引言：企業(yè)的信息安全管理是一項(xiàng)管理與技術(shù)結(jié)合的工作，著重側(cè)重其中一方最后往往收效甚微，因此在安全脆弱性管理這樣的工作中也要充分考慮管理層面的可落地性，并逐步思考完善系統(tǒng)化的管理方法。

隨著企業(yè)信息化程度的提升，大中型企業(yè)擁有大量的IT系統(tǒng)，企業(yè)關(guān)鍵的信息資產(chǎn)也正是分布在這其中。來(lái)自企業(yè)外部的攻擊日新月異，深入企業(yè)內(nèi)部逐步入侵核心資產(chǎn)的攻擊模式越來(lái)越多。企業(yè)信息安全的防護(hù)逐漸向兩個(gè)分支發(fā)展：一支緊盯攻擊者、跟蹤其行動(dòng)路線、推理其使用工具、確定攻擊動(dòng)機(jī)，是對(duì)攻擊者的研究；一支著重內(nèi)部安全風(fēng)險(xiǎn)的檢測(cè)、加固、防御，是對(duì)防御者的研究。而本文將要探討的就是后者，如何能將企業(yè)內(nèi)部的安全風(fēng)險(xiǎn)快速準(zhǔn)確的檢測(cè)出來(lái)并且閉環(huán)處理。

當(dāng)前，檢測(cè)安全脆弱性的系統(tǒng)及工具都日趨成熟，其細(xì)分產(chǎn)品類(lèi)型也非常龐大，安全管理人員在使用這些檢測(cè)工具時(shí)，面臨了如下問(wèn)題：檢測(cè)結(jié)果在各個(gè)工具中導(dǎo)致展示維度各不相同；脆弱性無(wú)法統(tǒng)一展示：脆弱性整改工作繁瑣：整改工作的整個(gè)流程沒(méi)有系統(tǒng)支持：不斷產(chǎn)生的問(wèn)題和不及時(shí)的響應(yīng)導(dǎo)致管理錯(cuò)亂。

解決方案

要解決當(dāng)前脆弱性管控工作中的問(wèn)題，要完成以下要點(diǎn)：

1.統(tǒng)一展示入口、統(tǒng)一下發(fā)工作、統(tǒng)一處理入口；

2.企業(yè)組織的各個(gè)結(jié)點(diǎn)上的各個(gè)檢查專(zhuān)題都可以隨意組合；

3.要展示安全脆弱性“現(xiàn)狀”，即“當(dāng)前”存在的“問(wèn)題列表”；

4.任務(wù)結(jié)果實(shí)時(shí)更新表要含有所有任務(wù)結(jié)果的信息，且需要去重的、實(shí)時(shí)更新過(guò)的，展示內(nèi)容需要篩選；

5.統(tǒng)一檢查任務(wù)的管理。避免“重復(fù)”檢查；

6.檢查結(jié)果要簡(jiǎn)潔明了,避免一些復(fù)雜的檢查狀態(tài)帶來(lái)的結(jié)果混淆；

7.結(jié)果是衡量脆弱性的唯一標(biāo)準(zhǔn),不會(huì)因檢查項(xiàng)的問(wèn)題去撤銷(xiāo)對(duì)問(wèn)題設(shè)備的判斷，也不會(huì)因?yàn)楝F(xiàn)網(wǎng)實(shí)際整改困難，而取消整改提示。

系統(tǒng)設(shè)計(jì)

1.整體流程設(shè)計(jì)

為實(shí)現(xiàn)解決方案中描述的方法，需要對(duì)系統(tǒng)做整體上的流程設(shè)計(jì)，分析關(guān)鍵的參與人員、閉環(huán)處理過(guò)程中的數(shù)據(jù)流向。

系統(tǒng)化過(guò)程中的關(guān)鍵環(huán)節(jié)：

總負(fù)責(zé)的管理者啟動(dòng)或者一般管理者啟動(dòng)任務(wù)檢查；

角色鑒權(quán)，判斷檢查的數(shù)據(jù)權(quán)限和崗位權(quán)限適用的檢查范圍；

在眾多的檢查任務(wù)中，選擇本次所要進(jìn)行的檢查專(zhuān)題；

將檢查結(jié)果按設(shè)備更新到實(shí)時(shí)更新表中，這樣保證了在任務(wù)完成一部分的情況下，仍有效輸出檢查結(jié)果，并且使用戶時(shí)刻都能看到最新的脆弱性結(jié)果；

將結(jié)果按照組織結(jié)構(gòu)進(jìn)行分發(fā)；

生成更為詳細(xì)的脆弱性明細(xì)表；

安全接口人查看自己組織下的安全問(wèn)題，進(jìn)行線下整改；

在整改過(guò)程中隨時(shí)可自定義任務(wù)進(jìn)行“復(fù)查”；

整改報(bào)告作為設(shè)備脆弱性結(jié)果的一部分更新到實(shí)時(shí)更新表中；

匯總所有檢查任務(wù)結(jié)果呈現(xiàn)給安全管理負(fù)責(zé)人。

分析結(jié)果變更歷史對(duì)比檢查結(jié)果，得出整改工作的成效。

2.工作角色

安全管理員：具有各專(zhuān)項(xiàng)能力（基線配置、弱口令、防火墻策略、URPF、系統(tǒng)漏洞、內(nèi)網(wǎng)Web漏洞、外網(wǎng)Web漏洞）自查、復(fù)查和統(tǒng)一檢查權(quán)限；查看各專(zhuān)項(xiàng)能力的問(wèn)題明細(xì)、問(wèn)題出現(xiàn)次數(shù)、整改情況等權(quán)限；查詢(xún)權(quán)限內(nèi)系統(tǒng)未連通設(shè)備明細(xì)、設(shè)備問(wèn)題明細(xì)和問(wèn)題匯總權(quán)限；按“開(kāi)始時(shí)間與結(jié)束時(shí)間”、“檢查的組織范圍”、“檢查類(lèi)型”條件增刪改快照和查詢(xún)快照組織系統(tǒng)的問(wèn)題整改情況。

安全接口人：各專(zhuān)項(xiàng)能力（基線配置、弱口令、防火墻策略、URPF、系統(tǒng)漏洞、內(nèi)外網(wǎng)Web漏洞）自查、復(fù)查和統(tǒng)一檢查權(quán)限；查看各專(zhuān)項(xiàng)能力的問(wèn)題明細(xì)、整改情況等和進(jìn)行整改情況報(bào)備權(quán)限；查詢(xún)權(quán)限內(nèi)系統(tǒng)未連通設(shè)備明細(xì)、設(shè)備的問(wèn)題明細(xì)和問(wèn)題匯總權(quán)限。

3.綜合調(diào)度

連通率、基線、弱口令、防火墻策略核查、URPF、系統(tǒng)漏掃等任務(wù)的統(tǒng)一自動(dòng)調(diào)度包括了執(zhí)行順序、執(zhí)行優(yōu)先級(jí)、各組件內(nèi)部任務(wù)的自動(dòng)協(xié)調(diào)。任務(wù)的狀態(tài)應(yīng)集中展示在綜合調(diào)度上，任務(wù)是否啟動(dòng)、啟動(dòng)后執(zhí)行中的任務(wù)狀態(tài)、中斷行為的展示。

執(zhí)行任務(wù)過(guò)程中，任務(wù)下發(fā)人若因系統(tǒng)占用或發(fā)現(xiàn)錯(cuò)誤情況可能需要終止綜合任務(wù)，此時(shí)各模塊產(chǎn)生的報(bào)告和結(jié)果文件已完成的部分需要更新和記錄。插入任務(wù)則需要系統(tǒng)后臺(tái)設(shè)置好各模塊的執(zhí)行優(yōu)先級(jí)，對(duì)當(dāng)前正執(zhí)行的任務(wù)采取掛起操作。

綜合調(diào)度任務(wù)涉及到各個(gè)脆弱性系統(tǒng)模塊的整合，下發(fā)后執(zhí)行過(guò)程中必然存在任務(wù)執(zhí)行異常，異常需要任務(wù)下發(fā)人通過(guò)各種異常信息提示聯(lián)系到能夠處理的人。那么調(diào)度系統(tǒng)一方面要提供異常情況的預(yù)判能力，另一方面提供異常處理的建議，類(lèi)似于資源連通性測(cè)試時(shí)產(chǎn)生網(wǎng)絡(luò)不通、資源未接入等情況的錯(cuò)誤信息提示。

模板自適應(yīng)，當(dāng)使用任務(wù)模板時(shí)，系統(tǒng)對(duì)模板中選定的設(shè)備所在的組織結(jié)構(gòu)進(jìn)行實(shí)時(shí)查詢(xún)，對(duì)比模板，若發(fā)現(xiàn)新增或已下線設(shè)備的情況，直接更新為實(shí)時(shí)的資源列表，若此前模板并未覆蓋全部資源而是個(gè)別資源的話，應(yīng)提示所選資源發(fā)生變動(dòng)，同時(shí)更新為最新情況。

4.整改流程

綜合檢查完成后，生成的檢查結(jié)果應(yīng)分發(fā)給各安全接口人，讓其參與整改，并反饋整改完成項(xiàng)與未完成項(xiàng)，未完成項(xiàng)需填寫(xiě)誤報(bào)和無(wú)法整改的備注。整改三種狀態(tài)：已整改、無(wú)法整改、誤報(bào)。

檢查結(jié)果的生成過(guò)程中，按照組織結(jié)構(gòu)維度進(jìn)行組裝。

在報(bào)告按照組織結(jié)構(gòu)輸出后，還需要對(duì)應(yīng)到組織的安全接口人，用以在安全接口人登錄后在其待辦中顯示。待辦中需有詳實(shí)的待整改設(shè)備列表，清楚展示設(shè)備存在哪幾類(lèi)問(wèn)題、每類(lèi)問(wèn)題個(gè)數(shù)、問(wèn)題的詳細(xì)信息等。

因檢查結(jié)果實(shí)時(shí)更新，對(duì)專(zhuān)項(xiàng)檢查來(lái)說(shuō)整改率是項(xiàng)考察組織側(cè)日常安全工作開(kāi)展的重要指標(biāo)，但整改周期長(zhǎng)時(shí)，對(duì)組織的評(píng)價(jià)很難通過(guò)歷史時(shí)間判斷其整改的最終效果。當(dāng)前漏洞數(shù)里有專(zhuān)項(xiàng)檢查后官方發(fā)布的新漏洞或因系統(tǒng)配置導(dǎo)致新增的漏洞，因此：整改率“必須是“一個(gè)比較過(guò)的結(jié)果，而非單純的數(shù)字計(jì)算，例如1月0個(gè)漏洞，2月 A、B、C、D4個(gè)漏洞，3月 5日查看時(shí)B、C、D、E4個(gè)漏洞，那么2月整改率是25%。關(guān)于誤報(bào)，是參與到整改率的計(jì)算中，被認(rèn)為是”已處理的“、”非遺留的“項(xiàng)，在計(jì)算時(shí)分子和分母中都有”誤報(bào)項(xiàng)“參與計(jì)算。

對(duì)安全接口人來(lái)說(shuō)，收到檢查結(jié)果后，應(yīng)按結(jié)果對(duì)權(quán)限下設(shè)備進(jìn)行整改，整改完成后報(bào)送一個(gè)“整改完成”的結(jié)果即可，但整改過(guò)程中會(huì)遇到兩種情況誤報(bào)和無(wú)法整改，如遇需添加整改備注。誤報(bào)：由于檢查項(xiàng)或檢查方式不適用于檢查設(shè)備，造成的檢查結(jié)果錯(cuò)誤。無(wú)法整改：因設(shè)備處關(guān)鍵系統(tǒng)，不允許宕機(jī)等原因無(wú)法完成漏洞修補(bǔ)的情況。組織安全接口人會(huì)根據(jù)實(shí)際情況在報(bào)送整改時(shí)，追加誤報(bào)和無(wú)法整改兩種情況的備注。整改備注包括正常整改內(nèi)容的備注、誤報(bào)情況、無(wú)法整改等三方面內(nèi)容，執(zhí)行一次任務(wù)后，之后的復(fù)查結(jié)果（界面展示和報(bào)告）上會(huì)一直標(biāo)識(shí)整改備注（誤報(bào)和無(wú)法整改）。

5.綜合呈現(xiàn)

檢查結(jié)果包含多種檢查的報(bào)告整合，且需要按照不同維度展現(xiàn)并預(yù)置其可查看的權(quán)限，功能相對(duì)復(fù)雜因此作為單獨(dú)模塊表述。

系統(tǒng)中的這張匯總表處于動(dòng)態(tài)加載狀態(tài)，一旦有某項(xiàng)任務(wù)執(zhí)行導(dǎo)致了結(jié)果的變動(dòng)，此表都需要更新。

為支持后續(xù)的分析、展示、標(biāo)識(shí)乃至未來(lái)的評(píng)分，檢查結(jié)果都需要進(jìn)行統(tǒng)一的標(biāo)準(zhǔn)化處理以滿足變更、擴(kuò)展、關(guān)系對(duì)應(yīng)等要求。

展示內(nèi)容需按照“任務(wù)”作為基本線條來(lái)展示，“任務(wù)”表示了用戶對(duì)某個(gè)例行或?qū)ｍ?xiàng)檢查的計(jì)劃，任務(wù)是由“開(kāi)始時(shí)間與結(jié)束時(shí)間”、“檢查的組織范圍”、“檢查專(zhuān)題的范圍”三個(gè)要素構(gòu)成。

綜合調(diào)度檢查后，輸出的內(nèi)容龐雜，應(yīng)提供簡(jiǎn)便易讀的最終輸出物報(bào)表和視圖。

通過(guò)多次檢查后，會(huì)出現(xiàn)某些組織在某項(xiàng)指標(biāo)上一直存在問(wèn)題，例如系統(tǒng)資源上存在漏洞，經(jīng)過(guò)3次檢查漏洞依然存在，這除了誤報(bào)和無(wú)法整改還可能由于安全接口人消極處理導(dǎo)致，因此對(duì)此類(lèi)問(wèn)題應(yīng)輸出相應(yīng)的展示及報(bào)表。展示內(nèi)容包括了該問(wèn)題被檢查出的歷史任務(wù)列表、整改備注、整改后消除不達(dá)標(biāo)項(xiàng)的時(shí)間。

總結(jié)

該方法從實(shí)際工作場(chǎng)景出發(fā)，將工作入口、工作成果做統(tǒng)一的處理，最終令脆弱性處理工作符合使用習(xí)慣和工作需要。這種基于工作場(chǎng)景的創(chuàng)新具有創(chuàng)新意義。

按照本文提供的方法進(jìn)行脆弱性管理將使脆弱性管理工作得心應(yīng)手，符合參與各方的工作需求和使用體驗(yàn)，告別繁瑣復(fù)雜、令人疑惑的管理流程和呈現(xiàn)結(jié)果。