閉環處理企業安全脆弱性

引言：企業的信息安全管理是一項管理與技術結合的工作，著重側重其中一方最后往往收效甚微，因此在安全脆弱性管理這樣的工作中也要充分考慮管理層面的可落地性，并逐步思考完善系統化的管理方法。

隨著企業信息化程度的提升，大中型企業擁有大量的IT系統，企業關鍵的信息資產也正是分布在這其中。來自企業外部的攻擊日新月異，深入企業內部逐步入侵核心資產的攻擊模式越來越多。企業信息安全的防護逐漸向兩個分支發展：一支緊盯攻擊者、跟蹤其行動路線、推理其使用工具、確定攻擊動機，是對攻擊者的研究；一支著重內部安全風險的檢測、加固、防御，是對防御者的研究。而本文將要探討的就是后者，如何能將企業內部的安全風險快速準確的檢測出來并且閉環處理。

當前，檢測安全脆弱性的系統及工具都日趨成熟，其細分產品類型也非常龐大，安全管理人員在使用這些檢測工具時，面臨了如下問題：檢測結果在各個工具中導致展示維度各不相同；脆弱性無法統一展示：脆弱性整改工作繁瑣：整改工作的整個流程沒有系統支持：不斷產生的問題和不及時的響應導致管理錯亂。

解決方案

要解決當前脆弱性管控工作中的問題，要完成以下要點：

1.統一展示入口、統一下發工作、統一處理入口；

2.企業組織的各個結點上的各個檢查專題都可以隨意組合；

3.要展示安全脆弱性“現狀”，即“當前”存在的“問題列表”；

4.任務結果實時更新表要含有所有任務結果的信息，且需要去重的、實時更新過的，展示內容需要篩選；

5.統一檢查任務的管理。避免“重復”檢查；

6.檢查結果要簡潔明了,避免一些復雜的檢查狀態帶來的結果混淆；

7.結果是衡量脆弱性的唯一標準,不會因檢查項的問題去撤銷對問題設備的判斷，也不會因為現網實際整改困難，而取消整改提示。

系統設計

1.整體流程設計

為實現解決方案中描述的方法，需要對系統做整體上的流程設計，分析關鍵的參與人員、閉環處理過程中的數據流向。

系統化過程中的關鍵環節：

總負責的管理者啟動或者一般管理者啟動任務檢查；

角色鑒權，判斷檢查的數據權限和崗位權限適用的檢查范圍；

在眾多的檢查任務中，選擇本次所要進行的檢查專題；

將檢查結果按設備更新到實時更新表中，這樣保證了在任務完成一部分的情況下，仍有效輸出檢查結果，并且使用戶時刻都能看到最新的脆弱性結果；

將結果按照組織結構進行分發；

生成更為詳細的脆弱性明細表；

安全接口人查看自己組織下的安全問題，進行線下整改；

在整改過程中隨時可自定義任務進行“復查”；

整改報告作為設備脆弱性結果的一部分更新到實時更新表中；

匯總所有檢查任務結果呈現給安全管理負責人。

分析結果變更歷史對比檢查結果，得出整改工作的成效。

2.工作角色

安全管理員：具有各專項能力（基線配置、弱口令、防火墻策略、URPF、系統漏洞、內網Web漏洞、外網Web漏洞）自查、復查和統一檢查權限；查看各專項能力的問題明細、問題出現次數、整改情況等權限；查詢權限內系統未連通設備明細、設備問題明細和問題匯總權限；按“開始時間與結束時間”、“檢查的組織范圍”、“檢查類型”條件增刪改快照和查詢快照組織系統的問題整改情況。

安全接口人：各專項能力（基線配置、弱口令、防火墻策略、URPF、系統漏洞、內外網Web漏洞）自查、復查和統一檢查權限；查看各專項能力的問題明細、整改情況等和進行整改情況報備權限；查詢權限內系統未連通設備明細、設備的問題明細和問題匯總權限。

3.綜合調度

連通率、基線、弱口令、防火墻策略核查、URPF、系統漏掃等任務的統一自動調度包括了執行順序、執行優先級、各組件內部任務的自動協調。任務的狀態應集中展示在綜合調度上，任務是否啟動、啟動后執行中的任務狀態、中斷行為的展示。

執行任務過程中，任務下發人若因系統占用或發現錯誤情況可能需要終止綜合任務，此時各模塊產生的報告和結果文件已完成的部分需要更新和記錄。插入任務則需要系統后臺設置好各模塊的執行優先級，對當前正執行的任務采取掛起操作。

綜合調度任務涉及到各個脆弱性系統模塊的整合，下發后執行過程中必然存在任務執行異常，異常需要任務下發人通過各種異常信息提示聯系到能夠處理的人。那么調度系統一方面要提供異常情況的預判能力，另一方面提供異常處理的建議，類似于資源連通性測試時產生網絡不通、資源未接入等情況的錯誤信息提示。

模板自適應，當使用任務模板時，系統對模板中選定的設備所在的組織結構進行實時查詢，對比模板，若發現新增或已下線設備的情況，直接更新為實時的資源列表，若此前模板并未覆蓋全部資源而是個別資源的話，應提示所選資源發生變動，同時更新為最新情況。

4.整改流程

綜合檢查完成后，生成的檢查結果應分發給各安全接口人，讓其參與整改，并反饋整改完成項與未完成項，未完成項需填寫誤報和無法整改的備注。整改三種狀態：已整改、無法整改、誤報。

檢查結果的生成過程中，按照組織結構維度進行組裝。

在報告按照組織結構輸出后，還需要對應到組織的安全接口人，用以在安全接口人登錄后在其待辦中顯示。待辦中需有詳實的待整改設備列表，清楚展示設備存在哪幾類問題、每類問題個數、問題的詳細信息等。

因檢查結果實時更新，對專項檢查來說整改率是項考察組織側日常安全工作開展的重要指標，但整改周期長時，對組織的評價很難通過歷史時間判斷其整改的最終效果。當前漏洞數里有專項檢查后官方發布的新漏洞或因系統配置導致新增的漏洞，因此：整改率“必須是“一個比較過的結果，而非單純的數字計算，例如1月0個漏洞，2月 A、B、C、D4個漏洞，3月 5日查看時B、C、D、E4個漏洞，那么2月整改率是25%。關于誤報，是參與到整改率的計算中，被認為是”已處理的“、”非遺留的“項，在計算時分子和分母中都有”誤報項“參與計算。

對安全接口人來說，收到檢查結果后，應按結果對權限下設備進行整改，整改完成后報送一個“整改完成”的結果即可，但整改過程中會遇到兩種情況誤報和無法整改，如遇需添加整改備注。誤報：由于檢查項或檢查方式不適用于檢查設備，造成的檢查結果錯誤。無法整改：因設備處關鍵系統，不允許宕機等原因無法完成漏洞修補的情況。組織安全接口人會根據實際情況在報送整改時，追加誤報和無法整改兩種情況的備注。整改備注包括正常整改內容的備注、誤報情況、無法整改等三方面內容，執行一次任務后，之后的復查結果（界面展示和報告）上會一直標識整改備注（誤報和無法整改）。

5.綜合呈現

檢查結果包含多種檢查的報告整合，且需要按照不同維度展現并預置其可查看的權限，功能相對復雜因此作為單獨模塊表述。

系統中的這張匯總表處于動態加載狀態，一旦有某項任務執行導致了結果的變動，此表都需要更新。

為支持后續的分析、展示、標識乃至未來的評分，檢查結果都需要進行統一的標準化處理以滿足變更、擴展、關系對應等要求。

展示內容需按照“任務”作為基本線條來展示，“任務”表示了用戶對某個例行或專項檢查的計劃，任務是由“開始時間與結束時間”、“檢查的組織范圍”、“檢查專題的范圍”三個要素構成。

綜合調度檢查后，輸出的內容龐雜，應提供簡便易讀的最終輸出物報表和視圖。

通過多次檢查后，會出現某些組織在某項指標上一直存在問題，例如系統資源上存在漏洞，經過3次檢查漏洞依然存在，這除了誤報和無法整改還可能由于安全接口人消極處理導致，因此對此類問題應輸出相應的展示及報表。展示內容包括了該問題被檢查出的歷史任務列表、整改備注、整改后消除不達標項的時間。

總結

該方法從實際工作場景出發，將工作入口、工作成果做統一的處理，最終令脆弱性處理工作符合使用習慣和工作需要。這種基于工作場景的創新具有創新意義。

按照本文提供的方法進行脆弱性管理將使脆弱性管理工作得心應手，符合參與各方的工作需求和使用體驗，告別繁瑣復雜、令人疑惑的管理流程和呈現結果。