◆張賀勛 吳澤江 陳遠平 袁 峭 譚廣達

（北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司 北京 100083）

基于大數(shù)據(jù)的安全漏洞管理思路

◆張賀勛 吳澤江 陳遠平 袁 峭 譚廣達

（北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司 北京 100083）

安全漏洞是計算機系統(tǒng)軟硬件自身存在的缺陷，漏洞管理是信息安全管理工作中重要的組成部分，如何高效地對漏洞開展管理工作，降低組織面臨的安全風險，直接影響到信息安全管理工作的實際成效。

漏洞；掃描；風險；安全服務(wù)

0 背景

安全漏洞是計算機系統(tǒng)軟硬件自身存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞計算機系統(tǒng)，對計算機系統(tǒng)的機密性、完整性、可用性造成不同程度的破壞。

隨著信息技術(shù)的不斷發(fā)展，特別是互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)的飛速發(fā)展，安全漏洞層出不窮，正所謂沒有絕對安全的系統(tǒng)，只有已被黑的系統(tǒng)與不值得被黑的系統(tǒng)。所以信息系統(tǒng)存在安全漏洞是必然的，如何科學地對安全漏洞進行有效管理，以降低組織的安全風險便是一個十分迫切的問題。

1 現(xiàn)狀

天融信安全服務(wù)團隊在實施大量安全服務(wù)項目工作的過程中，基本上每一個安全服務(wù)項目都需要跟安全漏洞打交道。安全風險評估是安全服務(wù)過程中最基礎(chǔ)的工作內(nèi)容，評估過程中均會識別出各種類型的安全漏洞。客戶對安全漏洞的管理基本上是家庭作坊式的，來一個漏洞，修復(fù)一個漏洞，形成一大堆各種漏洞報告及表格，缺乏對安全漏洞的科學管理，無法進行深入分析及跟蹤。

天融信安全服務(wù)團隊在實施大量安全服務(wù)項目經(jīng)驗過程中，結(jié)合項目實際情況，提出基于大數(shù)據(jù)的安全漏洞管理思路。

2 漏洞生命周期

任何一個事物都是有生命周期的，安全漏洞也一樣。從信息系統(tǒng)安全運維的角度來分析，安全漏洞的生命周期可分為幾個階段，漏洞的形成潛伏階段、漏洞的公開階段、漏洞的識別階段、漏洞的處置階段。

漏洞的潛伏階段：安全漏洞在計算機系統(tǒng)開發(fā)完成時就已經(jīng)形成，一直潛伏著直到被安全研究人員挖掘出來。

漏洞的公開階段：當漏洞被挖掘出來后很快便會被公布公諸于眾。

漏洞的識別階段：當漏洞被公開后，信息系統(tǒng)便處在漏洞的威脅當中，需及時對已有信息系統(tǒng)的漏洞進行識別定位。

漏洞的處置階段：當識別定位到安全漏洞后，組織資源對漏洞進行處置整改。

3 漏洞管理思路

由于信息資產(chǎn)數(shù)量眾多，安全漏洞層出不窮，安全漏洞數(shù)量也越來越多，有效地對安全漏洞管理，需要借助先進的技術(shù)手段，開發(fā)建設(shè)適合組織現(xiàn)狀的安全漏洞管理系統(tǒng)對漏洞進行有效管理，同時利用安全漏洞掃描工作對漏洞進行識別。

3.1 漏洞管理系統(tǒng)

安全漏洞管理系統(tǒng)是漏洞管理的核心，通過安全漏洞管理系統(tǒng)對資產(chǎn)每次識別出來漏洞進行收集歸檔形成漏洞大數(shù)據(jù)，從而可對漏洞進行各種分析統(tǒng)計，對漏洞進行跟蹤處置，主要功能如下：

（1）漏洞數(shù)據(jù)收集，將各種檢查輸出的報告（如掃描報告）通過系統(tǒng)自動導(dǎo)入數(shù)據(jù)庫，形成漏洞大數(shù)據(jù)，同時也建立組織資產(chǎn)的大數(shù)據(jù)；

（2）漏洞數(shù)據(jù)跟蹤，利用系統(tǒng)對漏洞數(shù)據(jù)進行跟蹤，根據(jù)漏洞的處置情況對每個漏洞進行自動化跟蹤，對已整改的漏洞進行標識，對無需整改的漏洞進行報備標識；

（3）漏洞精準預(yù)警，通過對漏洞數(shù)據(jù)收集的過程中，將每個設(shè)備資產(chǎn)的信息（系統(tǒng)類型、版本、服務(wù)類型、服務(wù)版本等）進行收集入庫形成詳細的資產(chǎn)大數(shù)據(jù)庫，后續(xù)通過結(jié)合導(dǎo)入安全預(yù)警通告進行關(guān)鍵分析，識別出與預(yù)警相關(guān)的資產(chǎn)，進行精準預(yù)警通告。

（4）決策支持，通過報表功能，根據(jù)需求從各個維度進行分析報告輸出，支撐管理層對安全工作應(yīng)該如何開展的決策。

3.2 漏洞識別

漏洞識別是漏洞管理工作的開始，識別工作必須常態(tài)化開展，最少每季度開展一次，通過利用漏洞掃描工具（如天融信的漏洞掃描器）對全網(wǎng)資產(chǎn)進行漏洞掃描，掃描器根據(jù)最新的漏洞庫與設(shè)備所開放的端口服務(wù)版本及指紋進行匹配，輸出漏洞掃描報告。

3.3 漏洞歸檔

根據(jù)對天融信大量的安全服務(wù)項目工作總結(jié)，通常漏洞識別工作完成后，輸出漏洞掃描報告，缺乏有效的對掃描報告進行科學管理分析，無法將每次的工作價值發(fā)揮到最大。

通過利用安全漏洞管理系統(tǒng)將每次的漏洞掃描結(jié)果進行統(tǒng)一歸檔，形成組織的安全漏洞大數(shù)據(jù)，可供后續(xù)的漏洞分析、漏洞管理及跟蹤使用等工作。

3.4 資產(chǎn)收集

在漏洞歸檔的同時也建立了組織的資產(chǎn)大數(shù)據(jù)，后續(xù)可開展各類基于資產(chǎn)的管理工作，漏洞數(shù)據(jù)信息通常包含了資產(chǎn)的 IP地址、端口及服務(wù)、系統(tǒng)及應(yīng)用的版本信息等。通過漏洞管理系統(tǒng)對漏洞數(shù)據(jù)庫的分析挖掘，形成資產(chǎn)信息庫。通過定期開展漏洞掃描并歸檔漏洞掃描報告，資產(chǎn)信息也同時得到更新。

掌握一份精確的資產(chǎn)信息，對安全工作有重要意義，特別是對漏洞管理工作有重要的幫助。正所謂知己知彼，才能百戰(zhàn)百勝，如果連自己的都不了解自己，那就很難對自己做很好的保護。

3.5 漏洞處置

對漏洞開展的所有工作目標就是要對漏洞進行有效的處置，漏洞有效處置是漏洞管理的核心，當漏洞受到有效的處置，才能降低組織面臨的風險。

當漏洞被識別出來后導(dǎo)入漏洞管理系統(tǒng)時，系統(tǒng)自動通過郵件通知資產(chǎn)的責任人告知漏洞情況，同時要求在規(guī)定的時間內(nèi)對漏洞進行處置。

漏洞的處置方式可簡單分為兩種，一種是對漏洞進行加固，一種是接受漏洞，當漏洞產(chǎn)生的風險是可接受的，同時加固成本較高時，可對漏洞進行接受，些時需要對漏洞進行備案。

為了對漏洞處置情況進行跟蹤，安全漏洞管理系統(tǒng)使用一個字段標記漏洞的處置情況，根據(jù)漏洞的處置情況進行標識。

當漏洞完成加固后，使用掃描器對漏洞進行二次掃描，掃描完成后輸出掃描報告，已加固的漏洞便不出現(xiàn)在掃報告中，些時將掃描報告導(dǎo)入漏洞管理系統(tǒng)，通過數(shù)據(jù)分析對比，系統(tǒng)自動標記出已經(jīng)完成整改的漏洞。對于未完成整改的漏洞，可進行再次分析跟蹤，對于確認無需整改的漏洞可在系統(tǒng)上進行手工標記備案。

當漏洞從識別出來后超過規(guī)定的時間未進行處置時，系統(tǒng)自動通過郵件發(fā)送給資產(chǎn)的責任人及責任人的領(lǐng)導(dǎo)，以提醒督促相關(guān)責任人對漏洞進行處置。

利用安全漏洞管理系統(tǒng)對漏洞進行收集歸檔，進行處置跟蹤，進行處置確認，形成有效的閉環(huán)管理，確保每個漏洞都經(jīng)過確認及處置。

3.6 精準預(yù)警

安全漏洞是動態(tài)的，隨著技術(shù)的不斷發(fā)展，漏洞不定期地被發(fā)布出來，每個廠家都定期發(fā)布安全預(yù)警公告。在天融信大量的項目工作中，客戶收到安全預(yù)警公告后通常都因為缺乏手段準確定位受影響資產(chǎn)而不了了之，當收到特別嚴重的公告必須處理的時候，通常都需要組織大量人力物力進行自查。

當利用安全漏洞管理系統(tǒng)的進行漏洞管理，掌握了一份精確的資產(chǎn)信息時，漏洞的預(yù)警就顯得靠譜了很多。通常各廠家的預(yù)警公告里每個漏洞都會注明受影響的軟件系統(tǒng)名稱及版本等信息。通過將預(yù)警公告導(dǎo)入安全漏洞管理系統(tǒng)，利用系統(tǒng)的大數(shù)據(jù)據(jù)分析能力對資產(chǎn)信息庫進行匹配，迅速定位出受影響設(shè)備列表。此時就實現(xiàn)了精準的預(yù)警。根據(jù)定位出來的資產(chǎn)列表，系統(tǒng)通過郵件定向推送到資產(chǎn)的負責人，要求負責人進行確認及處置。此時，可大大提高安全預(yù)警的工作效率及準確度，協(xié)助及時處理安全漏洞，降低組織安全風險。

3.7 報表輸出

安全漏洞管理系統(tǒng)收集了大量的漏洞信息及資產(chǎn)信息的大數(shù)據(jù)，可根據(jù)各類需求輸出報告，供管理層決策使用，進行決策支持，如以下幾類：

（1）安全風險分析報表，通過對漏洞數(shù)據(jù)及漏洞處置情況的統(tǒng)計分析，形成組織當前風險狀況，整體展現(xiàn)組織當前面臨的威脅及風險情況。

（2）漏洞處置分析報表，通過對漏洞處置情況的統(tǒng)計分析，形成漏洞處置情況報表，展現(xiàn)漏洞整改率，漏洞處置率，可做為資產(chǎn)負責人對漏洞處置的績效考核參考。

（3）典型漏洞分析報表，通過對漏洞數(shù)據(jù)的統(tǒng)計分析，可輸出典型漏洞，如漏洞 TOP10等，組織可根據(jù)分析報告進行有針對性的重點處置計劃。

4 總結(jié)

本文通過利用大數(shù)據(jù)技術(shù)手段，建立安全漏洞管理系統(tǒng)對漏洞開展有效的全生命周期管理，大大提高了漏洞管理的效率，同時也提高了漏洞管理的效果，有效地降低了組織的安全風險。

漏洞是動態(tài)的，是不可能完全消亡的，所以安全漏洞管理工作是一個持久戰(zhàn)，是信息安全管理工作的重要組織部分，只有管理好漏洞，才能提升組織的安全防御能力。

只有堅持利用大數(shù)據(jù)技術(shù)手段對安全漏洞開展有效管理，不斷的改進管理流程及方法，才能不斷提高安全漏洞的管理效率及管理效果。