田 闖

（中通服咨詢設計研究院有限公司，江蘇 南京 210019）

0 引 言

近年來，隨著各種網(wǎng)絡安全漏洞的曝光和被利用，國家與企業(yè)蒙受了重大的經(jīng)濟損失，美國國家標準與技術(shù)研究院（National Institute of Standards and Technology，NIST）發(fā)布了2001—2021年20年間漏洞數(shù)據(jù)統(tǒng)計情況，表明漏洞數(shù)量呈現(xiàn)逐年遞增的態(tài)勢，且高中危漏洞占比越來越高，僅2021年一年就報告網(wǎng)絡安全漏洞18 378個。由網(wǎng)絡安全漏洞引發(fā)的安全事件頻發(fā)，及時發(fā)現(xiàn)并修復漏洞是各企事業(yè)單位面臨的網(wǎng)絡安全關(guān)鍵基礎性工作，也是通過政府和主管部門對網(wǎng)絡安全責任檢查考核的重要抓手。

1 漏洞全生命周期管理

1.1 需求分析

1.1.1 漏洞發(fā)現(xiàn)

及時發(fā)現(xiàn)網(wǎng)絡安全漏洞是對其進行有效管理的首要環(huán)節(jié)。企事業(yè)單位通常會在數(shù)據(jù)中心機房部署漏洞掃描工具，通過定期掃描發(fā)現(xiàn)漏洞，然而漏洞掃描工具存在一定的弊端。首先，漏洞掃描工具基于漏洞掃描規(guī)則進行漏洞發(fā)現(xiàn)，如果漏洞規(guī)則庫更新不及時，則會存在一定的誤報和漏報情況，無法發(fā)現(xiàn)最新的安全漏洞。其次，漏洞掃描工具的頻繁掃描對網(wǎng)絡和應用的性能也會有一定的影響。

1.1.2 漏洞審核

為了克服漏洞掃描工具存在的漏洞誤報情況，需要對漏洞進行審核，如去除誤報的漏洞、對相同或者相似的漏洞進行去重或合并等。由于漏洞審核工作專業(yè)性較強，需要專業(yè)的網(wǎng)絡安全人員完成，成本較高。此外對于突然爆發(fā)的大量漏洞，純?nèi)斯し绞降膶徍诵瘦^低，嚴重影響漏洞處置效率。

1.1.3 漏洞修復

通過漏洞發(fā)現(xiàn)和審核確定的漏洞需要及時進行修復，如何提高漏洞修復的效率、縮短漏洞修復時間是漏洞修復環(huán)節(jié)需要解決的問題。企事業(yè)單位漏洞修復的流程各不相同，需要構(gòu)建一套專屬于企事業(yè)單位的漏洞修復流程體系，可以依托單位內(nèi)部的網(wǎng)絡安全保障人員，也可以依托第三方網(wǎng)絡安全服務團隊，通過標準化的流程完成漏洞修復工作。漏洞修復后還有可能引入新的安全漏洞，需要重復上述漏洞發(fā)現(xiàn)和漏洞審核的步驟，確保在安全漏洞修復過程中沒有引入新的安全漏洞。

1.1.4 漏洞歸檔與統(tǒng)計分析

漏洞歸檔實現(xiàn)已完成修復漏洞信息的歸檔管理，歸檔的內(nèi)容包括漏洞基礎信息、處置過程信息等。為了便于歸檔漏洞信息的查閱，創(chuàng)建以日期命名的漏洞檔案文件夾，根據(jù)漏洞發(fā)現(xiàn)的日期存放到對應的漏洞檔案文件夾中，漏洞檔案文件使用漏洞名稱、發(fā)現(xiàn)時間和處置完成時間的組合命名。

漏洞統(tǒng)計分析功能根據(jù)漏洞的類型、等級、所影響的資產(chǎn)、所屬的業(yè)務部門以及處置時間等信息進行統(tǒng)計分析，面向企業(yè)內(nèi)部不同工作角色人員構(gòu)建專屬的網(wǎng)絡安全漏洞態(tài)勢視圖，為企業(yè)安全保障團隊人員的績效考核提供數(shù)據(jù)支持，為企業(yè)中高層管理人員對網(wǎng)絡安全保障措施的制定和優(yōu)化提供決策支撐。

1.2 建設方案

網(wǎng)絡安全漏洞全生命周期管理功能框圖如圖1所示，主要分為漏洞發(fā)現(xiàn)、漏洞研判、漏洞告警、漏洞處置、漏洞跟蹤以及漏洞分析展示6個模塊[1,2]。

圖1 功能框圖

1.2.1 漏洞發(fā)現(xiàn)

漏洞發(fā)現(xiàn)是漏洞管理的首要環(huán)節(jié)，主要目的是獲取較全面的網(wǎng)絡安全漏洞信息。為了達到這個目的，通常將人工滲透測試和自動化漏洞掃描工具相結(jié)合進行安全漏洞的掃描。首先通過有經(jīng)驗的網(wǎng)絡安全工程師對資產(chǎn)進行人工滲透測試，形成人工滲透測試漏洞清單，其次使用自動化漏洞掃描工具進行掃描，形成自動化滲透測試漏洞清單，最后以人工滲透測試漏洞清單和自動化滲透測試漏洞清單相結(jié)合形成原始的網(wǎng)絡安全漏洞信息。

1.2.2 漏洞研判

漏洞研判是在發(fā)現(xiàn)漏洞的基礎上對漏洞信息進行處理和審核，從而確保漏洞信息的真實性，包括漏洞信息預處理、漏洞去重、漏洞信息補齊、漏洞有效性審核、漏洞分類定級以及漏洞資產(chǎn)關(guān)聯(lián)等功能[3,4]。

漏洞信息預處理對漏洞信息中的重要字段進行檢查，確保漏洞數(shù)據(jù)的可讀性，剔除無法通過字段校驗的漏洞信息。漏洞去重指的是對相同或相似漏洞數(shù)據(jù)進行去重或合并，防止出現(xiàn)漏洞信息重復的情況。漏洞信息補齊對漏洞信息中缺失的字段進行補齊，主要包括漏洞基礎信息和漏洞業(yè)務信息，其中漏洞基礎信息包括漏洞修復建議、漏洞類別、漏洞等級、漏洞影響等，漏洞業(yè)務信息包括資產(chǎn)的網(wǎng)絡地址、類型、所屬業(yè)務系統(tǒng)、所屬部門以及地理位置等。漏洞有效性審核對漏洞的真實性進行判斷，確定漏洞是否可以復現(xiàn)。漏洞資產(chǎn)關(guān)聯(lián)通過在漏洞信息中補充資產(chǎn)通用平臺枚舉（Common Platform Enumeration，CPE）信息，構(gòu)建漏洞與資產(chǎn)的關(guān)聯(lián)關(guān)系，為資產(chǎn)的漏洞預警提供支持。

1.2.3 漏洞告警

通過漏洞研判輸出漏洞清單，當漏洞信息滿足告警規(guī)則的條件時進行告警通知。通常根據(jù)漏洞的等級進行判斷，對于中高危安全漏洞，實時進行告警通知。告警通知方式包括平臺頁面彈窗、短信、郵件等，也可以通過對接微信等第三方工具進行漏洞告警信息的推送。

1.2.4 漏洞處置

漏洞處置功能的主要用戶是企業(yè)內(nèi)外部網(wǎng)絡安全保障團隊，通過引入流程引擎，結(jié)合企事業(yè)單位自身的網(wǎng)絡安全管理制度構(gòu)建專屬的漏洞處置流程體系，包括漏洞確認、漏洞修復、漏洞復驗、漏洞關(guān)閉和漏洞歸檔等環(huán)節(jié)[5]。漏洞處置功能的用戶分為安全服務臺、漏洞后臺審核、漏洞修復3種角色。安全服務臺接收安全漏洞信息并派發(fā)給漏洞后臺審核人員，后臺審核人員進一步根據(jù)漏洞等級、漏洞影響以及對資產(chǎn)的影響程度對漏洞信息進行確認后派發(fā)漏洞處置工單給漏洞修復人員，漏洞修復人員對漏洞進行修復，修復完成后將工單流轉(zhuǎn)到漏洞后臺審核人員，后臺審核人員對漏洞進行復驗，將復驗不通過的漏洞再次派發(fā)給漏洞修復人員進行修復，而對于復驗通過的漏洞將關(guān)閉對應工單，并對漏洞信息進行歸檔。漏洞處置功能中提供了靈活的接入接口，可以與企事業(yè)單位已有的辦公自動化（Office Automation，0A）等平臺進行對接，實現(xiàn)漏洞的全過程閉環(huán)管理。

1.2.5 漏洞跟蹤

漏洞跟蹤功能的主要用戶是企業(yè)單位管理人員，對于上級監(jiān)管部門下發(fā)或關(guān)注的重大網(wǎng)絡安全漏洞，在漏洞處置工單派發(fā)的同時可以將漏洞信息抄送給分管領導[6]。分管領導可以隨時查看漏洞處置詳情、周期、狀態(tài)、歷史漏洞信息、相似漏洞信息等內(nèi)容，方便管理人員了解重大網(wǎng)絡安全漏洞的處置進度。

1.2.6 漏洞分析展示

對已歸檔和處置中的漏洞數(shù)據(jù)可以進行統(tǒng)計分析，并在大屏上對統(tǒng)計分析的結(jié)果進行展示，包括全網(wǎng)資產(chǎn)漏洞態(tài)勢、全網(wǎng)資產(chǎn)風險態(tài)勢、漏洞處置狀態(tài)統(tǒng)計、漏洞處置周期統(tǒng)計等[7]。一方面為內(nèi)外部網(wǎng)絡安全保障人員績效考核提供依據(jù)，另一方面為管理者制定和實施網(wǎng)絡安全管理制度的決策分析提供數(shù)據(jù)支撐。

2 漏洞情報庫

為了提高漏洞自動化掃描工具的漏洞掃描能力，減少漏洞的誤報和漏報率，平臺需要構(gòu)建比較完整的漏洞情報庫[8-10]。漏洞情報庫包含數(shù)據(jù)采集、數(shù)據(jù)匯聚及整理、漏洞信息庫、接口服務4個功能模塊。

2.1 數(shù)據(jù)采集

漏洞情報庫的數(shù)據(jù)來源主要包括國家信息安全漏洞共享平臺（China National Vulnerability Database，CNVD）、通用漏洞披露（Common Vulnerabilities and Exposures，CVE）、Exploit-db等第三方漏洞情報平臺以及國內(nèi)主流安全廠商微信公眾號、互聯(lián)網(wǎng)社團知識文庫、國家互聯(lián)網(wǎng)應急中心（National Internet Emergency Center，CNCERT）微信群等。對于第三方漏洞情報平臺的漏洞情報數(shù)據(jù)，主要通過爬蟲的方式采集漏洞情報數(shù)據(jù)；對于國內(nèi)主流安全廠商微信公眾號、互聯(lián)網(wǎng)社團知識文庫、CNCERT微信群等推送的漏洞情報數(shù)據(jù)，主要通過人工的方式進行收集。

2.2 數(shù)據(jù)匯聚及整理

數(shù)據(jù)匯聚及整理使用抽取、轉(zhuǎn)換、加載（Extract Transform Load，ETL）工具或人工方式對采集得到的原始漏洞情報數(shù)據(jù)進行處理，主要包括漏洞分類分級、漏洞與資產(chǎn)關(guān)聯(lián)關(guān)系梳理、熱點漏洞標識3個步驟。

2.2.1 漏洞分類分級

漏洞分類分級根據(jù)漏洞分類和評價信息標識出漏洞的利用類別及通用漏洞評分系統(tǒng)（Common Vulnerability Scoring System，CVSS）危險等級。漏洞分類實現(xiàn)漏洞類型字段信息的補充，漏洞類型主要包括HTTP參數(shù)污染、變量覆蓋、信息泄漏、目錄遍歷、登錄繞過、嵌入惡意代碼、拒絕服務、SQL注入以及任意文件下載等。漏洞分級對漏洞的評價等級進行判定，通常將漏洞等級分為低危、中危和高危3類。對于來自CVE的漏洞信息主要根據(jù)漏洞的CVSS 2.0評分進行等級評價，并與CNVD的漏洞評價等級信息進行對齊。

2.2.2 漏洞與資產(chǎn)關(guān)聯(lián)關(guān)系梳理

漏洞與資產(chǎn)關(guān)聯(lián)關(guān)系梳理實現(xiàn)漏洞所影響資產(chǎn)信息的補充，包括受影響資產(chǎn)名稱、資產(chǎn)分類、資產(chǎn)級別、CPE等，具體過程包括全量資產(chǎn)整理、資產(chǎn)分類、資產(chǎn)分級、漏洞與資產(chǎn)關(guān)聯(lián)以及CPE字段補充。全量資產(chǎn)整理根據(jù)CPE的官方字典，獲取命名準確的全量資產(chǎn)信息，作為資產(chǎn)基礎數(shù)據(jù)。資產(chǎn)分類參考白帽匯等網(wǎng)絡空間測繪平臺補充資產(chǎn)分類信息，資產(chǎn)分級根據(jù)各大漏洞預警、通告平臺的推送信息內(nèi)容以及資產(chǎn)在互聯(lián)網(wǎng)的分布情況，對資產(chǎn)進行分級，主要分為3級。其中，第一級為漏洞信息存在于漏洞庫中，但漏洞通告平臺未予以告警或漏洞通告平臺予以告警但在網(wǎng)絡空間測繪平臺中數(shù)量較少；第二級為漏洞信息在漏洞通告平臺予以告警，在網(wǎng)絡空間測繪平臺中數(shù)量適中或漏洞通告的相關(guān)資產(chǎn)屬于單機運行程序無法通過網(wǎng)絡空間測繪檢索數(shù)量；第三級為漏洞信息在漏洞通告平臺多次予以告警，且在網(wǎng)絡空間測繪平臺中數(shù)量較多。漏洞與資產(chǎn)關(guān)聯(lián)將資產(chǎn)信息、資產(chǎn)分類、資產(chǎn)分級信息與漏洞信息進行關(guān)聯(lián)，主要通過人工方式進行整理。CPE字段補充參照CPE V2.3的定義，根據(jù)已獲取的資產(chǎn)信息和漏洞信息，補充完善CPE信息。

2.2.3 關(guān)鍵漏洞標識

關(guān)鍵漏洞標識根據(jù)漏洞CVSS評分、關(guān)聯(lián)資產(chǎn)級別、熱點監(jiān)控數(shù)據(jù)等因素對關(guān)鍵漏洞進行篩選、判定和標識。資產(chǎn)級別為二級或三級，漏洞評價等級為中級或高級，并且存在于當前熱點漏洞清單的漏洞被標識為關(guān)鍵漏洞。其中熱點漏洞清單來源為各漏洞通告/預警平臺，同一漏洞僅保留“時間最近”的熱點信息，根據(jù)“最后通告/預警”時間進行熱點漏洞清單的更新，保留“最后通告/預警”時間在半年內(nèi)的熱點漏洞信息，超過半年的熱點漏洞信息，對其熱點狀態(tài)進行消除。

2.3 漏洞信息庫

對原始漏洞情報數(shù)據(jù)進行匯聚和整理的基礎上構(gòu)建漏洞信息庫，其中包括漏洞原始信息庫、熱點漏洞信息庫、漏洞庫、漏洞規(guī)則庫。漏洞原始信息庫存放來自第三方平臺的漏洞情報數(shù)據(jù)，熱點漏洞信息庫存放來自主流安全廠商的日報、互聯(lián)網(wǎng)社團知識文庫、CNCERT微信群的熱點漏洞信息。對漏洞原始信息和熱點漏洞信息的漏洞數(shù)據(jù)進行匯聚整理，形成漏洞庫，主要包括漏洞編號、漏洞名稱、CVE編號、CNVD編號、CNNVD編號、漏洞發(fā)布時間、漏洞類型、漏洞級別、CPE、受影響資產(chǎn)名稱、參考鏈接、漏洞描述、漏洞解決方案、補丁名稱、補丁描述、CVSS評分、更新時間以及CVSS BASE指標等字段。漏洞規(guī)則庫主要存放巡檢、應急響應等場景下以及重點熱點漏洞的檢測規(guī)則信息，漏洞規(guī)則信息可以對漏洞進行檢測。

2.4 接口服務

為了能夠?qū)⒙┒辞閳笮畔⒓皶r通知第三方平臺，開發(fā)接口服務軟件，主要包括漏洞信息和漏洞規(guī)則信息的更新維護接口。針對新增、變更和刪除的漏洞信息和漏洞規(guī)則信息，每天定時推送給第三方平臺，實現(xiàn)漏洞情報和漏洞規(guī)則信息的同步。

3 結(jié) 論

本文針對企事業(yè)單位在網(wǎng)絡安全漏洞管理方面存在的問題和需求進行了分析，在此基礎上討論了網(wǎng)絡安全漏洞管理方案，通過漏洞發(fā)現(xiàn)、漏洞研判、漏洞告警、漏洞處置、漏洞跟蹤和漏洞分析展示等功能實現(xiàn)網(wǎng)絡安全漏洞的全生命周期管理。在漏洞管理的基礎上，提出了漏洞情報庫的建設思路。其中漏洞研判和漏洞審核工作目前通過半自動化的方式實現(xiàn)，部分工作仍然需要人工輔助，后期可以考慮通過全自動化方式，進一步提高漏洞的處置效率。