面向运营商行业的漏洞全生命周期管理解决方案

０引言安全漏洞是网络威胁的根源之一。大部分严重的网络安全威胁都是由信息系统所存在的安全漏洞诱发的，由漏洞所引发的安全事件可能会造成经济损失、声誉影响，甚至有可能违法，因此落实好网络安全漏洞管理，及时发现和处理漏洞是安全防范工作的重中之重。１方案背景漏洞管理工作在运营商及各行业已经开展多年，在风险管理工作中，漏洞管理能够防患于未然，是投入和效果比最高的管理环节，已经得到充分认识和广泛的基础建设和实践。但随着攻防技术的发展，漏洞数量的逐年增多（根据《2019年中国互联网网络安全报告》数据显示，2019年，国家信息安全漏洞共享平台（CNVD）收录安全漏洞数量创下历史新高，收录安全漏洞数量同比增长14.0%，共计16,193个，2013年以来每年平均增长率为12.7%），由安全漏洞所引发的安全事件频发，业务发展带来的资产数量的快速增加使得需要处理的漏洞成倍增长，安全形势的变化以及各方面安全合规的要求，导致传统的漏洞发现和管理方式，开始面对越来越多的挑战，难以满足实际网络安全漏洞管理的需要，如图1所示。图1为什么需要进行漏洞管理传统漏洞发现和管理方式主要存在以下几方面的局限性：（1）漏洞管理缺乏有效跟踪传统的电子邮件，线下报告等漏洞管理方式缺乏有效跟踪，无法系统性的从上至下贯彻安全漏洞管理方针，有效实现漏洞闭环管理，从而容易出现安全漏洞屡禁不绝、屡查不止，缺乏有效监管和跟踪等现象。（2）缺乏复查手段，安全漏洞死灰复燃需要漏洞定期自动核查手段，避免出现安全检查前临时修补漏洞，安全检查后恢复原状的现象出现。（3）缺乏数据深入挖掘由于缺乏对漏洞信息、检查结果、影响分布、整改状况等相关数据进行多角度、多层次的挖掘，使用户难以从责任、趋势、对比等角度衡量漏洞管理工作的情况。（4）新安全漏洞层出不穷随着信息行业的发展以及5G、大数据、人工智能等新技术的应用，新的安全漏洞不断被发现，需要具备新漏洞的迅速感知能力。２方案目标漏洞管理平台作为运营商日常安全漏洞预警、分析、处置的支持系统，以漏洞闭环管理、漏洞快速预警响应、漏洞管理可视化为目标，通过漏洞情报采集分析、漏洞预警发布、漏洞识别、漏洞确认、漏洞整改、漏洞验证、漏洞白名单及漏洞信息库等功能，实现漏洞情报发现漏洞的威胁性、漏洞预警发布关联资产漏洞及时性、漏洞采集数据的全面性，使得管理人员可以有效地跟踪漏洞生命周期，实现漏洞全生命周期的可视、可控和可管，提升安全合规管理工作。漏洞闭环管理：从漏洞识别、漏洞确认、漏洞整改、漏洞消除四个步骤实现对漏洞生命周期的全闭环管理。漏洞预警快速响应：漏洞情报与资产进行关联分析匹配推送漏洞预警，通知IT管理人员当前的安全威胁会影响的相关业务、资产、系统、安全风险的严重程度，有效防范安全风险。漏洞管理可视化：从多维度、多层次提供漏洞视图，包括漏洞类型分布、漏洞影响范围、漏洞整改进度和比例等，清楚掌握全网的安全健康状况。３方案设计3.1平台架构漏洞管理平台（如图2所示）通过漏洞情报采集分析、持续资产脆弱性关联分析预警、资产漏洞全生命周期过程闭环控制（漏洞识别、漏洞确认、漏洞整改、漏洞消除）等核心业务模块及一些辅助模块（外部接口、白名单、知识库、报表统计分析等），实现漏洞情报的实时收集、漏洞的威胁性（对资产可能的危害程度）持续预警发布、资产脆弱性的即时发现、即时修复、持续改进、持续评估的漏洞闭环管理业务模式。漏洞管理平台具有跨平台、分布式、分层、模块化、可组合、可伸缩的体系架构；各功能模块之间的通讯采用标准通讯接口，通过底层通讯总线完成各功能模块之间的数据交互和调用，保证系统部署的灵活性和稳定、可靠、高性能的运行；适应安全管理系统的变化，具备良好的功能扩展性和开放性。图2漏洞管理平台架构漏洞管理平台包括漏洞情报管理、资产管理、资产脆弱性预警分析及管理、漏洞闭环管理、报表统计、知识库、漏洞验证复测、外部接口等。（1）漏洞情报基于漏洞情报采集引擎，自动收集最新漏洞情报等信息，信息来源包括CVE、CNVD等，定期与平台进行漏洞情报数据同步、展示和关联分析。（2）资产管理实现主动资产发现、资产持续检测、资产信息管理维护及资产信息展现等功能。支持资产自动侦测、录入与批量导入、与第三方CMDB数据即时同步、资产信息变化实时感知。（3）资产脆弱性预警分析及管理通过漏洞情报与资产指纹信息的关联分析匹配，实现快速、高效的漏洞威胁预警[3]和受漏洞影响的资产统计，实现对资产脆弱性持续的监控，对最新漏洞影响的及时预警和掌控。（4）漏洞闭环管理负责漏洞多种方式的采集，并结合工单系统、漏洞修复审核、漏洞延期等功能来驱动漏洞的识别、确认、整改、消除的闭环过程控制。（5）漏洞复测与验证通过POC漏洞验证、漏洞复测等方式对已发现或已修复加固的漏洞进行快速误报验证和复测验证，以自动化的方式完成漏洞误报确认、修复加固确认等工作。（6）报表统计分析为用户直观地、多维度地展示系统的关键数据，主要包括：业务和资产信息的统计分析报表、资产脆弱性预警信息统计分析报表、漏洞信息及影响分布统计分析报表、漏洞整改信息统计分析等各类报表信息。（7）知识库漏洞修复加固过程形成的知识经验经过汇总积累、共享，可指导协助后续同类漏洞修复加固工作，提升漏洞修复加固工作效率及水平。（8）外部接口提供各种外部接口，包括：资产信息同步接口、任务管理接口、漏洞威胁预警接口，并且可与外部第三方CMDB系统、工单系统、管理平台进行集成对接。４方案效果4.1漏洞管理全闭环网络安全是一个动态的过程，网络结构的调整、配置的变更、系统的升级、新应用的上线、新的安全漏洞和攻击方式等因素都可能带来新的安全问题和风险。因此需要通过持续性、周期性的漏洞发现、漏洞确认、漏洞整改、漏洞消除步骤实现对漏洞的全生命周期管理（如图3所示），进而推动日常安全漏洞的加固管理工作，实现漏洞全生命周期的可视、可控和可管，提升整体漏洞风险管理水平。图3漏洞生命周期闭环管理4.2最新漏洞及时预警面对最新出现的漏洞，传统的漏洞扫描方式需要漏扫系统升级后进行扫描，当面临的资产规模较大时，扫描需要一定的周期，在这个时段相关资产将会面临被攻击的风险，通过漏洞情报与资产指纹信息的关联匹配，可快速，高效的发现受漏洞影响的资产并进行预警，及时有效的处理可降低风险，减少影响。4.3建立统一知识库通过漏洞管理平台可建立统一知识库，形成有效的共享和积累，提升漏洞管理和处理能力。日常漏洞修复过程的经验和知识、漏洞加固知识方案均可通过漏洞管理平台进行持续统一的汇总、积累、共享，最大程度地发挥知识库的作用。4.4漏洞管理可视化通过多维度、多层次提供资产、漏洞及影响、漏洞整改等视图，可清晰掌握全网的安全健康状况，提升风险管理能力和水平，实现漏洞等风险全生命周期的可视、可控、可管。５结语网络安全