統一漏洞管理平臺研究設計

劉 暢

(中國郵政儲蓄銀行信用卡中心 北京 100040)

隨著互聯網技術的發展，人們從各方面享受到信息化帶來的便利.與此同時，網絡、計算機系統、服務器、應用軟件等面臨的安全問題也日益嚴峻.其中，安全漏洞[1]作為網絡安全中最為嚴重的威脅之一,其存在大大增加了硬件設備或應用系統的安全隱患，使其更容易受到網絡攻擊的威脅.因此，人們越來越重視安全漏洞的管理[2].與此同時，國家市場監督管理總局和國家標準化管理委員會更新發布了《信息安全技術 網絡安全漏洞管理規范》(GB/T 30276—2020)[3]，對漏洞的全生命周期管理提出了更高的要求.

傳統的漏洞管理流程是首先通過掃描器掃描或滲透測試的方式發現漏洞，定位漏洞所在設備或對應負責人；然后郵件或電話通知其進行整改及反饋；最后跟進整改情況.整個過程大都通過人工執行，主要存在以下4個問題：

1) 漏洞信息來源分散.部分企業會采購多種掃描器或使用不同掃描軟件進行漏洞檢測，漏洞來源分散.同時部分企業未關注到官方機構發布的權威漏洞，即使有所關注，由于不同機構發布漏洞的時間和方式不同，要想獲得所有的漏洞信息也需要消耗較長的時間.

2) 漏洞信息無法統一呈現.不同掃描設備出具的掃描報告以及不同掃描軟件得出的掃描結果形式不一，發布漏洞的不同機構網站提供的漏洞基礎信息也不盡相同，各安全廠商提供的漏洞管理工具也無法兼容.即使在同一設備或者同一網站，不同板塊發布或展示漏洞的方法也不同.缺少漏洞的統一分析和報表化呈現.

3) 缺少統一的反饋溝通機制.漏洞通過各種渠道發布之后，無法保證信息安全人員、研發及運維人員及時獲取相關的漏洞信息，在獲取漏洞信息之后，也無法保證及時對所有漏洞的處置情況進行跟進.漏洞在不同人員之間的流轉不僅影響了漏洞的處置效率，也帶來了新的安全隱患.

4) 漏洞管理效率較低.隨著企業的硬件設備或應用系統的數量逐漸增加，漏洞掃描、人工定位及確認的時間都會大大加長，此時采取人工的方式進行漏洞的處置不僅效率較低，容易出錯，也容易錯過漏洞整改的最佳時間，帶來延誤和損失的風險.

為了緩解上述問題，及時、全面、準確地處置安全漏洞，滿足監管合規要求，降低漏洞帶來的安全風險，本文提出一種漏洞全生命周期[4]管理機制.通過建立統一漏洞管理平臺，規范漏洞的檢測及處置工作，使安全人員對漏洞能夠快速發現、定位、響應和處置.

1 平臺架構

統一漏洞管理平臺采用松耦合的分布式技術架構，所使用的服務器及數據庫均采用主備模式進行部署，以保證平臺和數據的高可用性.平臺包含基礎服務管理模塊、漏洞來源管理模塊、漏洞數據管理模塊、漏洞分析管理模塊、漏洞處置管理模塊以及漏洞展示預警模塊這6大功能模塊.各模塊協同通過通用的開發語言和標準的服務接口與其他基礎服務平臺系統或網絡安全工具協同聯動，從而在統一平臺上實現了漏洞檢測、數據管理、資產匹配、定位跟蹤、整改復測、總結分析等功能.使漏洞的全生命周期管理工作形成閉環[5]，解決了傳統的漏洞處置及解決方案中人工處置、效率低下等問題.

統一漏洞管理平臺應用架構如圖1所示.

2 功能模塊設計與實現

2.1 基礎服務管理模塊

基礎服務管理模塊包含管理服務臺和API服務接口2大部分.其中管理服務臺用于平臺的系統配置，進行日志管理、配置用戶及訪問權限等.API服務接口管理平臺用于實現與其他基礎平臺或系統之間的接口調用，包括配置管理數據庫(CMDB)、IT服務管理平臺(ITSM)、郵件服務器、短信服務平臺、漏洞掃描器、漏洞掃描軟件以及大數據平臺[6]等.其中大數據平臺支持流處理、實時分析等多種數據分析和處理功能，數據信息通過KAFKA消息隊列訂閱[7]的方式提供給其他模塊.

2.2 漏洞來源管理模塊

漏洞的來源主要有漏洞掃描設備或漏洞掃描軟件掃描發現的漏洞、通過人工滲透測試或其他安全測試發現的漏洞，以及由官方或權威機構(如CNVD[8]、CNNVD[9]、補天[10]等)整理并發布的漏洞預警.利用漏洞來源管理模塊可以統一管理以上3個來源的漏洞.

2.2.1 掃描任務管理

通過掃描任務管理可以控制掃描任務的執行并收集掃描結果.該組件可通過標準的API二次開發接口適配主流安全廠商的漏洞掃描引擎，也可將開源的漏洞掃描軟件嵌入其中.掃描內容可覆蓋主機漏洞掃描和應用漏洞掃描.

為了支撐多種漏洞掃描需求，掃描任務分為周期性自動化掃描任務、臨時性掃描任務和復測任務.周期性自動化掃描任務適用于常規漏洞管理工作場景，對已知資產定期執行漏洞掃描.臨時性掃描任務適用于對新增資產、新上線系統等進行安全檢測的臨時性掃描需求.復測任務適用于對存在漏洞的資產進行復測和整改確認.

2.2.2 官方漏洞管理

官方漏洞管理用于收集、整理官方或權威機構的漏洞預警.該組件利用網絡爬蟲技術[11]、網頁處理技術、檢索排序技術等從多個不同的安全漏洞發布平臺抓取不同類型的安全漏洞信息.同時該組件也支持自主按模板上傳其他特定來源的漏洞信息.

2.2.3 滲透測試管理

滲透測試管理用于收集滲透測試發現的漏洞信息.該組件支持自主按模板上傳經滲透測試發現的漏洞信息.

2.2.4 弱口令管理

針對口令[12]的掃描及處置需求專門設立了弱口令管理組件.該組件功能與掃描任務管理組件類似，同時還支持賬號口令模板的更新和弱口令的核驗功能.依據不同的生產情況和工作場景添加新的賬號口令模板，能夠更好地貼合實際情況；通過弱口令核驗功能可調出secureCRT,Navicat,FileZilla等常用軟件，并自動代填檢測出的賬號密碼以驗證掃描結果的準確性，有效降低誤報.

2.3 漏洞數據管理模塊

漏洞數據管理模塊對漏洞來源管理模塊收集的所有數據進行統一接收和規范化處理，經過合并去重等操作后將所有結果存儲在統一漏洞管理平臺的統一漏洞庫中，用以支撐后續的漏洞查詢、分析、管理等功能.定義一個漏洞的基礎信息包含漏洞CVE編號[13]、公開日期、危害級別、影響產品、漏洞描述、漏洞類型、參考鏈接、漏洞解決方案、廠商補丁等.

2.3.1 統一漏洞庫

統一漏洞庫[14]由5部分組成，除了由漏洞來源管理模塊中各組件收集到的漏洞所形成的漏掃結果庫、官方漏洞庫、滲透測試庫和弱口令庫之外，還設有一個漏洞知識庫.漏洞知識庫作為統一的漏洞數據標準化平臺存儲基礎漏洞數據，通過不斷收集爬取互聯網已知的各種漏洞信息，用以支撐不同漏掃結果的合并去重和格式標準化，便于對漏洞信息進行管理和維護.

2.3.2 白名單管理

白名單管理組件可實現對特殊情況的漏洞進行白名單標記，標記后的漏洞將在漏掃任務中被屏蔽，且不參與漏洞數據的統計分析.加入白名單包括但不限于以下4種情況：1)經驗證后漏洞為掃描器誤報;2)經評估后漏洞風險可控無需修復;3)漏洞暫無修復方式或因多種原因無法修復;4)漏洞掃描等漏洞管理操作對資產可用性造成較大威脅，不加入常規的漏洞管理流程.

2.3.3 檢索查詢管理

檢索查詢管理支持漏洞、時間、資產、負責人、掃描任務等不同維度的檢索查詢功能.檢索維度設置標簽功能，可通過增加控制標簽達到精確檢索.

2.4 漏洞分析管理模塊

漏洞分析管理模塊提供與其他模塊的關聯分析功能，可關聯配置管理數據庫進行資產匹配和相關信息的核查；可關聯大數據平臺，利用其流處理、分析、存儲等功能進行實時分析和處置；也可依托大數據技術進行數據分析和數據挖掘，從而進行資產畫像的刻畫和漏洞的預測.

2.4.1 漏洞定級管理

漏洞定級管理[15]組件能夠對來自漏洞來源管理模塊的漏洞進行分類[16]和嚴重程度的定級[17].漏洞定級依據漏洞類型、相關程度、敏感級別、漏洞關鍵字、資產情況、所屬系統等內容，按照權重評分劃分成高危、中危、低危，或按實際需求劃分成更多等級，從而實現安全漏洞的差異化處置和精細化管理[18].

2.4.2 任務對比分析

利用大數據分析技術將多次掃描任務或不同時段的漏洞情況進行對比分析，從而支持漏洞展示預警模塊的統計分析功能.

2.4.3 資產匹配管理

資產匹配管理組件關聯配置管理數據庫，為存在漏洞的資產匹配所在系統、所屬業務、配置信息、關聯關系、負責人員等詳細信息.同時本組件可聯動掃描任務管理組件設置如下2個場景：一是針對相對固定的資產觸發周期性自動化掃描；二是資產發生變化時，對變化資產進行漏洞狀態確認并觸發臨時性掃描任務.

2.5 漏洞處置管理模塊

漏洞處置管理模塊可進行漏洞通知管理、狀態跟蹤等相關工作.漏洞通知管理組件關聯郵箱服務器或短信平臺，可根據資產匹配管理所得到的漏洞負責人信息有針對性地通知負責人進行漏洞預警或漏洞整改.漏洞狀態跟蹤組件可為每一條漏洞數據打上狀態標簽，對漏洞是否加固完成的狀態及時進行更新，以完成漏洞全生命周期的閉環管理，并支持漏洞數據的分析統計功能.在漏洞負責人確認漏洞整改完成后，可通過本組件批量下發掃描任務到漏洞來源管理模塊，進行漏洞掃描復測確認.同時本組件也可關聯第三方的Workflow[19]管理軟件實現漏洞的處置狀態跟蹤.

2.6 漏洞展示預警模塊

可利用本模塊發布漏洞預警，查看統計報表和分析視圖，同時可選擇所需信息依照自定義模板建立分析場景并定制掃描報告.漏洞預警便于信息安全管理人員或資產負責人員查看漏洞信息、資產畫像、漏洞處置及整改等相關統計分析情況.本模塊可提供多種統計報表和分析視圖，用于展示漏洞分析管理模塊的高級分析結果，基于數據統計的漏洞風險管理，從不同維度整體展現企業各業務系統、各部門的安全漏洞態勢，形成安全漏洞管理的整體視圖.

統計分析場景可包括：一是全局漏洞分布態勢(如漏洞總量、不同資產的漏洞分布、不同業務系統的漏洞分布、不同風險等級的漏洞分布)；二是安全漏洞的變化發展趨勢(如顯示不同類型的漏洞在某一時間段的數量變化曲線，以直觀了解業務系統的漏洞變化趨勢)；三是漏洞加固成果對比分析(體現各業務系統、各部門在漏洞處置工作中的進度和成效).

3 平臺處置流程實踐

下面以主動觸發的漏洞掃描及處置為例，利用統一漏洞管理平臺進行漏洞管理，具體流程如圖2所示.

步驟1. 用戶登錄統一漏洞管理平臺.

步驟2. 設置白名單.利用漏洞數據管理模塊將無需進行漏洞掃描的特殊情況的資產進行加白處理.

步驟3. 發起漏洞掃描任務.首先調用漏洞來源管理模塊的掃描任務管理組件，用戶可自主設置掃描資產的IP或域名、掃描時間、掃描并發數、掃描優先級、掃描服務類型、掃描器類型等內容；然后調用基礎服務管理模塊中的漏洞掃描器進行漏洞掃描.

步驟4. 掃描結果入庫.掃描完成后，掃描器自動將掃描結果推送至漏洞數據管理模塊，經格式化處理后存入統一漏洞庫.

步驟5. 查看漏洞情況.用戶可從不同維度查看漏洞情況，如查詢當次的掃描結果、對比本月和上月的漏洞數據變化情況、為新增漏洞找到負責人、觀察漏洞分布比例和屬性、個性化定制漏洞報告等.

步驟6. 通知整改并跟蹤.利用漏洞處置管理模塊，向一線員工、值班人員、資產負責人等相關人員發布漏洞整改通報或掃描報告，并及時跟蹤相關人員的反饋.同時平臺可通過定時任務的方式，定期對掃描發現的漏洞進行復測，繼續跟蹤未整改完成的漏洞直到漏洞處置完成，形成閉環.

4 平臺成果創新價值

統一漏洞管理平臺提供了一套漏洞全生命周期管理的解決方案，可完成有關安全漏洞事前、事中、事后的全部檢測和處理流程.通過漏洞掃描器、配置管理數據庫、大數據平臺等之間的相互聯動，利用單點登錄功能，實現統一平臺的集中調度管控.該平臺從以下4個方面快速、全面、高效地解決安全漏洞問題：

1) 漏洞信息全面獲取.利用漏洞來源管理模塊全面收集來自異構掃描器、掃描軟件、滲透測試及官方通報的漏洞信息，同時利用漏洞數據管理模塊對數據信息進行規范化處理，從而保證及時、快速、準確、全面地獲取所有漏洞信息，方便后期對漏洞進一步的處理和展示.

2) 漏洞統一展示預警.匯集漏洞來源管理模塊和漏洞數據管理模塊收集的漏洞基礎數據信息，以及漏洞分析管理模塊和漏洞處置管理模塊處理的統計結果.利用漏洞展示預警模塊形成漏洞信息的統一呈現，提供豐富的統計報表和分析視圖，用于全面掌握現狀和更加合理的決策.

3) 反饋溝通形成閉環.利用漏洞處置管理模塊全流程跟蹤漏洞的處理及反饋情況.方便安全、研發及運維人員及時獲取、處置及反饋相關信息，形成良性的反饋溝通機制.確保漏洞的閉環管理，大大降低漏洞管理流程中由于某環節疏漏所帶來的安全風險和隱患.

4) 漏洞管理效率大幅提升.通過自動化的管理方式，在統一平臺上實現的漏洞全生命周期管理相較于傳統的人工處置，不僅提高了漏洞發布的準確性，也提高了漏洞處置的及時性，從而大大提升了漏洞管理效率.同時，平臺也可通過資源擴容來支持設備增加和系統擴建.

5 結束語

統一漏洞管理平臺為漏洞管理提供了一種參考方案，組織或企業可依據自身規模、所具有的基礎組件等實際情況選擇整個解決方案中的部分模塊或功能進行搭建.基于方便的API接口，可在后期建設過程中更加便捷地進行補充和完善，以優化漏洞管理流程，實現高效、自動化的漏洞管理機制.同時平臺還可整體接入態勢感知或安全管理系統，以實現安全的整體感知與統一管理.后續工作可遵循PDCA原則[20]，對管理平臺進行持續的優化和改進.