基于大數據的安全漏洞管理思路

◆張賀勛 吳澤江 陳遠平 袁 峭 譚廣達

（北京天融信網絡安全技術有限公司 北京 100083）

基于大數據的安全漏洞管理思路

◆張賀勛 吳澤江 陳遠平 袁 峭 譚廣達

（北京天融信網絡安全技術有限公司 北京 100083）

安全漏洞是計算機系統軟硬件自身存在的缺陷，漏洞管理是信息安全管理工作中重要的組成部分，如何高效地對漏洞開展管理工作，降低組織面臨的安全風險，直接影響到信息安全管理工作的實際成效。

漏洞；掃描；風險；安全服務

0 背景

安全漏洞是計算機系統軟硬件自身存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞計算機系統，對計算機系統的機密性、完整性、可用性造成不同程度的破壞。

隨著信息技術的不斷發展，特別是互聯網、移動互聯網的飛速發展，安全漏洞層出不窮，正所謂沒有絕對安全的系統，只有已被黑的系統與不值得被黑的系統。所以信息系統存在安全漏洞是必然的，如何科學地對安全漏洞進行有效管理，以降低組織的安全風險便是一個十分迫切的問題。

1 現狀

天融信安全服務團隊在實施大量安全服務項目工作的過程中，基本上每一個安全服務項目都需要跟安全漏洞打交道。安全風險評估是安全服務過程中最基礎的工作內容，評估過程中均會識別出各種類型的安全漏洞。客戶對安全漏洞的管理基本上是家庭作坊式的，來一個漏洞，修復一個漏洞，形成一大堆各種漏洞報告及表格，缺乏對安全漏洞的科學管理，無法進行深入分析及跟蹤。

天融信安全服務團隊在實施大量安全服務項目經驗過程中，結合項目實際情況，提出基于大數據的安全漏洞管理思路。

2 漏洞生命周期

任何一個事物都是有生命周期的，安全漏洞也一樣。從信息系統安全運維的角度來分析，安全漏洞的生命周期可分為幾個階段，漏洞的形成潛伏階段、漏洞的公開階段、漏洞的識別階段、漏洞的處置階段。

漏洞的潛伏階段：安全漏洞在計算機系統開發完成時就已經形成，一直潛伏著直到被安全研究人員挖掘出來。

漏洞的公開階段：當漏洞被挖掘出來后很快便會被公布公諸于眾。

漏洞的識別階段：當漏洞被公開后，信息系統便處在漏洞的威脅當中，需及時對已有信息系統的漏洞進行識別定位。

漏洞的處置階段：當識別定位到安全漏洞后，組織資源對漏洞進行處置整改。

3 漏洞管理思路

由于信息資產數量眾多，安全漏洞層出不窮，安全漏洞數量也越來越多，有效地對安全漏洞管理，需要借助先進的技術手段，開發建設適合組織現狀的安全漏洞管理系統對漏洞進行有效管理，同時利用安全漏洞掃描工作對漏洞進行識別。

3.1 漏洞管理系統

安全漏洞管理系統是漏洞管理的核心，通過安全漏洞管理系統對資產每次識別出來漏洞進行收集歸檔形成漏洞大數據，從而可對漏洞進行各種分析統計，對漏洞進行跟蹤處置，主要功能如下：

（1）漏洞數據收集，將各種檢查輸出的報告（如掃描報告）通過系統自動導入數據庫，形成漏洞大數據，同時也建立組織資產的大數據；

（2）漏洞數據跟蹤，利用系統對漏洞數據進行跟蹤，根據漏洞的處置情況對每個漏洞進行自動化跟蹤，對已整改的漏洞進行標識，對無需整改的漏洞進行報備標識；

（3）漏洞精準預警，通過對漏洞數據收集的過程中，將每個設備資產的信息（系統類型、版本、服務類型、服務版本等）進行收集入庫形成詳細的資產大數據庫，后續通過結合導入安全預警通告進行關鍵分析，識別出與預警相關的資產，進行精準預警通告。

（4）決策支持，通過報表功能，根據需求從各個維度進行分析報告輸出，支撐管理層對安全工作應該如何開展的決策。

3.2 漏洞識別

漏洞識別是漏洞管理工作的開始，識別工作必須常態化開展，最少每季度開展一次，通過利用漏洞掃描工具（如天融信的漏洞掃描器）對全網資產進行漏洞掃描，掃描器根據最新的漏洞庫與設備所開放的端口服務版本及指紋進行匹配，輸出漏洞掃描報告。

3.3 漏洞歸檔

根據對天融信大量的安全服務項目工作總結，通常漏洞識別工作完成后，輸出漏洞掃描報告，缺乏有效的對掃描報告進行科學管理分析，無法將每次的工作價值發揮到最大。

通過利用安全漏洞管理系統將每次的漏洞掃描結果進行統一歸檔，形成組織的安全漏洞大數據，可供后續的漏洞分析、漏洞管理及跟蹤使用等工作。

3.4 資產收集

在漏洞歸檔的同時也建立了組織的資產大數據，后續可開展各類基于資產的管理工作，漏洞數據信息通常包含了資產的 IP地址、端口及服務、系統及應用的版本信息等。通過漏洞管理系統對漏洞數據庫的分析挖掘，形成資產信息庫。通過定期開展漏洞掃描并歸檔漏洞掃描報告，資產信息也同時得到更新。

掌握一份精確的資產信息，對安全工作有重要意義，特別是對漏洞管理工作有重要的幫助。正所謂知己知彼，才能百戰百勝，如果連自己的都不了解自己，那就很難對自己做很好的保護。

3.5 漏洞處置

對漏洞開展的所有工作目標就是要對漏洞進行有效的處置，漏洞有效處置是漏洞管理的核心，當漏洞受到有效的處置，才能降低組織面臨的風險。

當漏洞被識別出來后導入漏洞管理系統時，系統自動通過郵件通知資產的責任人告知漏洞情況，同時要求在規定的時間內對漏洞進行處置。

漏洞的處置方式可簡單分為兩種，一種是對漏洞進行加固，一種是接受漏洞，當漏洞產生的風險是可接受的，同時加固成本較高時，可對漏洞進行接受，些時需要對漏洞進行備案。

為了對漏洞處置情況進行跟蹤，安全漏洞管理系統使用一個字段標記漏洞的處置情況，根據漏洞的處置情況進行標識。

當漏洞完成加固后，使用掃描器對漏洞進行二次掃描，掃描完成后輸出掃描報告，已加固的漏洞便不出現在掃報告中，些時將掃描報告導入漏洞管理系統，通過數據分析對比，系統自動標記出已經完成整改的漏洞。對于未完成整改的漏洞，可進行再次分析跟蹤，對于確認無需整改的漏洞可在系統上進行手工標記備案。

當漏洞從識別出來后超過規定的時間未進行處置時，系統自動通過郵件發送給資產的責任人及責任人的領導，以提醒督促相關責任人對漏洞進行處置。

利用安全漏洞管理系統對漏洞進行收集歸檔，進行處置跟蹤，進行處置確認，形成有效的閉環管理，確保每個漏洞都經過確認及處置。

3.6 精準預警

安全漏洞是動態的，隨著技術的不斷發展，漏洞不定期地被發布出來，每個廠家都定期發布安全預警公告。在天融信大量的項目工作中，客戶收到安全預警公告后通常都因為缺乏手段準確定位受影響資產而不了了之，當收到特別嚴重的公告必須處理的時候，通常都需要組織大量人力物力進行自查。

當利用安全漏洞管理系統的進行漏洞管理，掌握了一份精確的資產信息時，漏洞的預警就顯得靠譜了很多。通常各廠家的預警公告里每個漏洞都會注明受影響的軟件系統名稱及版本等信息。通過將預警公告導入安全漏洞管理系統，利用系統的大數據據分析能力對資產信息庫進行匹配，迅速定位出受影響設備列表。此時就實現了精準的預警。根據定位出來的資產列表，系統通過郵件定向推送到資產的負責人，要求負責人進行確認及處置。此時，可大大提高安全預警的工作效率及準確度，協助及時處理安全漏洞，降低組織安全風險。

3.7 報表輸出

安全漏洞管理系統收集了大量的漏洞信息及資產信息的大數據，可根據各類需求輸出報告，供管理層決策使用，進行決策支持，如以下幾類：

（1）安全風險分析報表，通過對漏洞數據及漏洞處置情況的統計分析，形成組織當前風險狀況，整體展現組織當前面臨的威脅及風險情況。

（2）漏洞處置分析報表，通過對漏洞處置情況的統計分析，形成漏洞處置情況報表，展現漏洞整改率，漏洞處置率，可做為資產負責人對漏洞處置的績效考核參考。

（3）典型漏洞分析報表，通過對漏洞數據的統計分析，可輸出典型漏洞，如漏洞 TOP10等，組織可根據分析報告進行有針對性的重點處置計劃。

4 總結

本文通過利用大數據技術手段，建立安全漏洞管理系統對漏洞開展有效的全生命周期管理，大大提高了漏洞管理的效率，同時也提高了漏洞管理的效果，有效地降低了組織的安全風險。

漏洞是動態的，是不可能完全消亡的，所以安全漏洞管理工作是一個持久戰，是信息安全管理工作的重要組織部分，只有管理好漏洞，才能提升組織的安全防御能力。

只有堅持利用大數據技術手段對安全漏洞開展有效管理，不斷的改進管理流程及方法，才能不斷提高安全漏洞的管理效率及管理效果。