基于生命周期的新型漏洞管理平台设计

◆倪浩杰

（江苏省国际信托有限责任公司 江苏 210000）

1 引言

随着互联网在社会各领域的广泛应用，企事业单位及各经济组织的网络问题受到高度关注。网络安全风险评估就是从风险管理角度，识别组织内部信息资产，全面地分析资产脆弱性，系统排查面临的威胁，综合评估组织的网络安全风险，为最大限度地保障信息安全提供科学依据。漏洞扫描器就是风险评估的重要工具。

2 漏洞扫描的意义

漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定目标的脆弱性进行检测，发现可利用漏洞的一种安全检测设备。漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫等不同种类。网络漏洞扫描器可以根据不断完善的漏洞资料库，检测分析组织中工作站、服务器、数据库、防火墙等的漏洞，提出漏洞解决方案和修复建议，使得网络安全员能及时修复安全漏洞，在黑客攻击前进行防范，做到防患于未然。

3 漏洞扫描器存在的问题

当前市场上的漏洞扫描器，按照预先扫描任务，通过主机扫描、端口扫描、指纹库识别等技术手段，可有效发现组织内部漏洞，但它也存在不少问题。风险评估要综合资产、脆弱性和威胁三因素，漏洞扫描器一方面仅仅机械地执行用户设置的单项扫描任务，它没有组织整体的资产视角，割裂了资产、脆弱性和威胁三者之间的联系，为此不能评价组织面临的整体风险；二是漏洞扫描器漏洞发现功能强大，漏洞扫描效果较好，一般不具备漏洞处置功能。为此漏洞扫描器适合安全测评、安全咨询公司使用。企事业单位关心漏洞的发现，更关心漏洞消除和修复，以及漏洞处置过程的记录与留痕，以备后期信息审计。为此，漏洞扫描器不能满足现今企事业单位的需求，一种新型的漏洞管理工具呼之欲出。

4 新型漏洞管理平台功能与架构

漏洞管理按照生命周期，分为漏洞发现、漏洞处置、漏洞消除三个阶段。漏洞发现严重依赖清晰的资产清单，为了更有效地预警组织网络安全风险，资产漏洞风险实时展示也显得尤为重要，因此基于生命周期的新型漏洞管理平台就包括资产识别、漏洞发现、漏洞处置、漏洞消除和资产风险可视化五大模块，系统框图见图1。

图1 基于生命周期的新型漏洞管理平台系统框图

5 新型漏洞管理平台主要功能模块

5.1 资产识别模块

资产作为衍生出脆弱性的母体、威胁的作用对象，使得资产识别成为风险评估工作的重要环节。资产识别模块采用扫描技术发现资产，参考BS7799 和GB/20984 等标准，对识别资产进行分类，结合组织实际按业务类型、使用部门、等级划分、设备种类等要素标识资产，形成组织资产清单。

5.2 漏洞发现模块

组织资产导入漏洞发现模块，利用主机、端口扫描等扫描技术发现组织内部漏洞。为了降低该模块的误报率，引入漏洞验证插件，筛选出真实漏洞，形成漏洞报告，发送漏洞处置模块，以待进一步处理（图2）。

5.3 漏洞处置模块

漏洞处置模块是新型漏洞管理平台的核心，也是当前市场上漏洞扫描器所没有的功能模块。有部分漏洞管理平台有漏洞处置模块，但大部分仅作分发和验证，功能相对简单。漏洞处置模块工作流程有接受漏洞报告、漏洞验证、漏洞评估、漏洞修复方案制定、漏洞修复方案测试和漏洞修复方案部署6 个环节。

图2 漏洞发现模块工作流程

5.3.1 接受漏洞报告

接受漏洞报告是漏洞处置工作的流程起点。

5.3.2 漏洞验证

该模块的漏洞验证功能有别于漏洞发现模块中的漏洞验证。后者侧重于漏洞扫描阶段的漏洞误报消除，前者侧重于开发、配置等层面，即漏洞是否存在、漏洞可否复现以及漏洞利用的难易程度等，从而为漏洞评估提供依据。

5.3.3 漏洞评估

漏洞评估根据资产重要性、资产暴露情况、已有保护措施、漏洞评级、漏洞能否修复，结合实际业务需要、修复时间、消除成本等因素，制定漏洞修复清单和优先级排序表。对于不能修复的漏洞，做好补救措施，接受风险。对于不能修复的漏洞，不予处置，忽略风险。

5.3.4 漏洞修复方案制定

业务系统负责人根据漏洞报告，确定漏洞层面，分发漏洞处理人。若漏洞是由代码问题产生，分发给开发人员制定漏洞修复方案。若漏洞是属于配置问题，直接分发给运维人员制定漏洞修复方案。

5.3.5 漏洞修复方案测试

运维人员按照漏洞修复方案测试漏洞修复方案的有效性。

5.3.6 漏洞修复方案部署

漏洞修复方案测试验证后，由运维人员部署到生产环境（图3）。

图3 漏洞处置模块工作流程

5.4 漏洞消除模块

漏洞处理模块处理结束后，流转到漏洞消除模块。由网络安全管理员，对漏洞进行复检，检查漏洞修复情况。确认漏洞修复后，记录漏洞处置要素，最后消除漏洞，关闭流程（图4）。

图4 漏洞消除模块工作流程

5.5 资产风险可视化模块

资产风险可视化模块，将采集资产、漏洞发现、漏洞处置和漏洞消除等数据，通过算法加工计算，直观在展示组织资产风险，实时投射在监控大屏上，实现风险管理的可视化。