面向漏洞管理的工作流技術(shù)應(yīng)用研究

楊詩雨， 蘇麗麗， 侯元偉， 郝永樂， 李偉平

(1.中國信息安全測評(píng)中心，北京 100085； 2.北京大學(xué) 軟件與微電子學(xué)院，北京 100871)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)空間的興起，互聯(lián)網(wǎng)、通信網(wǎng)、計(jì)算機(jī)系統(tǒng)、自動(dòng)化控制系統(tǒng)、數(shù)字設(shè)備及其承載的應(yīng)用、服務(wù)和數(shù)據(jù)等存在的安全問題與日俱增，漏洞、木馬、病毒等不斷出現(xiàn)，引發(fā)嚴(yán)重的網(wǎng)絡(luò)安全事件，國家政治、經(jīng)濟(jì)、文化、社會(huì)、國防安全及公民在網(wǎng)絡(luò)空間的合法權(quán)益面臨嚴(yán)峻風(fēng)險(xiǎn)與挑戰(zhàn). 網(wǎng)絡(luò)安全漏洞是網(wǎng)絡(luò)空間的最大威脅之一，因此規(guī)范、高效的漏洞管理是保障網(wǎng)絡(luò)安全的重要舉措.

網(wǎng)絡(luò)安全漏洞[1]是信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、維護(hù)和使用等過程中，有意或無意產(chǎn)生的缺陷. 網(wǎng)絡(luò)安全漏洞的存在本身并不能導(dǎo)致?lián)p害，但若被攻擊者利用，就會(huì)對(duì)信息產(chǎn)品或系統(tǒng)造成安全損害，從而影響構(gòu)建于信息產(chǎn)品或系統(tǒng)之上正常服務(wù)的運(yùn)行，危害信息產(chǎn)品或系統(tǒng)及信息的安全屬性. 由于當(dāng)前的技術(shù)局限性，漏洞在很大程度上是難以避免并且長期存在的. 近些年，伴隨著“HeartBleed”、“WannaCry”等漏洞引發(fā)的安全事件所造成的全球性影響，各國開始逐步加強(qiáng)漏洞管理方面的工作，政府部門、安全組織和商業(yè)公司等均建立自身的漏洞管理機(jī)構(gòu)，通過對(duì)漏洞數(shù)據(jù)庫的運(yùn)維實(shí)踐，開展漏洞的發(fā)現(xiàn)收集和整理發(fā)布等漏洞管理工作.

隨著漏洞管理信息化的不斷深入，網(wǎng)絡(luò)安全漏洞大量涌現(xiàn)，使得過去以人工管理為主的管理模式已經(jīng)無法滿足社會(huì)發(fā)展的新形勢，傳統(tǒng)方式下漏洞數(shù)據(jù)管理工作低下的執(zhí)行效率逐漸成為制約漏洞管理機(jī)構(gòu)有效開展漏洞威脅消控的主要因素. 本文對(duì)國內(nèi)外的漏洞管理機(jī)構(gòu)進(jìn)行深入調(diào)研，對(duì)漏洞管理過程和需求進(jìn)行分析挖掘，并建立了基于工作流技術(shù)的漏洞管理模型，實(shí)現(xiàn)了自動(dòng)化漏洞管理系統(tǒng)，有效提升了漏洞管理的工作效率.

1 相關(guān)工作

1.1 工作流技術(shù)

隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的快速發(fā)展，無紙化、數(shù)字化的辦公環(huán)境逐漸成為新的流行趨勢. 20世紀(jì)70年代，工作流[2](workflow)技術(shù)逐步服務(wù)于生產(chǎn)和辦公自動(dòng)化領(lǐng)域，為了實(shí)現(xiàn)特定的業(yè)務(wù)目標(biāo)，定義一系列過程規(guī)則，對(duì)相互獨(dú)立的業(yè)務(wù)工作進(jìn)行合理串聯(lián)和規(guī)范，對(duì)相互關(guān)聯(lián)的業(yè)務(wù)流程進(jìn)行科學(xué)優(yōu)化和整合，實(shí)現(xiàn)業(yè)務(wù)工作的異構(gòu)分布式執(zhí)行. 20世紀(jì)90年代以來，工作流技術(shù)逐步成為企業(yè)信息化管理的重要組成部分，在制造業(yè)、金融業(yè)、電訊業(yè)、航運(yùn)業(yè)、教育業(yè)等領(lǐng)域得到廣泛應(yīng)用. 目前對(duì)于工作流技術(shù)的應(yīng)用主要是通過建立專門的工作流管理系統(tǒng)來實(shí)現(xiàn)的，具體實(shí)現(xiàn)方式往往可劃為獨(dú)立運(yùn)行的工作流管理系統(tǒng)和嵌入式工作流系統(tǒng). 如美國Georgia大學(xué)計(jì)算機(jī)系METEOR項(xiàng)目開發(fā)出了一套獨(dú)立的基于Web服務(wù)器的工作流系統(tǒng)WebWork，而Microsoft、SAP等廠商則通過引入工作流引擎，將工作流技術(shù)集成到自己的操作系統(tǒng)和開發(fā)工具中.

工作流管理系統(tǒng)建立之前，首先要對(duì)業(yè)務(wù)流程進(jìn)行工作流建模，工作流模型[3-4]是解決流程類問題的方法論，是工作流系統(tǒng)的核心和靈魂. 目前工作流建模技術(shù)共有11種[5]，本文采用的業(yè)務(wù)流程模型及符號(hào)(business process model and notation，BPMN)是一種圖形化標(biāo)記建模方法，能夠同時(shí)滿足將圖形化表示的模型轉(zhuǎn)換成機(jī)器能夠識(shí)別的模型的兩個(gè)目的——共享和執(zhí)行，使業(yè)務(wù)分析師、技術(shù)開發(fā)者、業(yè)務(wù)管理者和監(jiān)督者等相關(guān)業(yè)務(wù)人員能夠以可視化的方式創(chuàng)建、管理和監(jiān)控系統(tǒng)的執(zhí)行流程. 2011年，BPMN 2.0正式版本發(fā)布，解決了存儲(chǔ)、交換和執(zhí)行的問題，具備了更完備的表達(dá)能力.

工作流管理系統(tǒng)主要傾向于實(shí)現(xiàn)文檔、消息等內(nèi)容的自動(dòng)化傳遞和在線申請(qǐng)、網(wǎng)絡(luò)審批等任務(wù)的流程化處理，而漏洞管理工作中恰恰涉及了大量的對(duì)于漏洞數(shù)據(jù)資源的分配、審核、處理和不同角色之間的傳遞，本文對(duì)漏洞管理的業(yè)務(wù)流程進(jìn)行了分析和建模，并建立了漏洞工作流管理系統(tǒng)，實(shí)現(xiàn)對(duì)于漏洞資源的高效管理.

1.2 漏洞管理

2017年10月，美國威脅情報(bào)公司Recorded Future發(fā)布研究認(rèn)為美國國家漏洞庫NVD(National Vulnerability Database)的漏洞發(fā)布效率過低，影響了重大漏洞的及時(shí)消控，建議開展漏洞主動(dòng)發(fā)現(xiàn)，以應(yīng)對(duì)重大漏洞的及時(shí)披露，由此可見，提升漏洞管理效率迫在眉睫. 本文對(duì)當(dāng)前的漏洞管理機(jī)構(gòu)進(jìn)行調(diào)研，選取其中管理機(jī)制較為完善的平臺(tái)進(jìn)行對(duì)比和分析，進(jìn)而總結(jié)一套適用于漏洞管理機(jī)構(gòu)的一般性管理流程進(jìn)行建模和實(shí)現(xiàn).

本文主要研究的漏洞管理機(jī)構(gòu)如下：美國通用漏洞和披露平臺(tái)CVE(Common Vulnerabilities and Exposures)、美國國家漏洞庫NVD、日本漏洞通報(bào)平臺(tái)JVN(Japan Vulnerability Notes)、中國國家信息安全漏洞庫CNNVD(China National Vulnerability Database of Information Security)和中國國家信息安全漏洞共享平臺(tái)CNVD(China National Vulnerability Database).

1.2.1CVE

1999年，美國MITRE公司以社區(qū)的形式推出了CVE漏洞管理平臺(tái)[6]，由美國國土安全部下的計(jì)算機(jī)應(yīng)急響應(yīng)小組US-CERT為該項(xiàng)目提供資金支持. CVE旨在為漏洞標(biāo)識(shí)信息提供一個(gè)跨平臺(tái)標(biāo)準(zhǔn)，所以CVE不是一個(gè)漏洞數(shù)據(jù)庫，更確切地說是一個(gè)漏洞索引目錄. CVE具體的漏洞管理過程如圖1所示.

CVE為了最大化漏洞索引目錄，廣泛地開展漏洞的發(fā)現(xiàn)收集工作.

① CVE Content Team從Microsoft、Oracle等廠商的安全公告和Bugtraq、ZDI等漏洞源中采集漏洞信息.

② CVE Editor從互聯(lián)網(wǎng)上搜集新出現(xiàn)的、引起廣泛輿論關(guān)注的重要漏洞.

③ CNA[7]收集安全研究人員或組織自主發(fā)現(xiàn)的漏洞信息，研判確認(rèn)后進(jìn)行漏洞修復(fù). CNA由MITRE公司、軟件廠商和第三方協(xié)調(diào)機(jī)構(gòu)組成，CNA成員收到本公司的漏洞后，可不通過CVEEditor直接向漏洞發(fā)現(xiàn)者分配CVE標(biāo)識(shí)，漏洞修復(fù)完成后將相關(guān)信息告知CVE Editor，以創(chuàng)建CVE條目. 對(duì)于非CNA成員的漏洞，由MITRE公司接收漏洞信息，在漏洞發(fā)現(xiàn)者提供第三方確認(rèn)證明后，即可創(chuàng)建CVE條目.

圖1 CVE漏洞管理機(jī)制Fig.1 CVE vulnerability management mechanism

1.2.2NVD

2005年，美國國家標(biāo)準(zhǔn)與技術(shù)委員會(huì)NIST建立了NVD[8]，脫胎于2000年建立的ICAT平臺(tái)，成為美國國家級(jí)的漏洞數(shù)據(jù)庫. 與CVE相同的是，NVD同樣由計(jì)算機(jī)應(yīng)急響應(yīng)小組US-CERT提供資金和技術(shù)支持. 與CVE不同的是，NVD提供了更為詳細(xì)的漏洞描述，包括漏洞的危害等級(jí)、漏洞影響的軟件及其版本、漏洞的修復(fù)情況等內(nèi)容. NVD的漏洞管理過程如圖2所示.

圖2 NVD漏洞管理機(jī)制Fig.2 NVD vulnerability management mechanism

NVD建立在CVE列表之上并與之完全同步，NVD團(tuán)隊(duì)同樣不進(jìn)行漏洞的研判工作，而是分析來自CVE的漏洞條目和相關(guān)材料，并進(jìn)行網(wǎng)絡(luò)搜集，基于《通用漏洞評(píng)估系統(tǒng)CVSS》、《通用平臺(tái)列舉CPE》等SCAP標(biāo)準(zhǔn)，添加漏洞的危害等級(jí)和類型等屬性. NVD將產(chǎn)品數(shù)據(jù)和漏洞數(shù)據(jù)進(jìn)行關(guān)聯(lián)發(fā)布，并提供漏洞搜索引擎服務(wù).

1.2.3JVN

2004年，日本情報(bào)處理推進(jìn)機(jī)構(gòu)IPA和計(jì)算機(jī)安全應(yīng)急響應(yīng)組JPCERT/CC兩家機(jī)構(gòu)開始聯(lián)合運(yùn)營JVN[9]. JVN旨在提供一個(gè)協(xié)助系統(tǒng)管理人員、軟件開發(fā)人員等提升產(chǎn)品或系統(tǒng)安全性的漏洞知識(shí)庫，因此JVN除了收錄美國US-CERT[10]、英國CPNI[11]等機(jī)構(gòu)發(fā)布的漏洞數(shù)據(jù)外，還通過信息安全預(yù)警合作機(jī)制收集漏洞，IPA初步研判漏洞并交由JPCERT/CC處理，JPCERT/CC和產(chǎn)品研發(fā)人員溝通協(xié)調(diào)解決方案，并在漏洞修復(fù)后公布漏洞詳情、開發(fā)人員的相關(guān)聲明等信息. JVN漏洞管理過程如圖3所示.

圖3 JVN漏洞管理機(jī)制Fig.3 JVN vulnerability management mechanism

1.2.4CNNVD

2009年，國家信息安全漏洞庫CNNVD[12]正式投入運(yùn)營，CNNVD是中國信息安全測評(píng)中心為切實(shí)履行漏洞分析和風(fēng)險(xiǎn)評(píng)估的職能，負(fù)責(zé)建設(shè)運(yùn)維的國家信息安全漏洞庫. CNNVD的漏洞管理過程如圖4所示，從提高我國網(wǎng)絡(luò)和信息安全保障能力出發(fā)，通過自主挖掘、社會(huì)提交、協(xié)作共享、網(wǎng)絡(luò)搜集以及技術(shù)檢測等方式開展漏洞的采集收錄工作，聯(lián)合政府部門、行業(yè)用戶、安全廠商、高校和科研機(jī)構(gòu)等社會(huì)力量進(jìn)行漏洞的分析驗(yàn)證、預(yù)警通報(bào)和修復(fù)消控工作，并為重要行業(yè)和關(guān)鍵基礎(chǔ)設(shè)施安全保障工作提供技術(shù)支撐和數(shù)據(jù)支持.

圖4 CNNVD漏洞管理機(jī)制Fig.4 CNNVD vulnerability management mechanism

1.2.5CNVD

2010年，國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心CNCERT正式開通了CNVD[13]網(wǎng)站. 作為一個(gè)漏洞共享知識(shí)庫，CNVD致力于建立漏洞統(tǒng)一收集驗(yàn)證、預(yù)警發(fā)布及應(yīng)急處置體系. CNVD的漏洞管理流程如圖5所示. CNVD工作委員會(huì)接收漏洞后，由秘書處CNCERT組織CNVD成員單位(技術(shù)組、用戶組、合作方)進(jìn)行漏洞分析驗(yàn)證，核實(shí)確認(rèn)漏洞信息后，CNVD工作委員會(huì)與相關(guān)廠商共同協(xié)商發(fā)布時(shí)間，并根據(jù)漏洞發(fā)布策略，選擇性的發(fā)布漏洞信息.

圖5 CNVD漏洞管理機(jī)制Fig.5 CNVD vulnerability management mechanism

1.2.6對(duì)比分析

CVE在漏洞管理過程中更注重漏洞數(shù)據(jù)的發(fā)現(xiàn)和漏洞信息的標(biāo)識(shí)，不對(duì)漏洞進(jìn)行精確描述，降低了數(shù)據(jù)運(yùn)維的復(fù)雜性，實(shí)現(xiàn)了最廣泛地漏洞收集. 此外，通過CNA機(jī)制，由廠商自己解決自身的漏洞問題，簡化了漏洞通報(bào)和修復(fù)的流程. 但是CVE發(fā)布的漏洞具有一定的局限性，對(duì)于廠商或第三方機(jī)構(gòu)未公開的漏洞和系統(tǒng)配置問題的漏洞不進(jìn)行發(fā)布，因此，對(duì)于網(wǎng)上流傳的危害嚴(yán)重但尚未修復(fù)的漏洞，CVE可能已經(jīng)通過“保留發(fā)布”的形式.

分配了CVE編號(hào)，但漏洞描述等其他細(xì)節(jié)都無法從網(wǎng)站獲取，使用戶無警覺地暴露在風(fēng)險(xiǎn)之中. NVD完全與CVE同步，也存在相同的問題，但NVD兼容了SCAP系列標(biāo)準(zhǔn)，漏洞信息更詳細(xì)和規(guī)范，方便用戶多維度檢索和多產(chǎn)品引用. JVN在引用NVD和CPNI等數(shù)據(jù)的基礎(chǔ)上，還建立了漏洞的研判通報(bào)機(jī)制，并督促廠商修復(fù)漏洞，在漏洞威脅消控方面提出了另一種解決辦法. CNNVD和CNVD綜合各方優(yōu)勢并結(jié)合國內(nèi)外先進(jìn)經(jīng)驗(yàn)，兼容NVD等漏洞源，并開展漏洞的驗(yàn)證研判和預(yù)警消控工作，實(shí)施漏洞的全過程管理，有助于加快漏洞威脅消控的流程. 除上述平臺(tái)外，本文對(duì)俄羅斯BDU、澳大利亞AusCERT、歐盟CERT-EU、英國CPNI、芬蘭NCSC-FI等漏洞平臺(tái)進(jìn)行了研究和分析，對(duì)于這些平臺(tái)的對(duì)比分析如表1所示.

表1 國內(nèi)外漏洞管理機(jī)構(gòu)對(duì)比分析Tab.1 Comparative analysis of vulnerability management institutions at home and abroad

為漏洞管理機(jī)構(gòu)在開展漏洞管理實(shí)踐的過程中往往會(huì)遇到以下兩個(gè)難題：

① 管理工作涉及了對(duì)于大量漏洞數(shù)據(jù)的流程化處理和對(duì)于不同管理階段的系統(tǒng)化銜接等，數(shù)據(jù)量往往超出數(shù)據(jù)處理能力時(shí)，導(dǎo)致重大漏洞難以及時(shí)消控；

② 對(duì)于不同階段的漏洞管理行為往往由不同的人員承擔(dān)，人角色之間較高的溝通成本也成為漏洞消控滯后的重要因素.

本文通過上述調(diào)研和分析，總結(jié)一套一般性的漏洞管理流程進(jìn)行建模，并通過建立工作流管理系統(tǒng)實(shí)現(xiàn)對(duì)于漏洞資源的管理和監(jiān)控.

2 面向漏洞管理的工作流建模和實(shí)現(xiàn)過程

本文基于對(duì)國內(nèi)外漏洞管理機(jī)構(gòu)的調(diào)研分析，以CVE、NVD和CNNVD的管理模式為研究目標(biāo)，在明確不同管理角色職能分工的條件下，有針對(duì)性地提出不同階段的漏洞處理流程，通過BPMN建立一套一般性的漏洞管理模型(VM-workflow)，并通過JBPM進(jìn)行實(shí)現(xiàn)和部署.

2.1 組織結(jié)構(gòu)模型

本文將漏洞管理機(jī)構(gòu)下設(shè)4個(gè)工作委員會(huì)(團(tuán)隊(duì))，如圖6所示.

圖6 組織結(jié)構(gòu)模型Fig.6 Organizational structure model

① 漏洞管理委員會(huì)：由漏洞管理機(jī)構(gòu)的漏洞收集團(tuán)隊(duì)、安全廠商和第三方協(xié)調(diào)機(jī)構(gòu)組成，負(fù)責(zé)開展漏洞收集工作. 其中，安全廠商和第三方協(xié)調(diào)機(jī)構(gòu)負(fù)責(zé)自身漏洞的研判和修復(fù)工作，并在研判確認(rèn)后和修復(fù)完成后分別將漏洞相關(guān)情況告知漏洞運(yùn)營團(tuán)隊(duì). 漏洞收集團(tuán)隊(duì)負(fù)責(zé)收集非委員會(huì)成員的漏洞，并交由漏洞研判團(tuán)隊(duì)進(jìn)行處理.

② 漏洞發(fā)現(xiàn)團(tuán)隊(duì)：負(fù)責(zé)從網(wǎng)絡(luò)渠道搜集漏洞信息，進(jìn)行初步分析整理后，交由漏洞研判團(tuán)隊(duì)進(jìn)行處理.

③ 漏洞研判團(tuán)隊(duì)：由漏洞標(biāo)識(shí)團(tuán)隊(duì)和漏洞驗(yàn)證團(tuán)隊(duì)組成，負(fù)責(zé)對(duì)漏洞進(jìn)行重復(fù)性驗(yàn)證和真實(shí)性驗(yàn)證等漏洞研判工作. 其中，漏洞標(biāo)識(shí)團(tuán)隊(duì)對(duì)漏洞進(jìn)行關(guān)鍵信息標(biāo)識(shí)，初步判定漏洞所涉及的領(lǐng)域、影響的范圍和危害的程度等后，進(jìn)行漏洞的去重工作；漏洞驗(yàn)證團(tuán)隊(duì)根據(jù)漏洞標(biāo)識(shí)信息的優(yōu)先級(jí)對(duì)漏洞進(jìn)行驗(yàn)證和復(fù)現(xiàn)，確認(rèn)漏洞是否真實(shí)存在、評(píng)估漏洞的危害等級(jí)等. 漏洞研判團(tuán)隊(duì)確認(rèn)后的漏洞交由漏洞運(yùn)營團(tuán)隊(duì)處理.

④ 漏洞運(yùn)營團(tuán)隊(duì)：負(fù)責(zé)分配漏洞編號(hào)、整理漏洞條目、協(xié)調(diào)受影響的廠商進(jìn)行漏洞修復(fù)、漏洞發(fā)布等工作，并負(fù)責(zé)整個(gè)漏洞管理流程的監(jiān)督工作.

2.2 工作流建模

本文使用BPMN modeler工具實(shí)現(xiàn)漏洞管理的BPMN 2.0工作流建模，并可實(shí)現(xiàn)可視化圖形和XML的自動(dòng)轉(zhuǎn)化. 本文將漏洞管理流程分為3個(gè)子流程:引用漏洞管理流程、采集漏洞管理流程和收集漏洞管理流程，其中引用漏洞通過系統(tǒng)自動(dòng)爬取相關(guān)漏洞源數(shù)據(jù)，不涉及人工管理，因此本文僅對(duì)采集漏洞和收集漏洞進(jìn)行工作流建模.

① 采集漏洞管理流程建模如圖7所示，利用泳道將活動(dòng)劃分到不同的可視化類別中，清晰地描述不同管理角色的責(zé)任與職責(zé)，采用定時(shí)任務(wù)開啟工作流程，在任務(wù)流轉(zhuǎn)中，根據(jù)系統(tǒng)建設(shè)情況和相關(guān)業(yè)務(wù)需求，選擇人工任務(wù)、手工任務(wù)、腳本任務(wù)、服務(wù)任務(wù)、業(yè)務(wù)規(guī)則任務(wù)等任務(wù)類型，實(shí)現(xiàn)工作任務(wù)的自動(dòng)化執(zhí)行和流轉(zhuǎn)，并可通過工作流系統(tǒng)對(duì)流程進(jìn)行監(jiān)控，進(jìn)行超時(shí)提醒、異常處理等多種功能.

圖7 采集漏洞管理模型Fig.7 Management model for gathering vulnerabilities

② 收集漏洞管理流程建模如圖8所示，與采集流程不同，收集流程屬于消息開始任務(wù)，收到漏洞作為工作流任務(wù)的起始點(diǎn). 在漏洞研判任務(wù)中存在與采集流程相同的事務(wù)性子流程.

圖8 收集漏洞管理模型Fig.8 Management model for collecting vulnerabilities

2.3 工作流系統(tǒng)實(shí)現(xiàn)

隨著企業(yè)信息化的不斷深入，漏洞管理機(jī)構(gòu)在開展漏洞管理實(shí)踐的過程中逐步建立了漏洞采集系統(tǒng)、漏洞收集系統(tǒng)、漏洞驗(yàn)證系統(tǒng)等以滿足不同的業(yè)務(wù)需求，在這個(gè)背景下，工作流管理系統(tǒng)的搭建需要考慮與整體應(yīng)用的開發(fā)框架進(jìn)行整合的問題.

本文對(duì)于系統(tǒng)后臺(tái)的設(shè)計(jì)遵循規(guī)模性、環(huán)境關(guān)聯(lián)性、層次性、可控制性、不確定性等原則[14]，采用分層結(jié)構(gòu)實(shí)現(xiàn)，主要分為：數(shù)據(jù)層、支撐層、應(yīng)用層、接入層，如圖9所示. 數(shù)據(jù)層保存了漏洞名稱、漏洞編號(hào)、漏洞描述等業(yè)務(wù)數(shù)據(jù)，以及流程實(shí)例、執(zhí)行對(duì)象、任務(wù)期限等流程數(shù)據(jù)和其他數(shù)據(jù)；支撐層包含了實(shí)現(xiàn)身份認(rèn)證和權(quán)限控制的組件，以及控制工作任務(wù)進(jìn)行流轉(zhuǎn)的工作流組件等；應(yīng)用層涵蓋了所有與漏洞管理業(yè)務(wù)相關(guān)的工作系統(tǒng)，即從漏洞的發(fā)現(xiàn)收集到整理發(fā)布的流程應(yīng)用系統(tǒng)，其中工作流管理系統(tǒng)作為中央控制器，通過與相關(guān)業(yè)務(wù)系統(tǒng)進(jìn)行業(yè)務(wù)串接和數(shù)據(jù)交互，實(shí)現(xiàn)對(duì)整個(gè)漏洞管理流程的維護(hù)和控制；接入層對(duì)成員單位、合作伙伴、安全人員或組織等開放了不同的數(shù)據(jù)接口，以開展漏洞數(shù)據(jù)的收集和發(fā)布工作.

圖9 系統(tǒng)邏輯架構(gòu)圖Fig.9 System logic architecture diagram

工作流管理系統(tǒng)實(shí)現(xiàn)了核心路由的功能，能夠解釋流程定義、控制流程的運(yùn)行過程、實(shí)現(xiàn)對(duì)工作流操作的管理和監(jiān)督等. 本文擬通過JBMN4(java business process management 4.0)實(shí)現(xiàn)工作流管理系統(tǒng). 根據(jù)上節(jié)中對(duì)漏洞采集流程和漏洞收集流程的業(yè)務(wù)建模，通過JBMN4進(jìn)行部署和解釋，并對(duì)每一個(gè)任務(wù)的執(zhí)行過程進(jìn)行表達(dá)，進(jìn)而實(shí)現(xiàn)整個(gè)業(yè)務(wù)流程的流轉(zhuǎn)和監(jiān)控.

3 實(shí)驗(yàn)結(jié)果

建立了基于工作流技術(shù)的自動(dòng)化漏洞管理系統(tǒng)，采用Spring + Spring MVC + Hibernate + jBPM的技術(shù)架構(gòu)進(jìn)行系統(tǒng)實(shí)現(xiàn)，系統(tǒng)提供的核心功能包括我的待辦任務(wù)、任務(wù)中心. 本文中待辦任務(wù)功能模塊允許系統(tǒng)用戶查看并執(zhí)行自己待辦任務(wù)，并以可視化圖形的方式展示出該漏洞的處置進(jìn)度. 任務(wù)中心功能模塊則提供全局的漏洞管理監(jiān)控，管理人員可以對(duì)系統(tǒng)處理過的所有漏洞進(jìn)行整體把控和跟蹤，并且可以查看整個(gè)漏洞處置過程中各個(gè)環(huán)節(jié)的責(zé)任人和任務(wù)耗時(shí). 借助于該系統(tǒng)，單個(gè)漏洞的平均處理時(shí)間縮短了1～2 d，平均每天處理的漏洞數(shù)量提升了5～10個(gè).

本文通過對(duì)漏洞管理機(jī)制的組織架構(gòu)進(jìn)行建模，強(qiáng)化了漏洞管理委員會(huì)、漏洞采集團(tuán)隊(duì)、漏洞研判團(tuán)隊(duì)和漏洞運(yùn)營團(tuán)隊(duì)的分工和責(zé)任，并通過漏洞采集流程和收集流程進(jìn)行建模，為大量漏洞數(shù)據(jù)的流程化處理和不同漏洞處理階段的系統(tǒng)化銜接提供了模型化設(shè)計(jì)方案和系統(tǒng)化解決方案，進(jìn)而解決了目前漏洞管理工作中存在的主要問題，加強(qiáng)了漏洞管理各階段行為的連接和監(jiān)控，降低了由于人為因素造成的不利影響，滿足了漏洞管理機(jī)構(gòu)對(duì)于漏洞的資源管理和時(shí)間管理. 此外，通過漏洞標(biāo)識(shí)團(tuán)隊(duì)研判漏洞處置的優(yōu)先級(jí)，進(jìn)一步提升了對(duì)于重大漏洞研判和消控的工作效率.

4 結(jié)束語

高效的漏洞管理機(jī)制是消控漏洞威脅的重要保障. 本文調(diào)研了國內(nèi)外漏洞管理機(jī)構(gòu)的工作機(jī)制，從漏洞數(shù)據(jù)的內(nèi)容、種類以及漏洞的收集機(jī)制、研判機(jī)制、消控機(jī)制等多維度進(jìn)行了對(duì)比分析，總結(jié)了一套一般性的漏洞管理組織架構(gòu)和處理流程，并結(jié)合工作流技術(shù)進(jìn)行業(yè)務(wù)建模和系統(tǒng)實(shí)現(xiàn)，解決了目前漏洞管理中存在的處理效率低和交接復(fù)雜度高的問題，展望了漏洞管理的研究方向.