基于生命周期的新型漏洞管理平臺設計

◆倪浩杰

（江蘇省國際信托有限責任公司 江蘇 210000）

1 引言

隨著互聯網在社會各領域的廣泛應用，企事業單位及各經濟組織的網絡問題受到高度關注。網絡安全風險評估就是從風險管理角度，識別組織內部信息資產，全面地分析資產脆弱性，系統排查面臨的威脅，綜合評估組織的網絡安全風險，為最大限度地保障信息安全提供科學依據。漏洞掃描器就是風險評估的重要工具。

2 漏洞掃描的意義

漏洞掃描是指基于漏洞數據庫，通過掃描等手段對指定目標的脆弱性進行檢測，發現可利用漏洞的一種安全檢測設備。漏洞掃描器包括網絡漏掃、主機漏掃、數據庫漏掃等不同種類。網絡漏洞掃描器可以根據不斷完善的漏洞資料庫，檢測分析組織中工作站、服務器、數據庫、防火墻等的漏洞，提出漏洞解決方案和修復建議，使得網絡安全員能及時修復安全漏洞，在黑客攻擊前進行防范，做到防患于未然。

3 漏洞掃描器存在的問題

當前市場上的漏洞掃描器，按照預先掃描任務，通過主機掃描、端口掃描、指紋庫識別等技術手段，可有效發現組織內部漏洞，但它也存在不少問題。風險評估要綜合資產、脆弱性和威脅三因素，漏洞掃描器一方面僅僅機械地執行用戶設置的單項掃描任務，它沒有組織整體的資產視角，割裂了資產、脆弱性和威脅三者之間的聯系，為此不能評價組織面臨的整體風險；二是漏洞掃描器漏洞發現功能強大，漏洞掃描效果較好，一般不具備漏洞處置功能。為此漏洞掃描器適合安全測評、安全咨詢公司使用。企事業單位關心漏洞的發現，更關心漏洞消除和修復，以及漏洞處置過程的記錄與留痕，以備后期信息審計。為此，漏洞掃描器不能滿足現今企事業單位的需求，一種新型的漏洞管理工具呼之欲出。

4 新型漏洞管理平臺功能與架構

漏洞管理按照生命周期，分為漏洞發現、漏洞處置、漏洞消除三個階段。漏洞發現嚴重依賴清晰的資產清單，為了更有效地預警組織網絡安全風險，資產漏洞風險實時展示也顯得尤為重要，因此基于生命周期的新型漏洞管理平臺就包括資產識別、漏洞發現、漏洞處置、漏洞消除和資產風險可視化五大模塊，系統框圖見圖1。

圖1 基于生命周期的新型漏洞管理平臺系統框圖

5 新型漏洞管理平臺主要功能模塊

5.1 資產識別模塊

資產作為衍生出脆弱性的母體、威脅的作用對象，使得資產識別成為風險評估工作的重要環節。資產識別模塊采用掃描技術發現資產，參考BS7799 和GB/20984 等標準，對識別資產進行分類，結合組織實際按業務類型、使用部門、等級劃分、設備種類等要素標識資產，形成組織資產清單。

5.2 漏洞發現模塊

組織資產導入漏洞發現模塊，利用主機、端口掃描等掃描技術發現組織內部漏洞。為了降低該模塊的誤報率，引入漏洞驗證插件，篩選出真實漏洞，形成漏洞報告，發送漏洞處置模塊，以待進一步處理（圖2）。

5.3 漏洞處置模塊

漏洞處置模塊是新型漏洞管理平臺的核心，也是當前市場上漏洞掃描器所沒有的功能模塊。有部分漏洞管理平臺有漏洞處置模塊，但大部分僅作分發和驗證，功能相對簡單。漏洞處置模塊工作流程有接受漏洞報告、漏洞驗證、漏洞評估、漏洞修復方案制定、漏洞修復方案測試和漏洞修復方案部署6 個環節。

圖2 漏洞發現模塊工作流程

5.3.1 接受漏洞報告

接受漏洞報告是漏洞處置工作的流程起點。

5.3.2 漏洞驗證

該模塊的漏洞驗證功能有別于漏洞發現模塊中的漏洞驗證。后者側重于漏洞掃描階段的漏洞誤報消除，前者側重于開發、配置等層面，即漏洞是否存在、漏洞可否復現以及漏洞利用的難易程度等，從而為漏洞評估提供依據。

5.3.3 漏洞評估

漏洞評估根據資產重要性、資產暴露情況、已有保護措施、漏洞評級、漏洞能否修復，結合實際業務需要、修復時間、消除成本等因素，制定漏洞修復清單和優先級排序表。對于不能修復的漏洞，做好補救措施，接受風險。對于不能修復的漏洞，不予處置，忽略風險。

5.3.4 漏洞修復方案制定

業務系統負責人根據漏洞報告，確定漏洞層面，分發漏洞處理人。若漏洞是由代碼問題產生，分發給開發人員制定漏洞修復方案。若漏洞是屬于配置問題，直接分發給運維人員制定漏洞修復方案。

5.3.5 漏洞修復方案測試

運維人員按照漏洞修復方案測試漏洞修復方案的有效性。

5.3.6 漏洞修復方案部署

漏洞修復方案測試驗證后，由運維人員部署到生產環境（圖3）。

圖3 漏洞處置模塊工作流程

5.4 漏洞消除模塊

漏洞處理模塊處理結束后，流轉到漏洞消除模塊。由網絡安全管理員，對漏洞進行復檢，檢查漏洞修復情況。確認漏洞修復后，記錄漏洞處置要素，最后消除漏洞，關閉流程（圖4）。

圖4 漏洞消除模塊工作流程

5.5 資產風險可視化模塊

資產風險可視化模塊，將采集資產、漏洞發現、漏洞處置和漏洞消除等數據，通過算法加工計算，直觀在展示組織資產風險，實時投射在監控大屏上，實現風險管理的可視化。