高校網(wǎng)絡安全漏洞集中化管理的研究與規(guī)劃

安軍 楊謙 況玉茸

摘要：該文以蘭州現(xiàn)代職業(yè)學院為例，分析當前高校的網(wǎng)絡安全現(xiàn)狀，通過對網(wǎng)絡安全漏洞和漏洞集中化管理需求的研究，提出依托漏洞集中管控平臺實現(xiàn)信息資產、掃描設備、任務工單和漏洞考核四個方面的網(wǎng)絡安全漏洞集中化管理規(guī)劃，為我院憑借信息化手段達到網(wǎng)絡安全漏洞集中化管理目標提供了清晰的思路，該文亦可供其他院校在網(wǎng)絡安全漏洞管理方面參考、借鑒。

關鍵詞：網(wǎng)絡安全漏洞;集中化管理;高校

中圖分類號：TP393 ? ? ?文獻標識碼：A

文章編號：1009-3044（2021）31-0053-02

1高校網(wǎng)絡安全現(xiàn)狀

隨著IT技術的迅速發(fā)展和教育信息化2.0的持續(xù)推進，高校信息化環(huán)境變得日趨復雜，各種 IT 基礎設施的數(shù)量和類型不斷增多，各種應用系統(tǒng)由于業(yè)務需要也在不斷擴充，越來越多的安全風險也進一步顯露出來，安全威脅發(fā)生了很大變化。本文以蘭州現(xiàn)代職業(yè)學院（以下簡稱“我院”）為例，分析高校網(wǎng)絡安全現(xiàn)狀如下：

1.1信息系統(tǒng)眾多，網(wǎng)絡安全基礎薄弱

我院經(jīng)過多年信息化建設，在教學、科研、管理、校園生活等各領域實現(xiàn)信息技術對學校主要業(yè)務的大部分覆蓋。其中“校園門戶網(wǎng)站群”系統(tǒng)為我院及下屬二級院提供互聯(lián)網(wǎng)門戶服務，此外還有圖書管理、教務管理、數(shù)字化教學、“校園一卡通”等眾多內網(wǎng)信息系統(tǒng)。

由于前期信息化建設權力分散，部分信息系統(tǒng)由二級學院自行建設，缺乏統(tǒng)一規(guī)劃，在形成信息孤島的同時也導致了安全孤島，不利于網(wǎng)絡安全問題的統(tǒng)籌解決。同時，信息系統(tǒng)的規(guī)劃、設計、建設、運維各個階段由于資金欠缺、經(jīng)驗不足等諸多原因，對于網(wǎng)絡安全問題考慮不到位、把關不嚴格，導致網(wǎng)絡安全問題層出不窮。

1.2安全意識薄弱，人員水平參差不齊

從安全管理的角度來說，網(wǎng)絡安全很大程度上取決于人的安全意識，安全意識淡薄才是最大的安全隱患。與其他眾多高校一樣，我院及下屬二級院均沒有專職的網(wǎng)絡安全人員，都是由應用系統(tǒng)運維人員來兼職。應用系統(tǒng)運維人員比較關注系統(tǒng)的功能性和可用性，對于網(wǎng)絡安全普遍存在不了解、不懂、不重視的情況，大多數(shù)人還存在僥幸心理，認為網(wǎng)絡安全事件不會發(fā)生在自己身上，還有部分老師雖然重視網(wǎng)絡安全，但是受限于自身專業(yè)知識水平和解決實際安全問題的能力，不能完全勝任網(wǎng)絡安全工作。

1.3安全投入較少，安全設備使用不到位

高校信息化建設中普遍存在“重應用，輕安全”的現(xiàn)象，加之受到資金條件的制約，導致網(wǎng)絡安全方面投入較少，在設備采購、系統(tǒng)建設等方面均存在欠缺。同時，由于安全運維人員配置不足、網(wǎng)絡安全培訓薄弱，導致部分網(wǎng)絡安全設備雖然采購到位卻不能做到使用到位，網(wǎng)絡安全相關設備的安全配置由設備廠商或系統(tǒng)集成商在項目建設初期配置完成，之后少有變動，不能根據(jù)網(wǎng)絡實際變化情況進行按需配套調整，導致網(wǎng)絡安全防護效能差，不能有效發(fā)揮網(wǎng)絡安全投入帶來的應有價值。

2網(wǎng)絡安全漏洞與漏洞管理需求的研究

2.1網(wǎng)絡安全漏洞

網(wǎng)絡安全漏洞是指，網(wǎng)絡產品和服務在需求分析、設計、實現(xiàn)、配置、測試、運行、維護等過程中，無意或有意產生的，有可能被利用的缺陷或薄弱點[1]。這些缺陷或薄弱點以不同形式存在于網(wǎng)絡產品和服務的各個層次和環(huán)節(jié)中，一旦被惡意主體所利用，就會對網(wǎng)絡產品和服務的安全造成損害，從而影響其正常運行[1]。

漏洞是網(wǎng)絡安全的“萬惡之源”。由于管理員不能及時修補操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用軟件等廠商公開披露的漏洞，攻擊者利用這些漏洞展開攻擊是一種容易得手的途徑。如何及時修補漏洞、避免被攻擊者利用是需解決的問題。高校可以將網(wǎng)絡安全漏洞管理為網(wǎng)絡安全管理的切入點，關注漏洞的發(fā)現(xiàn)和漏洞的修復，針對性地集中開展工作。

2.1.1 漏洞的發(fā)現(xiàn)

漏洞的發(fā)現(xiàn)是指，通過人工或者自動的方法分析、挖掘漏洞的過程，并且該漏洞可以被驗證和重現(xiàn)[2]。漏洞管理中所指的漏洞包括操作系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、中間件漏洞、應用程序漏洞、網(wǎng)絡設備漏洞、安全產品漏洞等。

網(wǎng)絡安全漏洞的來源主要是通過漏洞掃描設備來獲取。漏洞掃描設備一般是基于漏洞特征數(shù)據(jù)庫，通過掃描等手段對指定的遠程或者本地計算機系統(tǒng)的安全漏洞進行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測（滲透攻擊）行為。

網(wǎng)絡安全漏洞還可來自廠商或一些安全組織披露的漏洞信息，例如微軟安全漏洞發(fā)布、國家網(wǎng)絡安全漏洞共享平臺（CNVD）公布等，對于高校來說網(wǎng)絡安全漏洞還可以來自上級主管部門的一些通知文件。

2.1.2 漏洞的處置

漏洞的處置是指，通過補丁、升級版本或配置策略等對漏洞進行修補的過程，使得該漏洞不能被惡意主體所利用[2]。漏洞處置的關鍵點在于及時、有效的修補漏洞。及時性體現(xiàn)在發(fā)現(xiàn)漏洞后在最短的時間內完成修補，降低被攻擊者利用的風險;有效性體現(xiàn)在漏洞修補后要進行復檢以驗證漏洞是否被消除。

漏洞的處置方式一般包括針對漏洞進行修補、使用替代方案避免出現(xiàn)該漏洞或接受漏洞的安全風險。漏洞的處置有嚴謹?shù)墓ぷ髁鞒蹋话惆┒吹陌l(fā)現(xiàn)、通報、確認、修補、核驗等幾個關鍵環(huán)節(jié)。

2.2 漏洞管理需求

網(wǎng)絡安全漏洞的管理主要是完成對漏洞的快速準確識別和及時有效修補。通過對我院及二級院信息系統(tǒng)現(xiàn)狀、網(wǎng)絡安全漏洞現(xiàn)狀的分析，我們提出通過集中化的漏洞管理信息系統(tǒng)完成漏洞的發(fā)現(xiàn)、通報、確認、修補、核驗，最終實現(xiàn)漏洞的可識別、可控制的閉環(huán)管理。網(wǎng)絡安全漏洞集中化管理有以下主要需求：

2.2.1全系統(tǒng)覆蓋

集中化的漏洞管理信息系統(tǒng)應能覆蓋我院全業(yè)務管理環(huán)境下所需要進行漏洞管理控制的各類信息系統(tǒng)，包括內網(wǎng)圖書管理、教務管理、財務管理、數(shù)字化學習等信息系統(tǒng)和互聯(lián)網(wǎng)暴露面的“校園門戶網(wǎng)站群”系統(tǒng)。

2.2.2全過程管理

依托電子化的任務工單對漏洞管理過程中的漏洞發(fā)現(xiàn)、修復、復檢、考核實現(xiàn)電子化流程管理，使漏洞管理工作的流程、數(shù)據(jù)和信息能夠完整、精確、統(tǒng)一、共享。

2.2.3 全自動掃描

通過完備的系統(tǒng)間接口，實現(xiàn)漏洞集中化管理信息系統(tǒng)能夠自動調用漏洞掃描設備執(zhí)行掃描任務，并獲取掃描結果報告，對于重要系統(tǒng)可調用兩臺不同品牌的漏洞掃描設備進行交叉掃描，提高漏洞掃描的全面性和準確性。

3漏洞集中化管理的規(guī)劃

通過分析我院網(wǎng)絡安全漏洞集中化管理需求，本文規(guī)劃構建網(wǎng)絡安全漏洞集中管控平臺（簡稱管控平臺），依托管控平臺實現(xiàn)信息資產、掃描設備、任務工單和漏洞考核四個方面的網(wǎng)絡安全漏洞集中化管理，完成對網(wǎng)絡安全漏洞的發(fā)現(xiàn)、確認、修補、核驗的閉環(huán)管理，從而憑借信息化手段最終達到漏洞集中化管理的管理意圖。

3.1信息資產的集中化管理

網(wǎng)絡安全漏洞是依附在信息資產之上的固有屬性，資產管理是漏洞管理的基礎，漏洞集中化管理需要厘清管理范圍、確定信息資產清單。本文所提到的網(wǎng)絡安全漏洞集中化管理僅限于我院信息系統(tǒng)相關主機、數(shù)據(jù)庫、中間件、應用程序、網(wǎng)絡設備和安全設備的網(wǎng)絡安全漏洞，對于全院普通用戶的辦公終端的漏洞不在管理范圍內。

我院經(jīng)過校園網(wǎng)絡及信息系統(tǒng)整合，實現(xiàn)了全院統(tǒng)一規(guī)劃網(wǎng)絡架構、統(tǒng)一規(guī)劃IP地址、統(tǒng)一互聯(lián)網(wǎng)出口，這為全院信息資產集中化統(tǒng)一管理提供了基礎。我院的信息資產清單的確定是通過以下三步完成的：首先通過學院直屬部門和各二級學院統(tǒng)一上報;然后使用NMAP進行掃描稽核;最后由學院信息資產管理委員會評估、確定需要集中管理的信息資產清單。

3.2 掃描設備的集中化管理

漏洞掃描設備由學院統(tǒng)一進行集中化管理。目前學院有某品牌漏洞掃描設備一套，計劃將各二級學院的漏洞掃描設備收歸學院統(tǒng)一調配使用，借此完成集中化管理，實現(xiàn)不同品牌的漏洞掃描設備搭配使用，從而實現(xiàn)交叉掃描。對掃描任務和掃描報告也進行集中化管理。

3.2.1掃描任務的集中化管理

通過漏洞集中管控平臺實現(xiàn)對掃描任務的調度管理。在實際的網(wǎng)絡安全管理過程中，掃描任務都是針對指定范圍內的對象進行掃描，掃描任務可分為：定期按時掃描任務，不定期按需掃描任務。

掃描任務由被掃描設備所在安全域內的掃描設備來執(zhí)行，也可根據(jù)管理需要進行跨域、跨二級院執(zhí)行。重要系統(tǒng)需要兩種或兩種以上掃描設備或工具進行掃描，避免單一掃描設備或工具帶來的漏判或誤判，可將不同掃描結果進行對比，形成最優(yōu)掃描結果。

掃描任務管理可根據(jù)漏掃設備接口開放情況來實現(xiàn)，如果漏掃設備提供第三方可調用的啟動掃描接口，漏洞管理通過該接口自動發(fā)起漏洞掃描;如果漏掃設備未提供該接口，管控平臺則自動發(fā)起掃描工單，由安全管理員來手動啟動掃描。

3.2.2 掃描報告的集中化管理

執(zhí)行掃描任務后形成的掃描報告由漏洞管理信息化系統(tǒng)統(tǒng)一保存管理。系統(tǒng)對掃描報告進行數(shù)據(jù)分析，為漏洞修補管理模塊和統(tǒng)計與報表模塊提供數(shù)據(jù)來源，為下一步的漏洞管理工作提供指引。掃描報告導入漏洞管理信息化系統(tǒng)通過兩種方式，如果漏掃設備提供掃描報告導出接口，管控平臺調用該接口自動獲取掃描報告;如果漏掃設備未提供該接口，則通過手工方式導入管控平臺。

3.2.3 漏掃設備升級的集中化管理

漏洞掃描設備一般是基于漏洞特征數(shù)據(jù)庫來進行工作的，漏洞掃描的及時性和有效性的保障來自設備漏洞數(shù)據(jù)庫的及時更新。為了杜絕漏洞掃描設備因漏洞數(shù)據(jù)庫更新不及時導致的遺漏和誤判問題，在管控平臺中自動發(fā)起漏洞數(shù)據(jù)庫更新工單，由管理員完成更新后關閉工單。

3.3 任務工單的集中化管理

漏洞掃描是手段，發(fā)現(xiàn)并加固漏洞從而降低安全風險才是漏洞管理工作的終極目標。漏洞掃描設備輸出的掃描報告是計算機系統(tǒng)容易解析的結構化數(shù)據(jù)，管控平臺能夠自動分析掃描報告，根據(jù)漏洞分類、風險等級等屬性自動形成漏洞修補工單下發(fā)至系統(tǒng)或設備所屬組織結構的網(wǎng)絡安全管理員，由網(wǎng)絡安全管理員負責檢查、確認、修補漏洞并反饋工單。

管控平臺收到漏洞修補工單的反饋后，對該系統(tǒng)或設備進行再次掃描，復檢漏洞是否已成功修補，如未通過復檢，系統(tǒng)會自動再次啟動漏洞修補工單。如果網(wǎng)絡安全管理員經(jīng)過三次漏洞修補仍未通過漏洞復檢，工單將自動流轉到學院科技信息處網(wǎng)絡安全管理主管，由學院網(wǎng)絡安全主管指導網(wǎng)絡安全管理員完成漏洞修補、實施替補方案或評估接受該漏洞的安全風險。

3.4 漏洞考核的集中化管理

漏洞管理的考核是我院網(wǎng)絡安全考核管理的重要組成部分，只有通過科學有效的考核才能切實提高網(wǎng)絡安全漏洞管理的效能。漏洞管理考核的對象分為三級，包括我院內部的網(wǎng)絡安全管理員（個人）、二級院（組織）、漏洞管理合作單位（第三方）。管控平臺通過定期、不定期的漏洞掃描檢查以及漏洞修補后的復核檢查來獲取考核基礎數(shù)據(jù)。

管控平臺中的考核管理主要功能包括指標管理和考核展示。系統(tǒng)可以對漏洞管理涉及的相關工作進行考核指標定義，考核指標可以針對安全管理員或單位來進行指標設定，指標包括漏洞發(fā)現(xiàn)率、漏洞修補率、漏洞修補及時率、漏洞修補技能水平、漏洞數(shù)據(jù)庫更新及時率等，后期在執(zhí)行中可根據(jù)管理需要對考核指標進行優(yōu)化調整。系統(tǒng)根據(jù)設定的考核指標和考核周期自動計算考核結果，并通過圖表方式對不同的考核對象直觀呈現(xiàn)考核結果。

參考文獻：

[1] 中華人民共和國國家質量監(jiān)督檢驗檢疫總局中國國家標準化管理委員會《網(wǎng)絡安全技術 網(wǎng)絡安全漏洞標識與描述規(guī)范》（GB/T 28458-2020），2020-11-19.

[2] 中華人民共和國國家質量監(jiān)督檢驗檢疫總局中國國家標準化管理委員會《網(wǎng)絡安全技術 網(wǎng)絡安全漏洞管理規(guī)范》（GB/T 30276-2013），2013-12-31.

[3] 黃志宏，梁卓明.高校信息安全漏洞和威脅管理的研究與實踐[J].重慶理工大學學報（自然科學），2019，33（2）：117-124.

【通聯(lián)編輯：光文玲】

收稿日期：2021-03-19

基金項目：蘭州市“十四五”2021年度教育科學規(guī)劃課題（項目編號：LZ[2021]GH825）。