面向運營商行業(yè)的漏洞全生命周期管理解決方案

０引言安全漏洞是網(wǎng)絡威脅的根源之一。大部分嚴重的網(wǎng)絡安全威脅都是由信息系統(tǒng)所存在的安全漏洞誘發(fā)的，由漏洞所引發(fā)的安全事件可能會造成經濟損失、聲譽影響，甚至有可能違法，因此落實好網(wǎng)絡安全漏洞管理，及時發(fā)現(xiàn)和處理漏洞是安全防范工作的重中之重。１方案背景漏洞管理工作在運營商及各行業(yè)已經開展多年，在風險管理工作中，漏洞管理能夠防患于未然，是投入和效果比最高的管理環(huán)節(jié)，已經得到充分認識和廣泛的基礎建設和實踐。但隨著攻防技術的發(fā)展，漏洞數(shù)量的逐年增多（根據(jù)《2019年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告》數(shù)據(jù)顯示，2019年，國家信息安全漏洞共享平臺（CNVD）收錄安全漏洞數(shù)量創(chuàng)下歷史新高，收錄安全漏洞數(shù)量同比增長14.0%，共計16,193個，2013年以來每年平均增長率為12.7%），由安全漏洞所引發(fā)的安全事件頻發(fā)，業(yè)務發(fā)展帶來的資產數(shù)量的快速增加使得需要處理的漏洞成倍增長，安全形勢的變化以及各方面安全合規(guī)的要求，導致傳統(tǒng)的漏洞發(fā)現(xiàn)和管理方式，開始面對越來越多的挑戰(zhàn)，難以滿足實際網(wǎng)絡安全漏洞管理的需要，如圖1所示。圖1為什么需要進行漏洞管理傳統(tǒng)漏洞發(fā)現(xiàn)和管理方式主要存在以下幾方面的局限性：（1）漏洞管理缺乏有效跟蹤傳統(tǒng)的電子郵件，線下報告等漏洞管理方式缺乏有效跟蹤，無法系統(tǒng)性的從上至下貫徹安全漏洞管理方針，有效實現(xiàn)漏洞閉環(huán)管理，從而容易出現(xiàn)安全漏洞屢禁不絕、屢查不止，缺乏有效監(jiān)管和跟蹤等現(xiàn)象。（2）缺乏復查手段，安全漏洞死灰復燃需要漏洞定期自動核查手段，避免出現(xiàn)安全檢查前臨時修補漏洞，安全檢查后恢復原狀的現(xiàn)象出現(xiàn)。（3）缺乏數(shù)據(jù)深入挖掘由于缺乏對漏洞信息、檢查結果、影響分布、整改狀況等相關數(shù)據(jù)進行多角度、多層次的挖掘，使用戶難以從責任、趨勢、對比等角度衡量漏洞管理工作的情況。（4）新安全漏洞層出不窮隨著信息行業(yè)的發(fā)展以及5G、大數(shù)據(jù)、人工智能等新技術的應用，新的安全漏洞不斷被發(fā)現(xiàn)，需要具備新漏洞的迅速感知能力。２方案目標漏洞管理平臺作為運營商日常安全漏洞預警、分析、處置的支持系統(tǒng)，以漏洞閉環(huán)管理、漏洞快速預警響應、漏洞管理可視化為目標，通過漏洞情報采集分析、漏洞預警發(fā)布、漏洞識別、漏洞確認、漏洞整改、漏洞驗證、漏洞白名單及漏洞信息庫等功能，實現(xiàn)漏洞情報發(fā)現(xiàn)漏洞的威脅性、漏洞預警發(fā)布關聯(lián)資產漏洞及時性、漏洞采集數(shù)據(jù)的全面性，使得管理人員可以有效地跟蹤漏洞生命周期，實現(xiàn)漏洞全生命周期的可視、可控和可管，提升安全合規(guī)管理工作。漏洞閉環(huán)管理：從漏洞識別、漏洞確認、漏洞整改、漏洞消除四個步驟實現(xiàn)對漏洞生命周期的全閉環(huán)管理。漏洞預警快速響應：漏洞情報與資產進行關聯(lián)分析匹配推送漏洞預警，通知IT管理人員當前的安全威脅會影響的相關業(yè)務、資產、系統(tǒng)、安全風險的嚴重程度，有效防范安全風險。漏洞管理可視化：從多維度、多層次提供漏洞視圖，包括漏洞類型分布、漏洞影響范圍、漏洞整改進度和比例等，清楚掌握全網(wǎng)的安全健康狀況。３方案設計3.1平臺架構漏洞管理平臺（如圖2所示）通過漏洞情報采集分析、持續(xù)資產脆弱性關聯(lián)分析預警、資產漏洞全生命周期過程閉環(huán)控制（漏洞識別、漏洞確認、漏洞整改、漏洞消除）等核心業(yè)務模塊及一些輔助模塊（外部接口、白名單、知識庫、報表統(tǒng)計分析等），實現(xiàn)漏洞情報的實時收集、漏洞的威脅性（對資產可能的危害程度）持續(xù)預警發(fā)布、資產脆弱性的即時發(fā)現(xiàn)、即時修復、持續(xù)改進、持續(xù)評估的漏洞閉環(huán)管理業(yè)務模式。漏洞管理平臺具有跨平臺、分布式、分層、模塊化、可組合、可伸縮的體系架構；各功能模塊之間的通訊采用標準通訊接口，通過底層通訊總線完成各功能模塊之間的數(shù)據(jù)交互和調用，保證系統(tǒng)部署的靈活性和穩(wěn)定、可靠、高性能的運行；適應安全管理系統(tǒng)的變化，具備良好的功能擴展性和開放性。圖2漏洞管理平臺架構漏洞管理平臺包括漏洞情報管理、資產管理、資產脆弱性預警分析及管理、漏洞閉環(huán)管理、報表統(tǒng)計、知識庫、漏洞驗證復測、外部接口等。（1）漏洞情報基于漏洞情報采集引擎，自動收集最新漏洞情報等信息，信息來源包括CVE、CNVD等，定期與平臺進行漏洞情報數(shù)據(jù)同步、展示和關聯(lián)分析。（2）資產管理實現(xiàn)主動資產發(fā)現(xiàn)、資產持續(xù)檢測、資產信息管理維護及資產信息展現(xiàn)等功能。支持資產自動偵測、錄入與批量導入、與第三方CMDB數(shù)據(jù)即時同步、資產信息變化實時感知。（3）資產脆弱性預警分析及管理通過漏洞情報與資產指紋信息的關聯(lián)分析匹配，實現(xiàn)快速、高效的漏洞威脅預警[3]和受漏洞影響的資產統(tǒng)計，實現(xiàn)對資產脆弱性持續(xù)的監(jiān)控，對最新漏洞影響的及時預警和掌控。（4）漏洞閉環(huán)管理負責漏洞多種方式的采集，并結合工單系統(tǒng)、漏洞修復審核、漏洞延期等功能來驅動漏洞的識別、確認、整改、消除的閉環(huán)過程控制。（5）漏洞復測與驗證通過POC漏洞驗證、漏洞復測等方式對已發(fā)現(xiàn)或已修復加固的漏洞進行快速誤報驗證和復測驗證，以自動化的方式完成漏洞誤報確認、修復加固確認等工作。（6）報表統(tǒng)計分析為用戶直觀地、多維度地展示系統(tǒng)的關鍵數(shù)據(jù)，主要包括：業(yè)務和資產信息的統(tǒng)計分析報表、資產脆弱性預警信息統(tǒng)計分析報表、漏洞信息及影響分布統(tǒng)計分析報表、漏洞整改信息統(tǒng)計分析等各類報表信息。（7）知識庫漏洞修復加固過程形成的知識經驗經過匯總積累、共享，可指導協(xié)助后續(xù)同類漏洞修復加固工作，提升漏洞修復加固工作效率及水平。（8）外部接口提供各種外部接口，包括：資產信息同步接口、任務管理接口、漏洞威脅預警接口，并且可與外部第三方CMDB系統(tǒng)、工單系統(tǒng)、管理平臺進行集成對接。４方案效果4.1漏洞管理全閉環(huán)網(wǎng)絡安全是一個動態(tài)的過程，網(wǎng)絡結構的調整、配置的變更、系統(tǒng)的升級、新應用的上線、新的安全漏洞和攻擊方式等因素都可能帶來新的安全問題和風險。因此需要通過持續(xù)性、周期性的漏洞發(fā)現(xiàn)、漏洞確認、漏洞整改、漏洞消除步驟實現(xiàn)對漏洞的全生命周期管理（如圖3所示），進而推動日常安全漏洞的加固管理工作，實現(xiàn)漏洞全生命周期的可視、可控和可管，提升整體漏洞風險管理水平。圖3漏洞生命周期閉環(huán)管理4.2最新漏洞及時預警面對最新出現(xiàn)的漏洞，傳統(tǒng)的漏洞掃描方式需要漏掃系統(tǒng)升級后進行掃描，當面臨的資產規(guī)模較大時，掃描需要一定的周期，在這個時段相關資產將會面臨被攻擊的風險，通過漏洞情報與資產指紋信息的關聯(lián)匹配，可快速，高效的發(fā)現(xiàn)受漏洞影響的資產并進行預警，及時有效的處理可降低風險，減少影響。4.3建立統(tǒng)一知識庫通過漏洞管理平臺可建立統(tǒng)一知識庫，形成有效的共享和積累，提升漏洞管理和處理能力。日常漏洞修復過程的經驗和知識、漏洞加固知識方案均可通過漏洞管理平臺進行持續(xù)統(tǒng)一的匯總、積累、共享，最大程度地發(fā)揮知識庫的作用。4.4漏洞管理可視化通過多維度、多層次提供資產、漏洞及影響、漏洞整改等視圖，可清晰掌握全網(wǎng)的安全健康狀況，提升風險管理能力和水平，實現(xiàn)漏洞等風險全生命周期的可視、可控、可管。５結語網(wǎng)絡安全