基于生命周期的新型漏洞管理平臺設(shè)計(jì)

◆倪浩杰

（江蘇省國際信托有限責(zé)任公司 江蘇 210000）

1 引言

隨著互聯(lián)網(wǎng)在社會各領(lǐng)域的廣泛應(yīng)用，企事業(yè)單位及各經(jīng)濟(jì)組織的網(wǎng)絡(luò)問題受到高度關(guān)注。網(wǎng)絡(luò)安全風(fēng)險評估就是從風(fēng)險管理角度，識別組織內(nèi)部信息資產(chǎn)，全面地分析資產(chǎn)脆弱性，系統(tǒng)排查面臨的威脅，綜合評估組織的網(wǎng)絡(luò)安全風(fēng)險，為最大限度地保障信息安全提供科學(xué)依據(jù)。漏洞掃描器就是風(fēng)險評估的重要工具。

2 漏洞掃描的意義

漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定目標(biāo)的脆弱性進(jìn)行檢測，發(fā)現(xiàn)可利用漏洞的一種安全檢測設(shè)備。漏洞掃描器包括網(wǎng)絡(luò)漏掃、主機(jī)漏掃、數(shù)據(jù)庫漏掃等不同種類。網(wǎng)絡(luò)漏洞掃描器可以根據(jù)不斷完善的漏洞資料庫，檢測分析組織中工作站、服務(wù)器、數(shù)據(jù)庫、防火墻等的漏洞，提出漏洞解決方案和修復(fù)建議，使得網(wǎng)絡(luò)安全員能及時修復(fù)安全漏洞，在黑客攻擊前進(jìn)行防范，做到防患于未然。

3 漏洞掃描器存在的問題

當(dāng)前市場上的漏洞掃描器，按照預(yù)先掃描任務(wù)，通過主機(jī)掃描、端口掃描、指紋庫識別等技術(shù)手段，可有效發(fā)現(xiàn)組織內(nèi)部漏洞，但它也存在不少問題。風(fēng)險評估要綜合資產(chǎn)、脆弱性和威脅三因素，漏洞掃描器一方面僅僅機(jī)械地執(zhí)行用戶設(shè)置的單項(xiàng)掃描任務(wù)，它沒有組織整體的資產(chǎn)視角，割裂了資產(chǎn)、脆弱性和威脅三者之間的聯(lián)系，為此不能評價組織面臨的整體風(fēng)險；二是漏洞掃描器漏洞發(fā)現(xiàn)功能強(qiáng)大，漏洞掃描效果較好，一般不具備漏洞處置功能。為此漏洞掃描器適合安全測評、安全咨詢公司使用。企事業(yè)單位關(guān)心漏洞的發(fā)現(xiàn)，更關(guān)心漏洞消除和修復(fù)，以及漏洞處置過程的記錄與留痕，以備后期信息審計(jì)。為此，漏洞掃描器不能滿足現(xiàn)今企事業(yè)單位的需求，一種新型的漏洞管理工具呼之欲出。

4 新型漏洞管理平臺功能與架構(gòu)

漏洞管理按照生命周期，分為漏洞發(fā)現(xiàn)、漏洞處置、漏洞消除三個階段。漏洞發(fā)現(xiàn)嚴(yán)重依賴清晰的資產(chǎn)清單，為了更有效地預(yù)警組織網(wǎng)絡(luò)安全風(fēng)險，資產(chǎn)漏洞風(fēng)險實(shí)時展示也顯得尤為重要，因此基于生命周期的新型漏洞管理平臺就包括資產(chǎn)識別、漏洞發(fā)現(xiàn)、漏洞處置、漏洞消除和資產(chǎn)風(fēng)險可視化五大模塊，系統(tǒng)框圖見圖1。

圖1 基于生命周期的新型漏洞管理平臺系統(tǒng)框圖

5 新型漏洞管理平臺主要功能模塊

5.1 資產(chǎn)識別模塊

資產(chǎn)作為衍生出脆弱性的母體、威脅的作用對象，使得資產(chǎn)識別成為風(fēng)險評估工作的重要環(huán)節(jié)。資產(chǎn)識別模塊采用掃描技術(shù)發(fā)現(xiàn)資產(chǎn)，參考BS7799 和GB/20984 等標(biāo)準(zhǔn)，對識別資產(chǎn)進(jìn)行分類，結(jié)合組織實(shí)際按業(yè)務(wù)類型、使用部門、等級劃分、設(shè)備種類等要素標(biāo)識資產(chǎn)，形成組織資產(chǎn)清單。

5.2 漏洞發(fā)現(xiàn)模塊

組織資產(chǎn)導(dǎo)入漏洞發(fā)現(xiàn)模塊，利用主機(jī)、端口掃描等掃描技術(shù)發(fā)現(xiàn)組織內(nèi)部漏洞。為了降低該模塊的誤報率，引入漏洞驗(yàn)證插件，篩選出真實(shí)漏洞，形成漏洞報告，發(fā)送漏洞處置模塊，以待進(jìn)一步處理（圖2）。

5.3 漏洞處置模塊

漏洞處置模塊是新型漏洞管理平臺的核心，也是當(dāng)前市場上漏洞掃描器所沒有的功能模塊。有部分漏洞管理平臺有漏洞處置模塊，但大部分僅作分發(fā)和驗(yàn)證，功能相對簡單。漏洞處置模塊工作流程有接受漏洞報告、漏洞驗(yàn)證、漏洞評估、漏洞修復(fù)方案制定、漏洞修復(fù)方案測試和漏洞修復(fù)方案部署6 個環(huán)節(jié)。

圖2 漏洞發(fā)現(xiàn)模塊工作流程

5.3.1 接受漏洞報告

接受漏洞報告是漏洞處置工作的流程起點(diǎn)。

5.3.2 漏洞驗(yàn)證

該模塊的漏洞驗(yàn)證功能有別于漏洞發(fā)現(xiàn)模塊中的漏洞驗(yàn)證。后者側(cè)重于漏洞掃描階段的漏洞誤報消除，前者側(cè)重于開發(fā)、配置等層面，即漏洞是否存在、漏洞可否復(fù)現(xiàn)以及漏洞利用的難易程度等，從而為漏洞評估提供依據(jù)。

5.3.3 漏洞評估

漏洞評估根據(jù)資產(chǎn)重要性、資產(chǎn)暴露情況、已有保護(hù)措施、漏洞評級、漏洞能否修復(fù)，結(jié)合實(shí)際業(yè)務(wù)需要、修復(fù)時間、消除成本等因素，制定漏洞修復(fù)清單和優(yōu)先級排序表。對于不能修復(fù)的漏洞，做好補(bǔ)救措施，接受風(fēng)險。對于不能修復(fù)的漏洞，不予處置，忽略風(fēng)險。

5.3.4 漏洞修復(fù)方案制定

業(yè)務(wù)系統(tǒng)負(fù)責(zé)人根據(jù)漏洞報告，確定漏洞層面，分發(fā)漏洞處理人。若漏洞是由代碼問題產(chǎn)生，分發(fā)給開發(fā)人員制定漏洞修復(fù)方案。若漏洞是屬于配置問題，直接分發(fā)給運(yùn)維人員制定漏洞修復(fù)方案。

5.3.5 漏洞修復(fù)方案測試

運(yùn)維人員按照漏洞修復(fù)方案測試漏洞修復(fù)方案的有效性。

5.3.6 漏洞修復(fù)方案部署

漏洞修復(fù)方案測試驗(yàn)證后，由運(yùn)維人員部署到生產(chǎn)環(huán)境（圖3）。

圖3 漏洞處置模塊工作流程

5.4 漏洞消除模塊

漏洞處理模塊處理結(jié)束后，流轉(zhuǎn)到漏洞消除模塊。由網(wǎng)絡(luò)安全管理員，對漏洞進(jìn)行復(fù)檢，檢查漏洞修復(fù)情況。確認(rèn)漏洞修復(fù)后，記錄漏洞處置要素，最后消除漏洞，關(guān)閉流程（圖4）。

圖4 漏洞消除模塊工作流程

5.5 資產(chǎn)風(fēng)險可視化模塊

資產(chǎn)風(fēng)險可視化模塊，將采集資產(chǎn)、漏洞發(fā)現(xiàn)、漏洞處置和漏洞消除等數(shù)據(jù)，通過算法加工計(jì)算，直觀在展示組織資產(chǎn)風(fēng)險，實(shí)時投射在監(jiān)控大屏上，實(shí)現(xiàn)風(fēng)險管理的可視化。