統(tǒng)一漏洞管理平臺(tái)研究設(shè)計(jì)

劉 暢

(中國郵政儲(chǔ)蓄銀行信用卡中心 北京 100040)

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，人們從各方面享受到信息化帶來的便利.與此同時(shí)，網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)、服務(wù)器、應(yīng)用軟件等面臨的安全問題也日益嚴(yán)峻.其中，安全漏洞[1]作為網(wǎng)絡(luò)安全中最為嚴(yán)重的威脅之一,其存在大大增加了硬件設(shè)備或應(yīng)用系統(tǒng)的安全隱患，使其更容易受到網(wǎng)絡(luò)攻擊的威脅.因此，人們?cè)絹碓街匾暟踩┒吹墓芾韀2].與此同時(shí)，國家市場監(jiān)督管理總局和國家標(biāo)準(zhǔn)化管理委員會(huì)更新發(fā)布了《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞管理規(guī)范》(GB/T 30276—2020)[3]，對(duì)漏洞的全生命周期管理提出了更高的要求.

傳統(tǒng)的漏洞管理流程是首先通過掃描器掃描或滲透測試的方式發(fā)現(xiàn)漏洞，定位漏洞所在設(shè)備或?qū)?yīng)負(fù)責(zé)人；然后郵件或電話通知其進(jìn)行整改及反饋；最后跟進(jìn)整改情況.整個(gè)過程大都通過人工執(zhí)行，主要存在以下4個(gè)問題：

1) 漏洞信息來源分散.部分企業(yè)會(huì)采購多種掃描器或使用不同掃描軟件進(jìn)行漏洞檢測，漏洞來源分散.同時(shí)部分企業(yè)未關(guān)注到官方機(jī)構(gòu)發(fā)布的權(quán)威漏洞，即使有所關(guān)注，由于不同機(jī)構(gòu)發(fā)布漏洞的時(shí)間和方式不同，要想獲得所有的漏洞信息也需要消耗較長的時(shí)間.

2) 漏洞信息無法統(tǒng)一呈現(xiàn).不同掃描設(shè)備出具的掃描報(bào)告以及不同掃描軟件得出的掃描結(jié)果形式不一，發(fā)布漏洞的不同機(jī)構(gòu)網(wǎng)站提供的漏洞基礎(chǔ)信息也不盡相同，各安全廠商提供的漏洞管理工具也無法兼容.即使在同一設(shè)備或者同一網(wǎng)站，不同板塊發(fā)布或展示漏洞的方法也不同.缺少漏洞的統(tǒng)一分析和報(bào)表化呈現(xiàn).

3) 缺少統(tǒng)一的反饋溝通機(jī)制.漏洞通過各種渠道發(fā)布之后，無法保證信息安全人員、研發(fā)及運(yùn)維人員及時(shí)獲取相關(guān)的漏洞信息，在獲取漏洞信息之后，也無法保證及時(shí)對(duì)所有漏洞的處置情況進(jìn)行跟進(jìn).漏洞在不同人員之間的流轉(zhuǎn)不僅影響了漏洞的處置效率，也帶來了新的安全隱患.

4) 漏洞管理效率較低.隨著企業(yè)的硬件設(shè)備或應(yīng)用系統(tǒng)的數(shù)量逐漸增加，漏洞掃描、人工定位及確認(rèn)的時(shí)間都會(huì)大大加長，此時(shí)采取人工的方式進(jìn)行漏洞的處置不僅效率較低，容易出錯(cuò)，也容易錯(cuò)過漏洞整改的最佳時(shí)間，帶來延誤和損失的風(fēng)險(xiǎn).

為了緩解上述問題，及時(shí)、全面、準(zhǔn)確地處置安全漏洞，滿足監(jiān)管合規(guī)要求，降低漏洞帶來的安全風(fēng)險(xiǎn)，本文提出一種漏洞全生命周期[4]管理機(jī)制.通過建立統(tǒng)一漏洞管理平臺(tái)，規(guī)范漏洞的檢測及處置工作，使安全人員對(duì)漏洞能夠快速發(fā)現(xiàn)、定位、響應(yīng)和處置.

1 平臺(tái)架構(gòu)

統(tǒng)一漏洞管理平臺(tái)采用松耦合的分布式技術(shù)架構(gòu)，所使用的服務(wù)器及數(shù)據(jù)庫均采用主備模式進(jìn)行部署，以保證平臺(tái)和數(shù)據(jù)的高可用性.平臺(tái)包含基礎(chǔ)服務(wù)管理模塊、漏洞來源管理模塊、漏洞數(shù)據(jù)管理模塊、漏洞分析管理模塊、漏洞處置管理模塊以及漏洞展示預(yù)警模塊這6大功能模塊.各模塊協(xié)同通過通用的開發(fā)語言和標(biāo)準(zhǔn)的服務(wù)接口與其他基礎(chǔ)服務(wù)平臺(tái)系統(tǒng)或網(wǎng)絡(luò)安全工具協(xié)同聯(lián)動(dòng)，從而在統(tǒng)一平臺(tái)上實(shí)現(xiàn)了漏洞檢測、數(shù)據(jù)管理、資產(chǎn)匹配、定位跟蹤、整改復(fù)測、總結(jié)分析等功能.使漏洞的全生命周期管理工作形成閉環(huán)[5]，解決了傳統(tǒng)的漏洞處置及解決方案中人工處置、效率低下等問題.

統(tǒng)一漏洞管理平臺(tái)應(yīng)用架構(gòu)如圖1所示.

2 功能模塊設(shè)計(jì)與實(shí)現(xiàn)

2.1 基礎(chǔ)服務(wù)管理模塊

基礎(chǔ)服務(wù)管理模塊包含管理服務(wù)臺(tái)和API服務(wù)接口2大部分.其中管理服務(wù)臺(tái)用于平臺(tái)的系統(tǒng)配置，進(jìn)行日志管理、配置用戶及訪問權(quán)限等.API服務(wù)接口管理平臺(tái)用于實(shí)現(xiàn)與其他基礎(chǔ)平臺(tái)或系統(tǒng)之間的接口調(diào)用，包括配置管理數(shù)據(jù)庫(CMDB)、IT服務(wù)管理平臺(tái)(ITSM)、郵件服務(wù)器、短信服務(wù)平臺(tái)、漏洞掃描器、漏洞掃描軟件以及大數(shù)據(jù)平臺(tái)[6]等.其中大數(shù)據(jù)平臺(tái)支持流處理、實(shí)時(shí)分析等多種數(shù)據(jù)分析和處理功能，數(shù)據(jù)信息通過KAFKA消息隊(duì)列訂閱[7]的方式提供給其他模塊.

2.2 漏洞來源管理模塊

漏洞的來源主要有漏洞掃描設(shè)備或漏洞掃描軟件掃描發(fā)現(xiàn)的漏洞、通過人工滲透測試或其他安全測試發(fā)現(xiàn)的漏洞，以及由官方或權(quán)威機(jī)構(gòu)(如CNVD[8]、CNNVD[9]、補(bǔ)天[10]等)整理并發(fā)布的漏洞預(yù)警.利用漏洞來源管理模塊可以統(tǒng)一管理以上3個(gè)來源的漏洞.

2.2.1 掃描任務(wù)管理

通過掃描任務(wù)管理可以控制掃描任務(wù)的執(zhí)行并收集掃描結(jié)果.該組件可通過標(biāo)準(zhǔn)的API二次開發(fā)接口適配主流安全廠商的漏洞掃描引擎，也可將開源的漏洞掃描軟件嵌入其中.掃描內(nèi)容可覆蓋主機(jī)漏洞掃描和應(yīng)用漏洞掃描.

為了支撐多種漏洞掃描需求，掃描任務(wù)分為周期性自動(dòng)化掃描任務(wù)、臨時(shí)性掃描任務(wù)和復(fù)測任務(wù).周期性自動(dòng)化掃描任務(wù)適用于常規(guī)漏洞管理工作場景，對(duì)已知資產(chǎn)定期執(zhí)行漏洞掃描.臨時(shí)性掃描任務(wù)適用于對(duì)新增資產(chǎn)、新上線系統(tǒng)等進(jìn)行安全檢測的臨時(shí)性掃描需求.復(fù)測任務(wù)適用于對(duì)存在漏洞的資產(chǎn)進(jìn)行復(fù)測和整改確認(rèn).

2.2.2 官方漏洞管理

官方漏洞管理用于收集、整理官方或權(quán)威機(jī)構(gòu)的漏洞預(yù)警.該組件利用網(wǎng)絡(luò)爬蟲技術(shù)[11]、網(wǎng)頁處理技術(shù)、檢索排序技術(shù)等從多個(gè)不同的安全漏洞發(fā)布平臺(tái)抓取不同類型的安全漏洞信息.同時(shí)該組件也支持自主按模板上傳其他特定來源的漏洞信息.

2.2.3 滲透測試管理

滲透測試管理用于收集滲透測試發(fā)現(xiàn)的漏洞信息.該組件支持自主按模板上傳經(jīng)滲透測試發(fā)現(xiàn)的漏洞信息.

2.2.4 弱口令管理

針對(duì)口令[12]的掃描及處置需求專門設(shè)立了弱口令管理組件.該組件功能與掃描任務(wù)管理組件類似，同時(shí)還支持賬號(hào)口令模板的更新和弱口令的核驗(yàn)功能.依據(jù)不同的生產(chǎn)情況和工作場景添加新的賬號(hào)口令模板，能夠更好地貼合實(shí)際情況；通過弱口令核驗(yàn)功能可調(diào)出secureCRT,Navicat,FileZilla等常用軟件，并自動(dòng)代填檢測出的賬號(hào)密碼以驗(yàn)證掃描結(jié)果的準(zhǔn)確性，有效降低誤報(bào).

2.3 漏洞數(shù)據(jù)管理模塊

漏洞數(shù)據(jù)管理模塊對(duì)漏洞來源管理模塊收集的所有數(shù)據(jù)進(jìn)行統(tǒng)一接收和規(guī)范化處理，經(jīng)過合并去重等操作后將所有結(jié)果存儲(chǔ)在統(tǒng)一漏洞管理平臺(tái)的統(tǒng)一漏洞庫中，用以支撐后續(xù)的漏洞查詢、分析、管理等功能.定義一個(gè)漏洞的基礎(chǔ)信息包含漏洞CVE編號(hào)[13]、公開日期、危害級(jí)別、影響產(chǎn)品、漏洞描述、漏洞類型、參考鏈接、漏洞解決方案、廠商補(bǔ)丁等.

2.3.1 統(tǒng)一漏洞庫

統(tǒng)一漏洞庫[14]由5部分組成，除了由漏洞來源管理模塊中各組件收集到的漏洞所形成的漏掃結(jié)果庫、官方漏洞庫、滲透測試庫和弱口令庫之外，還設(shè)有一個(gè)漏洞知識(shí)庫.漏洞知識(shí)庫作為統(tǒng)一的漏洞數(shù)據(jù)標(biāo)準(zhǔn)化平臺(tái)存儲(chǔ)基礎(chǔ)漏洞數(shù)據(jù)，通過不斷收集爬取互聯(lián)網(wǎng)已知的各種漏洞信息，用以支撐不同漏掃結(jié)果的合并去重和格式標(biāo)準(zhǔn)化，便于對(duì)漏洞信息進(jìn)行管理和維護(hù).

2.3.2 白名單管理

白名單管理組件可實(shí)現(xiàn)對(duì)特殊情況的漏洞進(jìn)行白名單標(biāo)記，標(biāo)記后的漏洞將在漏掃任務(wù)中被屏蔽，且不參與漏洞數(shù)據(jù)的統(tǒng)計(jì)分析.加入白名單包括但不限于以下4種情況：1)經(jīng)驗(yàn)證后漏洞為掃描器誤報(bào);2)經(jīng)評(píng)估后漏洞風(fēng)險(xiǎn)可控?zé)o需修復(fù);3)漏洞暫無修復(fù)方式或因多種原因無法修復(fù);4)漏洞掃描等漏洞管理操作對(duì)資產(chǎn)可用性造成較大威脅，不加入常規(guī)的漏洞管理流程.

2.3.3 檢索查詢管理

檢索查詢管理支持漏洞、時(shí)間、資產(chǎn)、負(fù)責(zé)人、掃描任務(wù)等不同維度的檢索查詢功能.檢索維度設(shè)置標(biāo)簽功能，可通過增加控制標(biāo)簽達(dá)到精確檢索.

2.4 漏洞分析管理模塊

漏洞分析管理模塊提供與其他模塊的關(guān)聯(lián)分析功能，可關(guān)聯(lián)配置管理數(shù)據(jù)庫進(jìn)行資產(chǎn)匹配和相關(guān)信息的核查；可關(guān)聯(lián)大數(shù)據(jù)平臺(tái)，利用其流處理、分析、存儲(chǔ)等功能進(jìn)行實(shí)時(shí)分析和處置；也可依托大數(shù)據(jù)技術(shù)進(jìn)行數(shù)據(jù)分析和數(shù)據(jù)挖掘，從而進(jìn)行資產(chǎn)畫像的刻畫和漏洞的預(yù)測.

2.4.1 漏洞定級(jí)管理

漏洞定級(jí)管理[15]組件能夠?qū)碜月┒磥碓垂芾砟K的漏洞進(jìn)行分類[16]和嚴(yán)重程度的定級(jí)[17].漏洞定級(jí)依據(jù)漏洞類型、相關(guān)程度、敏感級(jí)別、漏洞關(guān)鍵字、資產(chǎn)情況、所屬系統(tǒng)等內(nèi)容，按照權(quán)重評(píng)分劃分成高危、中危、低危，或按實(shí)際需求劃分成更多等級(jí)，從而實(shí)現(xiàn)安全漏洞的差異化處置和精細(xì)化管理[18].

2.4.2 任務(wù)對(duì)比分析

利用大數(shù)據(jù)分析技術(shù)將多次掃描任務(wù)或不同時(shí)段的漏洞情況進(jìn)行對(duì)比分析，從而支持漏洞展示預(yù)警模塊的統(tǒng)計(jì)分析功能.

2.4.3 資產(chǎn)匹配管理

資產(chǎn)匹配管理組件關(guān)聯(lián)配置管理數(shù)據(jù)庫，為存在漏洞的資產(chǎn)匹配所在系統(tǒng)、所屬業(yè)務(wù)、配置信息、關(guān)聯(lián)關(guān)系、負(fù)責(zé)人員等詳細(xì)信息.同時(shí)本組件可聯(lián)動(dòng)掃描任務(wù)管理組件設(shè)置如下2個(gè)場景：一是針對(duì)相對(duì)固定的資產(chǎn)觸發(fā)周期性自動(dòng)化掃描；二是資產(chǎn)發(fā)生變化時(shí)，對(duì)變化資產(chǎn)進(jìn)行漏洞狀態(tài)確認(rèn)并觸發(fā)臨時(shí)性掃描任務(wù).

2.5 漏洞處置管理模塊

漏洞處置管理模塊可進(jìn)行漏洞通知管理、狀態(tài)跟蹤等相關(guān)工作.漏洞通知管理組件關(guān)聯(lián)郵箱服務(wù)器或短信平臺(tái)，可根據(jù)資產(chǎn)匹配管理所得到的漏洞負(fù)責(zé)人信息有針對(duì)性地通知負(fù)責(zé)人進(jìn)行漏洞預(yù)警或漏洞整改.漏洞狀態(tài)跟蹤組件可為每一條漏洞數(shù)據(jù)打上狀態(tài)標(biāo)簽，對(duì)漏洞是否加固完成的狀態(tài)及時(shí)進(jìn)行更新，以完成漏洞全生命周期的閉環(huán)管理，并支持漏洞數(shù)據(jù)的分析統(tǒng)計(jì)功能.在漏洞負(fù)責(zé)人確認(rèn)漏洞整改完成后，可通過本組件批量下發(fā)掃描任務(wù)到漏洞來源管理模塊，進(jìn)行漏洞掃描復(fù)測確認(rèn).同時(shí)本組件也可關(guān)聯(lián)第三方的Workflow[19]管理軟件實(shí)現(xiàn)漏洞的處置狀態(tài)跟蹤.

2.6 漏洞展示預(yù)警模塊

可利用本模塊發(fā)布漏洞預(yù)警，查看統(tǒng)計(jì)報(bào)表和分析視圖，同時(shí)可選擇所需信息依照自定義模板建立分析場景并定制掃描報(bào)告.漏洞預(yù)警便于信息安全管理人員或資產(chǎn)負(fù)責(zé)人員查看漏洞信息、資產(chǎn)畫像、漏洞處置及整改等相關(guān)統(tǒng)計(jì)分析情況.本模塊可提供多種統(tǒng)計(jì)報(bào)表和分析視圖，用于展示漏洞分析管理模塊的高級(jí)分析結(jié)果，基于數(shù)據(jù)統(tǒng)計(jì)的漏洞風(fēng)險(xiǎn)管理，從不同維度整體展現(xiàn)企業(yè)各業(yè)務(wù)系統(tǒng)、各部門的安全漏洞態(tài)勢，形成安全漏洞管理的整體視圖.

統(tǒng)計(jì)分析場景可包括：一是全局漏洞分布態(tài)勢(如漏洞總量、不同資產(chǎn)的漏洞分布、不同業(yè)務(wù)系統(tǒng)的漏洞分布、不同風(fēng)險(xiǎn)等級(jí)的漏洞分布)；二是安全漏洞的變化發(fā)展趨勢(如顯示不同類型的漏洞在某一時(shí)間段的數(shù)量變化曲線，以直觀了解業(yè)務(wù)系統(tǒng)的漏洞變化趨勢)；三是漏洞加固成果對(duì)比分析(體現(xiàn)各業(yè)務(wù)系統(tǒng)、各部門在漏洞處置工作中的進(jìn)度和成效).

3 平臺(tái)處置流程實(shí)踐

下面以主動(dòng)觸發(fā)的漏洞掃描及處置為例，利用統(tǒng)一漏洞管理平臺(tái)進(jìn)行漏洞管理，具體流程如圖2所示.

步驟1. 用戶登錄統(tǒng)一漏洞管理平臺(tái).

步驟2. 設(shè)置白名單.利用漏洞數(shù)據(jù)管理模塊將無需進(jìn)行漏洞掃描的特殊情況的資產(chǎn)進(jìn)行加白處理.

步驟3. 發(fā)起漏洞掃描任務(wù).首先調(diào)用漏洞來源管理模塊的掃描任務(wù)管理組件，用戶可自主設(shè)置掃描資產(chǎn)的IP或域名、掃描時(shí)間、掃描并發(fā)數(shù)、掃描優(yōu)先級(jí)、掃描服務(wù)類型、掃描器類型等內(nèi)容；然后調(diào)用基礎(chǔ)服務(wù)管理模塊中的漏洞掃描器進(jìn)行漏洞掃描.

步驟4. 掃描結(jié)果入庫.掃描完成后，掃描器自動(dòng)將掃描結(jié)果推送至漏洞數(shù)據(jù)管理模塊，經(jīng)格式化處理后存入統(tǒng)一漏洞庫.

步驟5. 查看漏洞情況.用戶可從不同維度查看漏洞情況，如查詢當(dāng)次的掃描結(jié)果、對(duì)比本月和上月的漏洞數(shù)據(jù)變化情況、為新增漏洞找到負(fù)責(zé)人、觀察漏洞分布比例和屬性、個(gè)性化定制漏洞報(bào)告等.

步驟6. 通知整改并跟蹤.利用漏洞處置管理模塊，向一線員工、值班人員、資產(chǎn)負(fù)責(zé)人等相關(guān)人員發(fā)布漏洞整改通報(bào)或掃描報(bào)告，并及時(shí)跟蹤相關(guān)人員的反饋.同時(shí)平臺(tái)可通過定時(shí)任務(wù)的方式，定期對(duì)掃描發(fā)現(xiàn)的漏洞進(jìn)行復(fù)測，繼續(xù)跟蹤未整改完成的漏洞直到漏洞處置完成，形成閉環(huán).

4 平臺(tái)成果創(chuàng)新價(jià)值

統(tǒng)一漏洞管理平臺(tái)提供了一套漏洞全生命周期管理的解決方案，可完成有關(guān)安全漏洞事前、事中、事后的全部檢測和處理流程.通過漏洞掃描器、配置管理數(shù)據(jù)庫、大數(shù)據(jù)平臺(tái)等之間的相互聯(lián)動(dòng)，利用單點(diǎn)登錄功能，實(shí)現(xiàn)統(tǒng)一平臺(tái)的集中調(diào)度管控.該平臺(tái)從以下4個(gè)方面快速、全面、高效地解決安全漏洞問題：

1) 漏洞信息全面獲取.利用漏洞來源管理模塊全面收集來自異構(gòu)掃描器、掃描軟件、滲透測試及官方通報(bào)的漏洞信息，同時(shí)利用漏洞數(shù)據(jù)管理模塊對(duì)數(shù)據(jù)信息進(jìn)行規(guī)范化處理，從而保證及時(shí)、快速、準(zhǔn)確、全面地獲取所有漏洞信息，方便后期對(duì)漏洞進(jìn)一步的處理和展示.

2) 漏洞統(tǒng)一展示預(yù)警.匯集漏洞來源管理模塊和漏洞數(shù)據(jù)管理模塊收集的漏洞基礎(chǔ)數(shù)據(jù)信息，以及漏洞分析管理模塊和漏洞處置管理模塊處理的統(tǒng)計(jì)結(jié)果.利用漏洞展示預(yù)警模塊形成漏洞信息的統(tǒng)一呈現(xiàn)，提供豐富的統(tǒng)計(jì)報(bào)表和分析視圖，用于全面掌握現(xiàn)狀和更加合理的決策.

3) 反饋溝通形成閉環(huán).利用漏洞處置管理模塊全流程跟蹤漏洞的處理及反饋情況.方便安全、研發(fā)及運(yùn)維人員及時(shí)獲取、處置及反饋相關(guān)信息，形成良性的反饋溝通機(jī)制.確保漏洞的閉環(huán)管理，大大降低漏洞管理流程中由于某環(huán)節(jié)疏漏所帶來的安全風(fēng)險(xiǎn)和隱患.

4) 漏洞管理效率大幅提升.通過自動(dòng)化的管理方式，在統(tǒng)一平臺(tái)上實(shí)現(xiàn)的漏洞全生命周期管理相較于傳統(tǒng)的人工處置，不僅提高了漏洞發(fā)布的準(zhǔn)確性，也提高了漏洞處置的及時(shí)性，從而大大提升了漏洞管理效率.同時(shí)，平臺(tái)也可通過資源擴(kuò)容來支持設(shè)備增加和系統(tǒng)擴(kuò)建.

5 結(jié)束語

統(tǒng)一漏洞管理平臺(tái)為漏洞管理提供了一種參考方案，組織或企業(yè)可依據(jù)自身規(guī)模、所具有的基礎(chǔ)組件等實(shí)際情況選擇整個(gè)解決方案中的部分模塊或功能進(jìn)行搭建.基于方便的API接口，可在后期建設(shè)過程中更加便捷地進(jìn)行補(bǔ)充和完善，以優(yōu)化漏洞管理流程，實(shí)現(xiàn)高效、自動(dòng)化的漏洞管理機(jī)制.同時(shí)平臺(tái)還可整體接入態(tài)勢感知或安全管理系統(tǒng)，以實(shí)現(xiàn)安全的整體感知與統(tǒng)一管理.后續(xù)工作可遵循PDCA原則[20]，對(duì)管理平臺(tái)進(jìn)行持續(xù)的優(yōu)化和改進(jìn).