田 闖

（中通服咨詢?cè)O(shè)計(jì)研究院有限公司，江蘇 南京 210019）

0 引 言

近年來(lái)，隨著各種網(wǎng)絡(luò)安全漏洞的曝光和被利用，國(guó)家與企業(yè)蒙受了重大的經(jīng)濟(jì)損失，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）發(fā)布了2001—2021年20年間漏洞數(shù)據(jù)統(tǒng)計(jì)情況，表明漏洞數(shù)量呈現(xiàn)逐年遞增的態(tài)勢(shì)，且高中危漏洞占比越來(lái)越高，僅2021年一年就報(bào)告網(wǎng)絡(luò)安全漏洞18 378個(gè)。由網(wǎng)絡(luò)安全漏洞引發(fā)的安全事件頻發(fā)，及時(shí)發(fā)現(xiàn)并修復(fù)漏洞是各企事業(yè)單位面臨的網(wǎng)絡(luò)安全關(guān)鍵基礎(chǔ)性工作，也是通過(guò)政府和主管部門(mén)對(duì)網(wǎng)絡(luò)安全責(zé)任檢查考核的重要抓手。

1 漏洞全生命周期管理

1.1 需求分析

1.1.1 漏洞發(fā)現(xiàn)

及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞是對(duì)其進(jìn)行有效管理的首要環(huán)節(jié)。企事業(yè)單位通常會(huì)在數(shù)據(jù)中心機(jī)房部署漏洞掃描工具，通過(guò)定期掃描發(fā)現(xiàn)漏洞，然而漏洞掃描工具存在一定的弊端。首先，漏洞掃描工具基于漏洞掃描規(guī)則進(jìn)行漏洞發(fā)現(xiàn)，如果漏洞規(guī)則庫(kù)更新不及時(shí)，則會(huì)存在一定的誤報(bào)和漏報(bào)情況，無(wú)法發(fā)現(xiàn)最新的安全漏洞。其次，漏洞掃描工具的頻繁掃描對(duì)網(wǎng)絡(luò)和應(yīng)用的性能也會(huì)有一定的影響。

1.1.2 漏洞審核

為了克服漏洞掃描工具存在的漏洞誤報(bào)情況，需要對(duì)漏洞進(jìn)行審核，如去除誤報(bào)的漏洞、對(duì)相同或者相似的漏洞進(jìn)行去重或合并等。由于漏洞審核工作專業(yè)性較強(qiáng)，需要專業(yè)的網(wǎng)絡(luò)安全人員完成，成本較高。此外對(duì)于突然爆發(fā)的大量漏洞，純?nèi)斯し绞降膶徍诵瘦^低，嚴(yán)重影響漏洞處置效率。

1.1.3 漏洞修復(fù)

通過(guò)漏洞發(fā)現(xiàn)和審核確定的漏洞需要及時(shí)進(jìn)行修復(fù)，如何提高漏洞修復(fù)的效率、縮短漏洞修復(fù)時(shí)間是漏洞修復(fù)環(huán)節(jié)需要解決的問(wèn)題。企事業(yè)單位漏洞修復(fù)的流程各不相同，需要構(gòu)建一套專屬于企事業(yè)單位的漏洞修復(fù)流程體系，可以依托單位內(nèi)部的網(wǎng)絡(luò)安全保障人員，也可以依托第三方網(wǎng)絡(luò)安全服務(wù)團(tuán)隊(duì)，通過(guò)標(biāo)準(zhǔn)化的流程完成漏洞修復(fù)工作。漏洞修復(fù)后還有可能引入新的安全漏洞，需要重復(fù)上述漏洞發(fā)現(xiàn)和漏洞審核的步驟，確保在安全漏洞修復(fù)過(guò)程中沒(méi)有引入新的安全漏洞。

1.1.4 漏洞歸檔與統(tǒng)計(jì)分析

漏洞歸檔實(shí)現(xiàn)已完成修復(fù)漏洞信息的歸檔管理，歸檔的內(nèi)容包括漏洞基礎(chǔ)信息、處置過(guò)程信息等。為了便于歸檔漏洞信息的查閱，創(chuàng)建以日期命名的漏洞檔案文件夾，根據(jù)漏洞發(fā)現(xiàn)的日期存放到對(duì)應(yīng)的漏洞檔案文件夾中，漏洞檔案文件使用漏洞名稱、發(fā)現(xiàn)時(shí)間和處置完成時(shí)間的組合命名。

漏洞統(tǒng)計(jì)分析功能根據(jù)漏洞的類型、等級(jí)、所影響的資產(chǎn)、所屬的業(yè)務(wù)部門(mén)以及處置時(shí)間等信息進(jìn)行統(tǒng)計(jì)分析，面向企業(yè)內(nèi)部不同工作角色人員構(gòu)建專屬的網(wǎng)絡(luò)安全漏洞態(tài)勢(shì)視圖，為企業(yè)安全保障團(tuán)隊(duì)人員的績(jī)效考核提供數(shù)據(jù)支持，為企業(yè)中高層管理人員對(duì)網(wǎng)絡(luò)安全保障措施的制定和優(yōu)化提供決策支撐。

1.2 建設(shè)方案

網(wǎng)絡(luò)安全漏洞全生命周期管理功能框圖如圖1所示，主要分為漏洞發(fā)現(xiàn)、漏洞研判、漏洞告警、漏洞處置、漏洞跟蹤以及漏洞分析展示6個(gè)模塊[1,2]。

圖1 功能框圖

1.2.1 漏洞發(fā)現(xiàn)

漏洞發(fā)現(xiàn)是漏洞管理的首要環(huán)節(jié)，主要目的是獲取較全面的網(wǎng)絡(luò)安全漏洞信息。為了達(dá)到這個(gè)目的，通常將人工滲透測(cè)試和自動(dòng)化漏洞掃描工具相結(jié)合進(jìn)行安全漏洞的掃描。首先通過(guò)有經(jīng)驗(yàn)的網(wǎng)絡(luò)安全工程師對(duì)資產(chǎn)進(jìn)行人工滲透測(cè)試，形成人工滲透測(cè)試漏洞清單，其次使用自動(dòng)化漏洞掃描工具進(jìn)行掃描，形成自動(dòng)化滲透測(cè)試漏洞清單，最后以人工滲透測(cè)試漏洞清單和自動(dòng)化滲透測(cè)試漏洞清單相結(jié)合形成原始的網(wǎng)絡(luò)安全漏洞信息。

1.2.2 漏洞研判

漏洞研判是在發(fā)現(xiàn)漏洞的基礎(chǔ)上對(duì)漏洞信息進(jìn)行處理和審核，從而確保漏洞信息的真實(shí)性，包括漏洞信息預(yù)處理、漏洞去重、漏洞信息補(bǔ)齊、漏洞有效性審核、漏洞分類定級(jí)以及漏洞資產(chǎn)關(guān)聯(lián)等功能[3,4]。

漏洞信息預(yù)處理對(duì)漏洞信息中的重要字段進(jìn)行檢查，確保漏洞數(shù)據(jù)的可讀性，剔除無(wú)法通過(guò)字段校驗(yàn)的漏洞信息。漏洞去重指的是對(duì)相同或相似漏洞數(shù)據(jù)進(jìn)行去重或合并，防止出現(xiàn)漏洞信息重復(fù)的情況。漏洞信息補(bǔ)齊對(duì)漏洞信息中缺失的字段進(jìn)行補(bǔ)齊，主要包括漏洞基礎(chǔ)信息和漏洞業(yè)務(wù)信息，其中漏洞基礎(chǔ)信息包括漏洞修復(fù)建議、漏洞類別、漏洞等級(jí)、漏洞影響等，漏洞業(yè)務(wù)信息包括資產(chǎn)的網(wǎng)絡(luò)地址、類型、所屬業(yè)務(wù)系統(tǒng)、所屬部門(mén)以及地理位置等。漏洞有效性審核對(duì)漏洞的真實(shí)性進(jìn)行判斷，確定漏洞是否可以復(fù)現(xiàn)。漏洞資產(chǎn)關(guān)聯(lián)通過(guò)在漏洞信息中補(bǔ)充資產(chǎn)通用平臺(tái)枚舉（Common Platform Enumeration，CPE）信息，構(gòu)建漏洞與資產(chǎn)的關(guān)聯(lián)關(guān)系，為資產(chǎn)的漏洞預(yù)警提供支持。

1.2.3 漏洞告警

通過(guò)漏洞研判輸出漏洞清單，當(dāng)漏洞信息滿足告警規(guī)則的條件時(shí)進(jìn)行告警通知。通常根據(jù)漏洞的等級(jí)進(jìn)行判斷，對(duì)于中高危安全漏洞，實(shí)時(shí)進(jìn)行告警通知。告警通知方式包括平臺(tái)頁(yè)面彈窗、短信、郵件等，也可以通過(guò)對(duì)接微信等第三方工具進(jìn)行漏洞告警信息的推送。

1.2.4 漏洞處置

漏洞處置功能的主要用戶是企業(yè)內(nèi)外部網(wǎng)絡(luò)安全保障團(tuán)隊(duì)，通過(guò)引入流程引擎，結(jié)合企事業(yè)單位自身的網(wǎng)絡(luò)安全管理制度構(gòu)建專屬的漏洞處置流程體系，包括漏洞確認(rèn)、漏洞修復(fù)、漏洞復(fù)驗(yàn)、漏洞關(guān)閉和漏洞歸檔等環(huán)節(jié)[5]。漏洞處置功能的用戶分為安全服務(wù)臺(tái)、漏洞后臺(tái)審核、漏洞修復(fù)3種角色。安全服務(wù)臺(tái)接收安全漏洞信息并派發(fā)給漏洞后臺(tái)審核人員，后臺(tái)審核人員進(jìn)一步根據(jù)漏洞等級(jí)、漏洞影響以及對(duì)資產(chǎn)的影響程度對(duì)漏洞信息進(jìn)行確認(rèn)后派發(fā)漏洞處置工單給漏洞修復(fù)人員，漏洞修復(fù)人員對(duì)漏洞進(jìn)行修復(fù)，修復(fù)完成后將工單流轉(zhuǎn)到漏洞后臺(tái)審核人員，后臺(tái)審核人員對(duì)漏洞進(jìn)行復(fù)驗(yàn)，將復(fù)驗(yàn)不通過(guò)的漏洞再次派發(fā)給漏洞修復(fù)人員進(jìn)行修復(fù)，而對(duì)于復(fù)驗(yàn)通過(guò)的漏洞將關(guān)閉對(duì)應(yīng)工單，并對(duì)漏洞信息進(jìn)行歸檔。漏洞處置功能中提供了靈活的接入接口，可以與企事業(yè)單位已有的辦公自動(dòng)化（Office Automation，0A）等平臺(tái)進(jìn)行對(duì)接，實(shí)現(xiàn)漏洞的全過(guò)程閉環(huán)管理。

1.2.5 漏洞跟蹤

漏洞跟蹤功能的主要用戶是企業(yè)單位管理人員，對(duì)于上級(jí)監(jiān)管部門(mén)下發(fā)或關(guān)注的重大網(wǎng)絡(luò)安全漏洞，在漏洞處置工單派發(fā)的同時(shí)可以將漏洞信息抄送給分管領(lǐng)導(dǎo)[6]。分管領(lǐng)導(dǎo)可以隨時(shí)查看漏洞處置詳情、周期、狀態(tài)、歷史漏洞信息、相似漏洞信息等內(nèi)容，方便管理人員了解重大網(wǎng)絡(luò)安全漏洞的處置進(jìn)度。

1.2.6 漏洞分析展示

對(duì)已歸檔和處置中的漏洞數(shù)據(jù)可以進(jìn)行統(tǒng)計(jì)分析，并在大屏上對(duì)統(tǒng)計(jì)分析的結(jié)果進(jìn)行展示，包括全網(wǎng)資產(chǎn)漏洞態(tài)勢(shì)、全網(wǎng)資產(chǎn)風(fēng)險(xiǎn)態(tài)勢(shì)、漏洞處置狀態(tài)統(tǒng)計(jì)、漏洞處置周期統(tǒng)計(jì)等[7]。一方面為內(nèi)外部網(wǎng)絡(luò)安全保障人員績(jī)效考核提供依據(jù)，另一方面為管理者制定和實(shí)施網(wǎng)絡(luò)安全管理制度的決策分析提供數(shù)據(jù)支撐。

2 漏洞情報(bào)庫(kù)

為了提高漏洞自動(dòng)化掃描工具的漏洞掃描能力，減少漏洞的誤報(bào)和漏報(bào)率，平臺(tái)需要構(gòu)建比較完整的漏洞情報(bào)庫(kù)[8-10]。漏洞情報(bào)庫(kù)包含數(shù)據(jù)采集、數(shù)據(jù)匯聚及整理、漏洞信息庫(kù)、接口服務(wù)4個(gè)功能模塊。

2.1 數(shù)據(jù)采集

漏洞情報(bào)庫(kù)的數(shù)據(jù)來(lái)源主要包括國(guó)家信息安全漏洞共享平臺(tái)（China National Vulnerability Database，CNVD）、通用漏洞披露（Common Vulnerabilities and Exposures，CVE）、Exploit-db等第三方漏洞情報(bào)平臺(tái)以及國(guó)內(nèi)主流安全廠商微信公眾號(hào)、互聯(lián)網(wǎng)社團(tuán)知識(shí)文庫(kù)、國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（National Internet Emergency Center，CNCERT）微信群等。對(duì)于第三方漏洞情報(bào)平臺(tái)的漏洞情報(bào)數(shù)據(jù)，主要通過(guò)爬蟲(chóng)的方式采集漏洞情報(bào)數(shù)據(jù)；對(duì)于國(guó)內(nèi)主流安全廠商微信公眾號(hào)、互聯(lián)網(wǎng)社團(tuán)知識(shí)文庫(kù)、CNCERT微信群等推送的漏洞情報(bào)數(shù)據(jù)，主要通過(guò)人工的方式進(jìn)行收集。

2.2 數(shù)據(jù)匯聚及整理

數(shù)據(jù)匯聚及整理使用抽取、轉(zhuǎn)換、加載（Extract Transform Load，ETL）工具或人工方式對(duì)采集得到的原始漏洞情報(bào)數(shù)據(jù)進(jìn)行處理，主要包括漏洞分類分級(jí)、漏洞與資產(chǎn)關(guān)聯(lián)關(guān)系梳理、熱點(diǎn)漏洞標(biāo)識(shí)3個(gè)步驟。

2.2.1 漏洞分類分級(jí)

漏洞分類分級(jí)根據(jù)漏洞分類和評(píng)價(jià)信息標(biāo)識(shí)出漏洞的利用類別及通用漏洞評(píng)分系統(tǒng)（Common Vulnerability Scoring System，CVSS）危險(xiǎn)等級(jí)。漏洞分類實(shí)現(xiàn)漏洞類型字段信息的補(bǔ)充，漏洞類型主要包括HTTP參數(shù)污染、變量覆蓋、信息泄漏、目錄遍歷、登錄繞過(guò)、嵌入惡意代碼、拒絕服務(wù)、SQL注入以及任意文件下載等。漏洞分級(jí)對(duì)漏洞的評(píng)價(jià)等級(jí)進(jìn)行判定，通常將漏洞等級(jí)分為低危、中危和高危3類。對(duì)于來(lái)自CVE的漏洞信息主要根據(jù)漏洞的CVSS 2.0評(píng)分進(jìn)行等級(jí)評(píng)價(jià)，并與CNVD的漏洞評(píng)價(jià)等級(jí)信息進(jìn)行對(duì)齊。

2.2.2 漏洞與資產(chǎn)關(guān)聯(lián)關(guān)系梳理

漏洞與資產(chǎn)關(guān)聯(lián)關(guān)系梳理實(shí)現(xiàn)漏洞所影響資產(chǎn)信息的補(bǔ)充，包括受影響資產(chǎn)名稱、資產(chǎn)分類、資產(chǎn)級(jí)別、CPE等，具體過(guò)程包括全量資產(chǎn)整理、資產(chǎn)分類、資產(chǎn)分級(jí)、漏洞與資產(chǎn)關(guān)聯(lián)以及CPE字段補(bǔ)充。全量資產(chǎn)整理根據(jù)CPE的官方字典，獲取命名準(zhǔn)確的全量資產(chǎn)信息，作為資產(chǎn)基礎(chǔ)數(shù)據(jù)。資產(chǎn)分類參考白帽匯等網(wǎng)絡(luò)空間測(cè)繪平臺(tái)補(bǔ)充資產(chǎn)分類信息，資產(chǎn)分級(jí)根據(jù)各大漏洞預(yù)警、通告平臺(tái)的推送信息內(nèi)容以及資產(chǎn)在互聯(lián)網(wǎng)的分布情況，對(duì)資產(chǎn)進(jìn)行分級(jí)，主要分為3級(jí)。其中，第一級(jí)為漏洞信息存在于漏洞庫(kù)中，但漏洞通告平臺(tái)未予以告警或漏洞通告平臺(tái)予以告警但在網(wǎng)絡(luò)空間測(cè)繪平臺(tái)中數(shù)量較少；第二級(jí)為漏洞信息在漏洞通告平臺(tái)予以告警，在網(wǎng)絡(luò)空間測(cè)繪平臺(tái)中數(shù)量適中或漏洞通告的相關(guān)資產(chǎn)屬于單機(jī)運(yùn)行程序無(wú)法通過(guò)網(wǎng)絡(luò)空間測(cè)繪檢索數(shù)量；第三級(jí)為漏洞信息在漏洞通告平臺(tái)多次予以告警，且在網(wǎng)絡(luò)空間測(cè)繪平臺(tái)中數(shù)量較多。漏洞與資產(chǎn)關(guān)聯(lián)將資產(chǎn)信息、資產(chǎn)分類、資產(chǎn)分級(jí)信息與漏洞信息進(jìn)行關(guān)聯(lián)，主要通過(guò)人工方式進(jìn)行整理。CPE字段補(bǔ)充參照CPE V2.3的定義，根據(jù)已獲取的資產(chǎn)信息和漏洞信息，補(bǔ)充完善CPE信息。

2.2.3 關(guān)鍵漏洞標(biāo)識(shí)

關(guān)鍵漏洞標(biāo)識(shí)根據(jù)漏洞CVSS評(píng)分、關(guān)聯(lián)資產(chǎn)級(jí)別、熱點(diǎn)監(jiān)控?cái)?shù)據(jù)等因素對(duì)關(guān)鍵漏洞進(jìn)行篩選、判定和標(biāo)識(shí)。資產(chǎn)級(jí)別為二級(jí)或三級(jí)，漏洞評(píng)價(jià)等級(jí)為中級(jí)或高級(jí)，并且存在于當(dāng)前熱點(diǎn)漏洞清單的漏洞被標(biāo)識(shí)為關(guān)鍵漏洞。其中熱點(diǎn)漏洞清單來(lái)源為各漏洞通告/預(yù)警平臺(tái)，同一漏洞僅保留“時(shí)間最近”的熱點(diǎn)信息，根據(jù)“最后通告/預(yù)警”時(shí)間進(jìn)行熱點(diǎn)漏洞清單的更新，保留“最后通告/預(yù)警”時(shí)間在半年內(nèi)的熱點(diǎn)漏洞信息，超過(guò)半年的熱點(diǎn)漏洞信息，對(duì)其熱點(diǎn)狀態(tài)進(jìn)行消除。

2.3 漏洞信息庫(kù)

對(duì)原始漏洞情報(bào)數(shù)據(jù)進(jìn)行匯聚和整理的基礎(chǔ)上構(gòu)建漏洞信息庫(kù)，其中包括漏洞原始信息庫(kù)、熱點(diǎn)漏洞信息庫(kù)、漏洞庫(kù)、漏洞規(guī)則庫(kù)。漏洞原始信息庫(kù)存放來(lái)自第三方平臺(tái)的漏洞情報(bào)數(shù)據(jù)，熱點(diǎn)漏洞信息庫(kù)存放來(lái)自主流安全廠商的日?qǐng)?bào)、互聯(lián)網(wǎng)社團(tuán)知識(shí)文庫(kù)、CNCERT微信群的熱點(diǎn)漏洞信息。對(duì)漏洞原始信息和熱點(diǎn)漏洞信息的漏洞數(shù)據(jù)進(jìn)行匯聚整理，形成漏洞庫(kù)，主要包括漏洞編號(hào)、漏洞名稱、CVE編號(hào)、CNVD編號(hào)、CNNVD編號(hào)、漏洞發(fā)布時(shí)間、漏洞類型、漏洞級(jí)別、CPE、受影響資產(chǎn)名稱、參考鏈接、漏洞描述、漏洞解決方案、補(bǔ)丁名稱、補(bǔ)丁描述、CVSS評(píng)分、更新時(shí)間以及CVSS BASE指標(biāo)等字段。漏洞規(guī)則庫(kù)主要存放巡檢、應(yīng)急響應(yīng)等場(chǎng)景下以及重點(diǎn)熱點(diǎn)漏洞的檢測(cè)規(guī)則信息，漏洞規(guī)則信息可以對(duì)漏洞進(jìn)行檢測(cè)。

2.4 接口服務(wù)

為了能夠?qū)⒙┒辞閳?bào)信息及時(shí)通知第三方平臺(tái)，開(kāi)發(fā)接口服務(wù)軟件，主要包括漏洞信息和漏洞規(guī)則信息的更新維護(hù)接口。針對(duì)新增、變更和刪除的漏洞信息和漏洞規(guī)則信息，每天定時(shí)推送給第三方平臺(tái)，實(shí)現(xiàn)漏洞情報(bào)和漏洞規(guī)則信息的同步。

3 結(jié) 論

本文針對(duì)企事業(yè)單位在網(wǎng)絡(luò)安全漏洞管理方面存在的問(wèn)題和需求進(jìn)行了分析，在此基礎(chǔ)上討論了網(wǎng)絡(luò)安全漏洞管理方案，通過(guò)漏洞發(fā)現(xiàn)、漏洞研判、漏洞告警、漏洞處置、漏洞跟蹤和漏洞分析展示等功能實(shí)現(xiàn)網(wǎng)絡(luò)安全漏洞的全生命周期管理。在漏洞管理的基礎(chǔ)上，提出了漏洞情報(bào)庫(kù)的建設(shè)思路。其中漏洞研判和漏洞審核工作目前通過(guò)半自動(dòng)化的方式實(shí)現(xiàn)，部分工作仍然需要人工輔助，后期可以考慮通過(guò)全自動(dòng)化方式，進(jìn)一步提高漏洞的處置效率。