關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系建設(shè)與漏洞管理標(biāo)準(zhǔn)化研究

楊一未 孫成昊

(中國(guó)信息安全測(cè)評(píng)中心 北京 100085)

(yangyw@itsec.gov.cn)

在萬(wàn)物互聯(lián)的信息時(shí)代，網(wǎng)絡(luò)的觸角不斷延伸，關(guān)鍵信息基礎(chǔ)設(shè)施安全已成為全球各國(guó)普遍關(guān)注的重點(diǎn)問(wèn)題.2017年6月我國(guó)實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》[1](簡(jiǎn)稱《網(wǎng)絡(luò)安全法》)，從立法層面明確要求對(duì)可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施重點(diǎn)保護(hù).2021年8月頒布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》[2]對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)的一系列要素作了更具體的規(guī)定，進(jìn)一步推進(jìn)了《網(wǎng)絡(luò)安全法》在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的落地工作.全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)正在起草的《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求(報(bào)批稿)》[3]等系列標(biāo)準(zhǔn)從不同角度對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要素特別是漏洞管理提出了更為具體的要求.自網(wǎng)絡(luò)安全問(wèn)題誕生以來(lái)，網(wǎng)絡(luò)安全漏洞就是攻防雙方關(guān)注的焦點(diǎn)問(wèn)題.及時(shí)掌握漏洞資源信息、準(zhǔn)確評(píng)估漏洞危害、采取適當(dāng)有效的措施消除或緩解漏洞產(chǎn)生的風(fēng)險(xiǎn)是信息安全管理工作的核心落腳點(diǎn).是否有必要編寫一套在關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理工作中使用的標(biāo)準(zhǔn)、該標(biāo)準(zhǔn)應(yīng)包括哪些內(nèi)容、供哪些關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)角色使用，以促進(jìn)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)法規(guī)在漏洞管理領(lǐng)域的落地，并切實(shí)提升我國(guó)網(wǎng)絡(luò)安全防護(hù)水平等一系列問(wèn)題，值得深入研究與思考.

1 國(guó)內(nèi)外關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系建設(shè)研究

1.1 國(guó)外關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系發(fā)展歷史

不斷加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)力度已逐漸成為世界主要大國(guó)和信息強(qiáng)國(guó)的共識(shí)，關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理更是各國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的必要內(nèi)容.通過(guò)研究國(guó)外關(guān)鍵基礎(chǔ)設(shè)施保護(hù)相關(guān)法律法規(guī)、政策、標(biāo)準(zhǔn)的發(fā)展歷史，發(fā)現(xiàn)歐美等信息安全強(qiáng)國(guó)在構(gòu)建關(guān)鍵基礎(chǔ)設(shè)施保護(hù)體系過(guò)程中，基本都經(jīng)歷了對(duì)關(guān)鍵基礎(chǔ)設(shè)施角色進(jìn)行劃分、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)體系搭建和聚焦關(guān)鍵基礎(chǔ)設(shè)施漏洞管理3個(gè)步驟.美國(guó)2013年第21號(hào)總統(tǒng)政策指令《關(guān)鍵信息基礎(chǔ)設(shè)施的安全和恢復(fù)能力》[4]和2017年特朗普政府《聯(lián)邦政府網(wǎng)絡(luò)與關(guān)鍵性基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全強(qiáng)化》[5]提出了“關(guān)鍵基礎(chǔ)設(shè)施所有者”概念，開(kāi)始對(duì)關(guān)鍵基礎(chǔ)設(shè)施角色進(jìn)行劃分，并關(guān)注到關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理，提出關(guān)鍵信息基礎(chǔ)設(shè)施間的漏洞信息共享；2018年3月至9月，先后出臺(tái)的2018 DHS(United States Department of Homeland Security)《網(wǎng)絡(luò)事件響應(yīng)小組法案》[6]《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架(網(wǎng)絡(luò)安全框架1.1)》[7]《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》[8]，分別從私營(yíng)企業(yè)的安全專家引入、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的靈活性和關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全工作的支柱、目標(biāo)、優(yōu)先行動(dòng)等問(wèn)題入手，思考和建立關(guān)鍵基礎(chǔ)設(shè)施保護(hù)體系；2020年5月美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(Cybersecurity and Infrastructure Security Agency, CISA)、能源部(Department of Energy, DOE)等共同發(fā)布的《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全最佳實(shí)踐》[9]，重點(diǎn)提及了要加強(qiáng)漏洞分析和補(bǔ)丁管理，進(jìn)一步聚焦關(guān)鍵基礎(chǔ)設(shè)施漏洞管理工作.歐盟數(shù)據(jù)治理法律體系的建構(gòu)演進(jìn)主要分為5個(gè)階段：1981年公約階段；1995年指令階段；2016年條例階段；2018年條例配套法律階段；2020年始數(shù)據(jù)戰(zhàn)略階段[10].在這個(gè)過(guò)程中歐盟各成員國(guó)和英國(guó)于2017年11月發(fā)布了《關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的物聯(lián)網(wǎng)安全基線指南》[11]，提出了關(guān)鍵基礎(chǔ)設(shè)施安全基線分析框架，引入多種關(guān)鍵基礎(chǔ)設(shè)施角色；2018年5月，《歐盟“關(guān)鍵信息設(shè)施”網(wǎng)絡(luò)與信息安全(network and information security, NIS)指令》[12-13]，要求成員國(guó)建立國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略、網(wǎng)絡(luò)安全事件應(yīng)急小組、國(guó)家網(wǎng)絡(luò)與信息安全主管部門，確定基礎(chǔ)服務(wù)運(yùn)營(yíng)商名單，這標(biāo)志著歐盟關(guān)鍵基礎(chǔ)設(shè)施保護(hù)體系搭建工作全面開(kāi)展.成員國(guó)建立的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略中應(yīng)包括關(guān)鍵基礎(chǔ)設(shè)施保護(hù)工作的現(xiàn)實(shí)依據(jù)、框架條件、基本原則、戰(zhàn)略目標(biāo)和保障措施等內(nèi)容.前面提到的《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全最佳實(shí)踐》，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心也參與其中，說(shuō)明英國(guó)和歐盟各國(guó)也逐漸關(guān)注到關(guān)鍵基礎(chǔ)設(shè)施漏洞管理，逐漸進(jìn)入到將關(guān)鍵基礎(chǔ)設(shè)施漏洞管理工作獨(dú)立出來(lái)的發(fā)展階段.

① 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)WG7信息安全管理工作組. 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架(草案)[S] (2018).

1.2 我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系建設(shè)現(xiàn)狀

回顧我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作，2017年6月起實(shí)施的《網(wǎng)絡(luò)安全法》標(biāo)志著我國(guó)將關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作提升到立法高度.《網(wǎng)絡(luò)安全法》作為上位法規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的總要求，而《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》是落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的專門規(guī)章.為了配合法律法規(guī)的落地，我國(guó)正在起草制定一系列關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)，《關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施(征求意見(jiàn)稿)》[14]對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)角色和職責(zé)進(jìn)行了明確，分為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作部門、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)中的其他參與者3類，并在該標(biāo)準(zhǔn)中對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在漏洞管理、資產(chǎn)管理、人員責(zé)任和培訓(xùn)、漏洞監(jiān)測(cè)控制等方面提出了目標(biāo)要求；《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架(草案)》①給出了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的具體定義；《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求(報(bào)批稿)》對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在業(yè)務(wù)識(shí)別、資產(chǎn)識(shí)別、風(fēng)險(xiǎn)識(shí)別、變更過(guò)程、安全制度、人員管理等方面提出了目標(biāo)要求；《關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系(報(bào)批稿)》[15]給出了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的信息安全漏洞數(shù)據(jù)庫(kù)中漏洞數(shù)據(jù)量和漏洞等級(jí)的指標(biāo)計(jì)算方法；《關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評(píng)價(jià)方法(征求意見(jiàn)稿)》[16]和《關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)估指南(送審稿)》[17]分別從不同的管理粒度提出了關(guān)鍵信息基礎(chǔ)設(shè)施安全評(píng)估、評(píng)價(jià)需考慮的資產(chǎn)、業(yè)務(wù)、風(fēng)險(xiǎn)等要素的要求，同時(shí)給出了檢測(cè)關(guān)鍵信息基礎(chǔ)設(shè)施漏洞存在情況應(yīng)采用的方法和技術(shù)手段.

通過(guò)對(duì)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系建設(shè)情況的分析，如果關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作部門能夠綜合運(yùn)用好現(xiàn)行關(guān)鍵信基礎(chǔ)設(shè)施保護(hù)和漏洞管理標(biāo)準(zhǔn)，形成關(guān)鍵信息基礎(chǔ)設(shè)施漏洞發(fā)現(xiàn)的良性循環(huán)，不斷完善關(guān)鍵信息基礎(chǔ)設(shè)施評(píng)估與共享體系，加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施間的漏洞保護(hù)合作與關(guān)聯(lián).同時(shí)配合現(xiàn)行關(guān)鍵信基礎(chǔ)設(shè)施保護(hù)和漏洞管理標(biāo)準(zhǔn)，針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者編寫一套指南類標(biāo)準(zhǔn)(該標(biāo)準(zhǔn)向關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者提供關(guān)鍵信息基礎(chǔ)設(shè)施漏洞庫(kù)、補(bǔ)丁庫(kù)建設(shè)方法，涵蓋資產(chǎn)管理、人員管理和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)其他參與者管理等內(nèi)容)，將進(jìn)一步健全我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施管理體系，深化推進(jìn)《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的落實(shí)工作.

2 國(guó)內(nèi)外漏洞管理標(biāo)準(zhǔn)及理論成果

2.1 國(guó)內(nèi)外漏洞管理標(biāo)準(zhǔn)

現(xiàn)行的漏洞管理類標(biāo)準(zhǔn)要么從漏洞處理的某個(gè)角度定義了漏洞生命周期后，進(jìn)行規(guī)范的制定，要么是以漏洞某一屬性，進(jìn)行漏洞某一特性的分析.所以，根據(jù)不同漏洞生命周期和通用特性為劃分標(biāo)準(zhǔn)，漏洞管理標(biāo)準(zhǔn)可分為以下3類：

1) 漏洞生態(tài)中的漏洞生命周期標(biāo)準(zhǔn)

該類標(biāo)準(zhǔn)的漏洞生命周期大體分為漏洞發(fā)現(xiàn)、漏洞接收、漏洞驗(yàn)證、漏洞處置、漏洞發(fā)布(披露)等幾個(gè)環(huán)節(jié).其使用主體為產(chǎn)品廠商、漏洞庫(kù)建設(shè)者、安全服務(wù)人員等.顯著特點(diǎn)是該類標(biāo)準(zhǔn)規(guī)范了漏洞報(bào)送和披露的流程，可以促進(jìn)廠商提升版本管理、補(bǔ)丁管理、安全管理等的規(guī)范程度，提升產(chǎn)業(yè)生態(tài)良性發(fā)展空間.其中代表性的漏洞管理相關(guān)標(biāo)準(zhǔn)為《ISO/IEC 30111：2019信息技術(shù)-安全技術(shù)-漏洞處理流程》[18]《ISO/IEC 29147：2018 信息技術(shù)-安全技術(shù)-漏洞披露》[19]《GB/T30276—2020信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞管理規(guī)范》[20]等.

2) 漏洞消控工作中的漏洞生命周期標(biāo)準(zhǔn)

該類標(biāo)準(zhǔn)聚焦的是資產(chǎn)中的漏洞消控流程，核心工作是漏洞排查和漏洞修復(fù).其使用主體應(yīng)該是某一組織或?qū)嶓w，或者是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者.這類標(biāo)準(zhǔn)的代表是：以《NISTIR 8011 第4卷 安全控制評(píng)估自動(dòng)化支持：軟件漏洞管理》[21-24]為代表的“NISTIR 8011系列標(biāo)準(zhǔn)”、《NIST 800-40 第2版 創(chuàng)建補(bǔ)丁和漏洞管理程序》[25]《NIST 800-40 第3版 企業(yè)補(bǔ)丁管理技術(shù)指南》[26]《NCSC(National Cyber Security Centre)漏洞管理》[27]等.

3) 描述漏洞通用特性的標(biāo)準(zhǔn)

該類標(biāo)準(zhǔn)包括以《ITU-TX.1520 網(wǎng)絡(luò)安全漏洞常見(jiàn)標(biāo)識(shí)》[28-32]為代表的“ITU-T漏洞管理系列標(biāo)準(zhǔn)”《GB/T 28458—2020信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范》[33]《GB/T 30279—2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級(jí)指南》[34]等.該類標(biāo)準(zhǔn)是針對(duì)漏洞的某一特性，或組成漏洞的某一元素進(jìn)行規(guī)范后形成的標(biāo)準(zhǔn).

2.2 國(guó)內(nèi)外關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理最新研究成果

美國(guó)先后發(fā)布的《持續(xù)診斷和緩解方案》[35]《協(xié)調(diào)漏洞披露》[36]《關(guān)鍵基礎(chǔ)設(shè)施安全和恢復(fù)指南》[37]《國(guó)家網(wǎng)絡(luò)事件相應(yīng)計(jì)劃》[38]等，從關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)、關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)、關(guān)鍵基礎(chǔ)設(shè)施漏洞共享等不同角度，闡述了在國(guó)家層面關(guān)鍵信息基礎(chǔ)設(shè)施漏洞保護(hù)的目標(biāo)和要求，特別強(qiáng)調(diào)了不同關(guān)鍵信息基礎(chǔ)設(shè)施之間的強(qiáng)關(guān)聯(lián)性導(dǎo)致的關(guān)鍵基礎(chǔ)設(shè)施漏洞共享，以及漏洞庫(kù)在關(guān)鍵基礎(chǔ)設(shè)施漏洞管理中的作用，對(duì)關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)工作部門具有很高的參考價(jià)值.歐洲網(wǎng)絡(luò)與信息安全局在《2018/2019漏洞狀態(tài)：漏洞生命周期中的事件分析》[39]報(bào)告肯定了漏洞庫(kù)在關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理中的重要作用，但同時(shí)認(rèn)為所有的漏洞庫(kù)都不可能是足夠完整的，所以應(yīng)搭建適合自己的漏洞庫(kù)，該報(bào)告給出的“漏洞模型”和“漏洞研究方法模型”對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者進(jìn)行漏洞管理具有很高的借鑒意義.

桑迪亞國(guó)家實(shí)驗(yàn)室和卡耐基梅隆大學(xué)的觀點(diǎn)均認(rèn)為，關(guān)鍵信息基礎(chǔ)設(shè)施漏洞消控管理應(yīng)考慮能承受的風(fēng)險(xiǎn)、可支付的成本，并制定相應(yīng)的計(jì)劃，同時(shí)要對(duì)消控結(jié)果進(jìn)行評(píng)估.卡耐基梅隆大學(xué)在美國(guó)國(guó)防部資助成立的研究和發(fā)展中心承擔(dān)的美國(guó)國(guó)土安全部(DHS)網(wǎng)絡(luò)安全評(píng)估項(xiàng)目(cyber security evaluation program, CSEP)中先后共開(kāi)發(fā)了10個(gè)CRR(cyber resilience review)資源指南，除了《漏洞管理》[40]指南提供了建立漏洞管理流程的指導(dǎo)性建議外，其他指南涉及了《資產(chǎn)管理》[41]《控制管理》[42]《配置和變更管理》[43]《事件管理》[44]《服務(wù)連續(xù)性管理》[45]《風(fēng)險(xiǎn)管理》[46]《外部依賴關(guān)系管理》[47]《培訓(xùn)和意識(shí)》[48]《態(tài)勢(shì)感知》[49]等內(nèi)容.是適合美國(guó)國(guó)情的關(guān)鍵信息基礎(chǔ)設(shè)施漏洞保護(hù)的體系性文件，對(duì)于我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施漏洞消控管理標(biāo)準(zhǔn)的制定具有極為重要的參考價(jià)值.

國(guó)內(nèi)外的企業(yè)及機(jī)構(gòu)根據(jù)自己的市場(chǎng)經(jīng)驗(yàn)和本國(guó)國(guó)情，給出了不同的漏洞消控方法論和模型，雖然各自的階段劃分不完全相同，但基本都具有準(zhǔn)備、制定計(jì)劃、執(zhí)行操作、檢驗(yàn)評(píng)估和循環(huán)改進(jìn)5個(gè)步驟.

雖然各國(guó)政府主管部門、科研院所、企業(yè)及機(jī)構(gòu)的漏洞消控前沿理論，對(duì)建設(shè)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施漏洞消控管理標(biāo)準(zhǔn)具有重要的參考價(jià)值，但目前國(guó)內(nèi)外的漏洞消控理論在定義資產(chǎn)屬性、處理流程、屬性規(guī)范等方面均存在較大差異，需要根據(jù)我國(guó)的基本國(guó)情重新進(jìn)行梳理，編制出具有我國(guó)關(guān)鍵基礎(chǔ)信息基礎(chǔ)設(shè)施特色的領(lǐng)域標(biāo)準(zhǔn).

3 關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理標(biāo)準(zhǔn)化建議

3.1 關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理與我國(guó)現(xiàn)行漏洞管理標(biāo)準(zhǔn)對(duì)比

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作部門對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理站位較高，需總體協(xié)調(diào)漏洞資源，實(shí)現(xiàn)不同關(guān)鍵信息基礎(chǔ)設(shè)施間的漏洞共享，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施漏洞消控工作提出總體目標(biāo)要求，促進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理生態(tài)良性循環(huán).關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者視角的漏洞管理最為關(guān)心的是資產(chǎn)上的漏洞消控問(wèn)題，所以對(duì)于信息資產(chǎn)的管理、應(yīng)用環(huán)境下漏洞危害的評(píng)估方法和漏洞消控快速處置機(jī)制是最為突出，也是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者最為關(guān)心和關(guān)注的問(wèn)題.可以看出關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的漏洞消控問(wèn)題是核心，也是重點(diǎn).

大部分關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者也是信息系統(tǒng)建設(shè)者，信息系統(tǒng)建設(shè)者視角下的安全生命周期可劃分為立項(xiàng)(系統(tǒng)規(guī)劃)、開(kāi)發(fā)(系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施)、運(yùn)維和廢棄[50]4個(gè)階段，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的漏洞管理工作貫穿其中.由于關(guān)鍵信息基礎(chǔ)設(shè)施的漏洞管理是基于漏洞消控的漏洞管理，所以首先面對(duì)的就是脆弱性資產(chǎn)上的漏洞消控問(wèn)題.從關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者視角觀察資產(chǎn)(或系統(tǒng))的使用狀態(tài)，可分為2大類：一類是已經(jīng)在使用中的資產(chǎn)(或系統(tǒng))；另一類則是已經(jīng)完成開(kāi)發(fā)、等待上線的系統(tǒng).對(duì)于第1類資產(chǎn)的漏洞管理流程，主要包括漏洞發(fā)現(xiàn)、脆弱性資產(chǎn)排查、消控方案制定、漏洞消控等階段；第2類資產(chǎn)的漏洞管理流程則包括漏洞發(fā)現(xiàn)(代碼掃描、滲透測(cè)試等手段)、漏洞修復(fù)、回歸測(cè)試等幾個(gè)階段.關(guān)鍵信息基礎(chǔ)設(shè)施的漏洞生命周期和現(xiàn)行國(guó)標(biāo)漏洞生命周期的對(duì)比如圖1所示：

圖1 關(guān)鍵信息基礎(chǔ)設(shè)施的漏洞生命周期和現(xiàn)行國(guó)標(biāo)漏洞生命周期的對(duì)比圖

3.2 關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理標(biāo)準(zhǔn)框架

關(guān)鍵信息基礎(chǔ)設(shè)施的漏洞消控管理往往涉及資產(chǎn)(探測(cè))管理、事件型漏洞的發(fā)現(xiàn)與處置、通用型漏洞事件化管理、系統(tǒng)化的補(bǔ)丁收集與分發(fā)管理、防護(hù)方案的制定與驗(yàn)證管理、紅藍(lán)隊(duì)的組織與管理、外部力量的使用與管理等.因此，其要素可以概括為漏洞管理、資產(chǎn)管理、補(bǔ)丁管理、人員管理和組織管理.每個(gè)要素又可分為準(zhǔn)備、規(guī)劃、執(zhí)行、監(jiān)控和變更5個(gè)管理階段，覆蓋關(guān)鍵信息基礎(chǔ)設(shè)施2種情況下的漏洞生命周期，關(guān)鍵信息基礎(chǔ)設(shè)施漏洞消控管理各組成部分的相互關(guān)系，如圖2所示.

圖2 關(guān)鍵信息基礎(chǔ)設(shè)施漏洞消控管理各組成部分的相互關(guān)系

漏洞管理：作為消控單元具體參考的核心數(shù)據(jù)，建立全面、準(zhǔn)確、規(guī)范的漏洞庫(kù)對(duì)整體的消控起到關(guān)鍵性的作用；另外，基于不同用戶需求建立滿足不同場(chǎng)景的專項(xiàng)漏洞庫(kù)對(duì)指導(dǎo)具體領(lǐng)域的消控也很重要；漏洞庫(kù)建立過(guò)程中涉及到的分類、數(shù)據(jù)源準(zhǔn)確性判斷、漏洞類型劃分、漏洞危害定級(jí)等都對(duì)漏洞庫(kù)的質(zhì)量提出了明確的需求.

資產(chǎn)管理：資產(chǎn)作為消控的主體單元，對(duì)資產(chǎn)的編排、監(jiān)控、部署等信息的獲取或收錄也同樣面臨重大的挑戰(zhàn)；摸清家底，并對(duì)家底的相關(guān)信息部署結(jié)構(gòu)以及重要性進(jìn)行標(biāo)識(shí)，對(duì)進(jìn)行具體資產(chǎn)的漏洞消控有很好的參照性.

補(bǔ)丁管理：補(bǔ)丁庫(kù)作為漏洞消控的主要資源，對(duì)補(bǔ)丁的收錄、可用性、安全性、有效性的驗(yàn)證也成為漏洞消控的重要一環(huán)；另外，補(bǔ)丁在具體使用過(guò)程中也應(yīng)做好相關(guān)管控記錄，保證補(bǔ)丁的整個(gè)使用過(guò)程可視化、可監(jiān)控.在此將消控方案也視為補(bǔ)丁管理的一部分，因?yàn)槁┒聪刂饕譃?個(gè)方面：一方面，通過(guò)安裝相關(guān)補(bǔ)丁實(shí)現(xiàn)對(duì)漏洞的消控，而安裝補(bǔ)丁與具體的業(yè)務(wù)系統(tǒng)相關(guān)，如果安裝補(bǔ)丁對(duì)業(yè)務(wù)系統(tǒng)沒(méi)有影響，可以達(dá)到消控的目的；如果安裝補(bǔ)丁會(huì)對(duì)業(yè)務(wù)系統(tǒng)帶來(lái)潛在風(fēng)險(xiǎn)，那么不能通過(guò)補(bǔ)丁完成漏洞消控的目標(biāo)；另一方面，可以通過(guò)構(gòu)建有效的加固方案來(lái)達(dá)到控制漏洞的目的.因此，通過(guò)建立針對(duì)相關(guān)漏洞的有效加固方案的方法同樣重要.

人員管理：漏洞消控的主體是資產(chǎn)，而具體操作是執(zhí)行人.因此，通過(guò)2方面建立人員管理制度：1)建立合規(guī)的漏洞消控規(guī)約制度，保障按照一定的指南標(biāo)準(zhǔn)來(lái)實(shí)施漏洞消控的相關(guān)步驟；2)加強(qiáng)人員的網(wǎng)絡(luò)安全素養(yǎng)，強(qiáng)化實(shí)施人在資產(chǎn)安全加固和安全知識(shí)體系的建設(shè)，做到知其然知其所以然.

組織管理：針對(duì)《關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施(征求意見(jiàn)稿)》中定義的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中的其他參與者而言，主要是對(duì)安全產(chǎn)業(yè)內(nèi)參與關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者漏洞管理工作的相關(guān)合作廠商的管理.通過(guò)客觀、合理、高效的外部依賴關(guān)系管理，能夠更加有效地使用外部資源，提升關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者漏洞管理效率，充分利用產(chǎn)業(yè)資源，形成良好產(chǎn)業(yè)生態(tài).

關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者視角下的漏洞全生命周期管理由一系列以漏洞消控為核心的安全管理活動(dòng)組成.關(guān)鍵信息基礎(chǔ)設(shè)施漏洞消控管理的工作過(guò)程如表1所示:

表1 關(guān)鍵信息基礎(chǔ)設(shè)施漏洞管理要素、階段與過(guò)程

漏洞消控管理5要素與漏洞消控5階段交叉細(xì)分為32個(gè)工作過(guò)程，其中漏洞管理包括12個(gè)工作過(guò)程、資產(chǎn)管理包括7個(gè)工作過(guò)程、補(bǔ)丁管理包括4個(gè)工作過(guò)程、人員管理包括6個(gè)工作過(guò)程、組織管理包括3個(gè)工作過(guò)程.關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者漏洞消控工作標(biāo)準(zhǔn)化工作，可通過(guò)對(duì)上述32個(gè)工作過(guò)程的剖析尋求合理的解決之道.

4 總 結(jié)

本文從對(duì)國(guó)內(nèi)外關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系建設(shè)的歷史出發(fā)，總結(jié)出其發(fā)展的客觀規(guī)律，結(jié)合我國(guó)發(fā)展現(xiàn)狀，認(rèn)為現(xiàn)階段正是我國(guó)處于為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者建立專門的漏洞消控相關(guān)標(biāo)準(zhǔn)的時(shí)期，該標(biāo)準(zhǔn)的出臺(tái)可促進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)化開(kāi)展漏洞消控管理工作.本文通過(guò)對(duì)國(guó)內(nèi)外漏洞管理標(biāo)準(zhǔn)及理論研究成果進(jìn)一步的研究，及關(guān)鍵信息基礎(chǔ)設(shè)施漏洞生命周期與現(xiàn)行國(guó)標(biāo)漏洞生命周期的對(duì)比分析，概括總結(jié)了關(guān)鍵信息基礎(chǔ)設(shè)施漏洞消控管理5要素、5階段和32個(gè)工作過(guò)程，該模型可作為編制具有我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施特色標(biāo)準(zhǔn)的基礎(chǔ)，繼續(xù)深化形成具有良好適用性和可用性的國(guó)家標(biāo)準(zhǔn).