后期在執(zhí)行中可根據(jù)管理需要對(duì)考核指標(biāo)進(jìn)行優(yōu)化調(diào)整。系統(tǒng)根據(jù)設(shè)定的考核指標(biāo)和考核周期自動(dòng)計(jì)算考核結(jié)果，并通過圖表方式對(duì)不同的考核對(duì)象直觀呈現(xiàn)考核結(jié)果。

參考文獻(xiàn)：

[1] 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)《網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范》（GB/T 28458-2020），2020-11-19.

[2] 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)《網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全漏洞管理規(guī)范》（GB/T 30276-2013），2013-12-31.

[3] 黃志宏，梁卓明.高校信息安全漏洞和威脅管理的研究與實(shí)踐[J].重慶理工大學(xué)學(xué)報(bào)（自然科學(xué)），2019，33（2）：117-124.

【通聯(lián)編輯：光文玲】

收稿日期：2021-03-19

基金項(xiàng)目：蘭州市“十四五”2021年度教育科學(xué)規(guī)劃課題（項(xiàng)目編號(hào)：LZ[2021]GH825）。