统一漏洞管理平台研究设计

刘 畅

(中国邮政储蓄银行信用卡中心 北京 100040)

随着互联网技术的发展，人们从各方面享受到信息化带来的便利.与此同时，网络、计算机系统、服务器、应用软件等面临的安全问题也日益严峻.其中，安全漏洞[1]作为网络安全中最为严重的威胁之一,其存在大大增加了硬件设备或应用系统的安全隐患，使其更容易受到网络攻击的威胁.因此，人们越来越重视安全漏洞的管理[2].与此同时，国家市场监督管理总局和国家标准化管理委员会更新发布了《信息安全技术 网络安全漏洞管理规范》(GB/T 30276—2020)[3]，对漏洞的全生命周期管理提出了更高的要求.

传统的漏洞管理流程是首先通过扫描器扫描或渗透测试的方式发现漏洞，定位漏洞所在设备或对应负责人；然后邮件或电话通知其进行整改及反馈；最后跟进整改情况.整个过程大都通过人工执行，主要存在以下4个问题：

1) 漏洞信息来源分散.部分企业会采购多种扫描器或使用不同扫描软件进行漏洞检测，漏洞来源分散.同时部分企业未关注到官方机构发布的权威漏洞，即使有所关注，由于不同机构发布漏洞的时间和方式不同，要想获得所有的漏洞信息也需要消耗较长的时间.

2) 漏洞信息无法统一呈现.不同扫描设备出具的扫描报告以及不同扫描软件得出的扫描结果形式不一，发布漏洞的不同机构网站提供的漏洞基础信息也不尽相同，各安全厂商提供的漏洞管理工具也无法兼容.即使在同一设备或者同一网站，不同板块发布或展示漏洞的方法也不同.缺少漏洞的统一分析和报表化呈现.

3) 缺少统一的反馈沟通机制.漏洞通过各种渠道发布之后，无法保证信息安全人员、研发及运维人员及时获取相关的漏洞信息，在获取漏洞信息之后，也无法保证及时对所有漏洞的处置情况进行跟进.漏洞在不同人员之间的流转不仅影响了漏洞的处置效率，也带来了新的安全隐患.

4) 漏洞管理效率较低.随着企业的硬件设备或应用系统的数量逐渐增加，漏洞扫描、人工定位及确认的时间都会大大加长，此时采取人工的方式进行漏洞的处置不仅效率较低，容易出错，也容易错过漏洞整改的最佳时间，带来延误和损失的风险.

为了缓解上述问题，及时、全面、准确地处置安全漏洞，满足监管合规要求，降低漏洞带来的安全风险，本文提出一种漏洞全生命周期[4]管理机制.通过建立统一漏洞管理平台，规范漏洞的检测及处置工作，使安全人员对漏洞能够快速发现、定位、响应和处置.

1 平台架构

统一漏洞管理平台采用松耦合的分布式技术架构，所使用的服务器及数据库均采用主备模式进行部署，以保证平台和数据的高可用性.平台包含基础服务管理模块、漏洞来源管理模块、漏洞数据管理模块、漏洞分析管理模块、漏洞处置管理模块以及漏洞展示预警模块这6大功能模块.各模块协同通过通用的开发语言和标准的服务接口与其他基础服务平台系统或网络安全工具协同联动，从而在统一平台上实现了漏洞检测、数据管理、资产匹配、定位跟踪、整改复测、总结分析等功能.使漏洞的全生命周期管理工作形成闭环[5]，解决了传统的漏洞处置及解决方案中人工处置、效率低下等问题.

统一漏洞管理平台应用架构如图1所示.

2 功能模块设计与实现

2.1 基础服务管理模块

基础服务管理模块包含管理服务台和API服务接口2大部分.其中管理服务台用于平台的系统配置，进行日志管理、配置用户及访问权限等.API服务接口管理平台用于实现与其他基础平台或系统之间的接口调用，包括配置管理数据库(CMDB)、IT服务管理平台(ITSM)、邮件服务器、短信服务平台、漏洞扫描器、漏洞扫描软件以及大数据平台[6]等.其中大数据平台支持流处理、实时分析等多种数据分析和处理功能，数据信息通过KAFKA消息队列订阅[7]的方式提供给其他模块.

2.2 漏洞来源管理模块

漏洞的来源主要有漏洞扫描设备或漏洞扫描软件扫描发现的漏洞、通过人工渗透测试或其他安全测试发现的漏洞，以及由官方或权威机构(如CNVD[8]、CNNVD[9]、补天[10]等)整理并发布的漏洞预警.利用漏洞来源管理模块可以统一管理以上3个来源的漏洞.

2.2.1 扫描任务管理

通过扫描任务管理可以控制扫描任务的执行并收集扫描结果.该组件可通过标准的API二次开发接口适配主流安全厂商的漏洞扫描引擎，也可将开源的漏洞扫描软件嵌入其中.扫描内容可覆盖主机漏洞扫描和应用漏洞扫描.

为了支撑多种漏洞扫描需求，扫描任务分为周期性自动化扫描任务、临时性扫描任务和复测任务.周期性自动化扫描任务适用于常规漏洞管理工作场景，对已知资产定期执行漏洞扫描.临时性扫描任务适用于对新增资产、新上线系统等进行安全检测的临时性扫描需求.复测任务适用于对存在漏洞的资产进行复测和整改确认.

2.2.2 官方漏洞管理

官方漏洞管理用于收集、整理官方或权威机构的漏洞预警.该组件利用网络爬虫技术[11]、网页处理技术、检索排序技术等从多个不同的安全漏洞发布平台抓取不同类型的安全漏洞信息.同时该组件也支持自主按模板上传其他特定来源的漏洞信息.

2.2.3 渗透测试管理

渗透测试管理用于收集渗透测试发现的漏洞信息.该组件支持自主按模板上传经渗透测试发现的漏洞信息.

2.2.4 弱口令管理

针对口令[12]的扫描及处置需求专门设立了弱口令管理组件.该组件功能与扫描任务管理组件类似，同时还支持账号口令模板的更新和弱口令的核验功能.依据不同的生产情况和工作场景添加新的账号口令模板，能够更好地贴合实际情况；通过弱口令核验功能可调出secureCRT,Navicat,FileZilla等常用软件，并自动代填检测出的账号密码以验证扫描结果的准确性，有效降低误报.

2.3 漏洞数据管理模块

漏洞数据管理模块对漏洞来源管理模块收集的所有数据进行统一接收和规范化处理，经过合并去重等操作后将所有结果存储在统一漏洞管理平台的统一漏洞库中，用以支撑后续的漏洞查询、分析、管理等功能.定义一个漏洞的基础信息包含漏洞CVE编号[13]、公开日期、危害级别、影响产品、漏洞描述、漏洞类型、参考链接、漏洞解决方案、厂商补丁等.

2.3.1 统一漏洞库

统一漏洞库[14]由5部分组成，除了由漏洞来源管理模块中各组件收集到的漏洞所形成的漏扫结果库、官方漏洞库、渗透测试库和弱口令库之外，还设有一个漏洞知识库.漏洞知识库作为统一的漏洞数据标准化平台存储基础漏洞数据，通过不断收集爬取互联网已知的各种漏洞信息，用以支撑不同漏扫结果的合并去重和格式标准化，便于对漏洞信息进行管理和维护.

2.3.2 白名单管理

白名单管理组件可实现对特殊情况的漏洞进行白名单标记，标记后的漏洞将在漏扫任务中被屏蔽，且不参与漏洞数据的统计分析.加入白名单包括但不限于以下4种情况：1)经验证后漏洞为扫描器误报;2)经评估后漏洞风险可控无需修复;3)漏洞暂无修复方式或因多种原因无法修复;4)漏洞扫描等漏洞管理操作对资产可用性造成较大威胁，不加入常规的漏洞管理流程.

2.3.3 检索查询管理

检索查询管理支持漏洞、时间、资产、负责人、扫描任务等不同维度的检索查询功能.检索维度设置标签功能，可通过增加控制标签达到精确检索.

2.4 漏洞分析管理模块

漏洞分析管理模块提供与其他模块的关联分析功能，可关联配置管理数据库进行资产匹配和相关信息的核查；可关联大数据平台，利用其流处理、分析、存储等功能进行实时分析和处置；也可依托大数据技术进行数据分析和数据挖掘，从而进行资产画像的刻画和漏洞的预测.

2.4.1 漏洞定级管理

漏洞定级管理[15]组件能够对来自漏洞来源管理模块的漏洞进行分类[16]和严重程度的定级[17].漏洞定级依据漏洞类型、相关程度、敏感级别、漏洞关键字、资产情况、所属系统等内容，按照权重评分划分成高危、中危、低危，或按实际需求划分成更多等级，从而实现安全漏洞的差异化处置和精细化管理[18].

2.4.2 任务对比分析

利用大数据分析技术将多次扫描任务或不同时段的漏洞情况进行对比分析，从而支持漏洞展示预警模块的统计分析功能.

2.4.3 资产匹配管理

资产匹配管理组件关联配置管理数据库，为存在漏洞的资产匹配所在系统、所属业务、配置信息、关联关系、负责人员等详细信息.同时本组件可联动扫描任务管理组件设置如下2个场景：一是针对相对固定的资产触发周期性自动化扫描；二是资产发生变化时，对变化资产进行漏洞状态确认并触发临时性扫描任务.

2.5 漏洞处置管理模块

漏洞处置管理模块可进行漏洞通知管理、状态跟踪等相关工作.漏洞通知管理组件关联邮箱服务器或短信平台，可根据资产匹配管理所得到的漏洞负责人信息有针对性地通知负责人进行漏洞预警或漏洞整改.漏洞状态跟踪组件可为每一条漏洞数据打上状态标签，对漏洞是否加固完成的状态及时进行更新，以完成漏洞全生命周期的闭环管理，并支持漏洞数据的分析统计功能.在漏洞负责人确认漏洞整改完成后，可通过本组件批量下发扫描任务到漏洞来源管理模块，进行漏洞扫描复测确认.同时本组件也可关联第三方的Workflow[19]管理软件实现漏洞的处置状态跟踪.

2.6 漏洞展示预警模块

可利用本模块发布漏洞预警，查看统计报表和分析视图，同时可选择所需信息依照自定义模板建立分析场景并定制扫描报告.漏洞预警便于信息安全管理人员或资产负责人员查看漏洞信息、资产画像、漏洞处置及整改等相关统计分析情况.本模块可提供多种统计报表和分析视图，用于展示漏洞分析管理模块的高级分析结果，基于数据统计的漏洞风险管理，从不同维度整体展现企业各业务系统、各部门的安全漏洞态势，形成安全漏洞管理的整体视图.

统计分析场景可包括：一是全局漏洞分布态势(如漏洞总量、不同资产的漏洞分布、不同业务系统的漏洞分布、不同风险等级的漏洞分布)；二是安全漏洞的变化发展趋势(如显示不同类型的漏洞在某一时间段的数量变化曲线，以直观了解业务系统的漏洞变化趋势)；三是漏洞加固成果对比分析(体现各业务系统、各部门在漏洞处置工作中的进度和成效).

3 平台处置流程实践

下面以主动触发的漏洞扫描及处置为例，利用统一漏洞管理平台进行漏洞管理，具体流程如图2所示.

步骤1. 用户登录统一漏洞管理平台.

步骤2. 设置白名单.利用漏洞数据管理模块将无需进行漏洞扫描的特殊情况的资产进行加白处理.

步骤3. 发起漏洞扫描任务.首先调用漏洞来源管理模块的扫描任务管理组件，用户可自主设置扫描资产的IP或域名、扫描时间、扫描并发数、扫描优先级、扫描服务类型、扫描器类型等内容；然后调用基础服务管理模块中的漏洞扫描器进行漏洞扫描.

步骤4. 扫描结果入库.扫描完成后，扫描器自动将扫描结果推送至漏洞数据管理模块，经格式化处理后存入统一漏洞库.

步骤5. 查看漏洞情况.用户可从不同维度查看漏洞情况，如查询当次的扫描结果、对比本月和上月的漏洞数据变化情况、为新增漏洞找到负责人、观察漏洞分布比例和属性、个性化定制漏洞报告等.

步骤6. 通知整改并跟踪.利用漏洞处置管理模块，向一线员工、值班人员、资产负责人等相关人员发布漏洞整改通报或扫描报告，并及时跟踪相关人员的反馈.同时平台可通过定时任务的方式，定期对扫描发现的漏洞进行复测，继续跟踪未整改完成的漏洞直到漏洞处置完成，形成闭环.

4 平台成果创新价值

统一漏洞管理平台提供了一套漏洞全生命周期管理的解决方案，可完成有关安全漏洞事前、事中、事后的全部检测和处理流程.通过漏洞扫描器、配置管理数据库、大数据平台等之间的相互联动，利用单点登录功能，实现统一平台的集中调度管控.该平台从以下4个方面快速、全面、高效地解决安全漏洞问题：

1) 漏洞信息全面获取.利用漏洞来源管理模块全面收集来自异构扫描器、扫描软件、渗透测试及官方通报的漏洞信息，同时利用漏洞数据管理模块对数据信息进行规范化处理，从而保证及时、快速、准确、全面地获取所有漏洞信息，方便后期对漏洞进一步的处理和展示.

2) 漏洞统一展示预警.汇集漏洞来源管理模块和漏洞数据管理模块收集的漏洞基础数据信息，以及漏洞分析管理模块和漏洞处置管理模块处理的统计结果.利用漏洞展示预警模块形成漏洞信息的统一呈现，提供丰富的统计报表和分析视图，用于全面掌握现状和更加合理的决策.

3) 反馈沟通形成闭环.利用漏洞处置管理模块全流程跟踪漏洞的处理及反馈情况.方便安全、研发及运维人员及时获取、处置及反馈相关信息，形成良性的反馈沟通机制.确保漏洞的闭环管理，大大降低漏洞管理流程中由于某环节疏漏所带来的安全风险和隐患.

4) 漏洞管理效率大幅提升.通过自动化的管理方式，在统一平台上实现的漏洞全生命周期管理相较于传统的人工处置，不仅提高了漏洞发布的准确性，也提高了漏洞处置的及时性，从而大大提升了漏洞管理效率.同时，平台也可通过资源扩容来支持设备增加和系统扩建.

5 结束语

统一漏洞管理平台为漏洞管理提供了一种参考方案，组织或企业可依据自身规模、所具有的基础组件等实际情况选择整个解决方案中的部分模块或功能进行搭建.基于方便的API接口，可在后期建设过程中更加便捷地进行补充和完善，以优化漏洞管理流程，实现高效、自动化的漏洞管理机制.同时平台还可整体接入态势感知或安全管理系统，以实现安全的整体感知与统一管理.后续工作可遵循PDCA原则[20]，对管理平台进行持续的优化和改进.