安全漏洞的完整生命周期管理

平臺總體架構

漏洞全生命周期管理平臺總體架構如圖1所示。

漏洞生命周期管理平臺包括漏洞驗證、漏洞處置、漏洞復查、漏洞歸檔四個階段。

漏洞驗證

1.針對系統漏洞，通過加載基于漏洞測試框架編寫的漏洞函數，將oval語言封裝的漏洞情報信息轉換為可執行的POC腳本，形成漏洞驗證腳本的自動化編輯模式，進而實現自動化的漏洞驗證。

2.針對應用漏洞進行人工驗證。

3.通過IT資產指紋信息的精確分析，實現漏洞情報信息對內部IT資產的精準推送，形成漏洞預警。

圖1 漏洞全生命周期管理平臺總體架構圖

漏洞處置

通過自動化手段將資產、漏洞、補丁進行三方關聯，并自動調用已經驗證通過補丁進行批量、自動化補丁分發，實現自動加固。

漏洞復查

對比分析從漏洞、資產、責任人等維度將每次檢查的系統漏洞和應用漏洞進行比對分析，及時發現新增漏洞、未加固的漏洞、加固完成后仍存在的漏洞、頑固漏洞等。

漏洞歸檔

針對漏洞處置的效果進行評價，通過漏洞狀態管理標記各種漏洞信息，做到漏洞處置情況的精確掌握。

漏洞驗證功能設計與實現

系統漏洞在線驗證功能

1.在線驗證平臺

平臺包括POC編寫的SDK和自動化調用測試工具。

2.POC腳本管理

POC腳本管理包括：POC腳本的漏洞語言編譯，將漏洞信息轉化為自線驗證平臺可識別的通用漏洞語言；腳本的批量執行，將不同的腳本在不同的IT資產并行運行。

POC腳本的批量編寫采用函數自動注入技術，即在POC腳本的預置模板中自動將verify和exploit函數寫入腳本。……