网络安全漏洞管理与漏洞情报库建设方案探讨及研究

田 闯

（中通服咨询设计研究院有限公司，江苏 南京 210019）

0 引 言

近年来，随着各种网络安全漏洞的曝光和被利用，国家与企业蒙受了重大的经济损失，美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）发布了2001—2021年20年间漏洞数据统计情况，表明漏洞数量呈现逐年递增的态势，且高中危漏洞占比越来越高，仅2021年一年就报告网络安全漏洞18 378个。由网络安全漏洞引发的安全事件频发，及时发现并修复漏洞是各企事业单位面临的网络安全关键基础性工作，也是通过政府和主管部门对网络安全责任检查考核的重要抓手。

1 漏洞全生命周期管理

1.1 需求分析

1.1.1 漏洞发现

及时发现网络安全漏洞是对其进行有效管理的首要环节。企事业单位通常会在数据中心机房部署漏洞扫描工具，通过定期扫描发现漏洞，然而漏洞扫描工具存在一定的弊端。首先，漏洞扫描工具基于漏洞扫描规则进行漏洞发现，如果漏洞规则库更新不及时，则会存在一定的误报和漏报情况，无法发现最新的安全漏洞。其次，漏洞扫描工具的频繁扫描对网络和应用的性能也会有一定的影响。

1.1.2 漏洞审核

为了克服漏洞扫描工具存在的漏洞误报情况，需要对漏洞进行审核，如去除误报的漏洞、对相同或者相似的漏洞进行去重或合并等。由于漏洞审核工作专业性较强，需要专业的网络安全人员完成，成本较高。此外对于突然爆发的大量漏洞，纯人工方式的审核效率较低，严重影响漏洞处置效率。

1.1.3 漏洞修复

通过漏洞发现和审核确定的漏洞需要及时进行修复，如何提高漏洞修复的效率、缩短漏洞修复时间是漏洞修复环节需要解决的问题。企事业单位漏洞修复的流程各不相同，需要构建一套专属于企事业单位的漏洞修复流程体系，可以依托单位内部的网络安全保障人员，也可以依托第三方网络安全服务团队，通过标准化的流程完成漏洞修复工作。漏洞修复后还有可能引入新的安全漏洞，需要重复上述漏洞发现和漏洞审核的步骤，确保在安全漏洞修复过程中没有引入新的安全漏洞。

1.1.4 漏洞归档与统计分析

漏洞归档实现已完成修复漏洞信息的归档管理，归档的内容包括漏洞基础信息、处置过程信息等。为了便于归档漏洞信息的查阅，创建以日期命名的漏洞档案文件夹，根据漏洞发现的日期存放到对应的漏洞档案文件夹中，漏洞档案文件使用漏洞名称、发现时间和处置完成时间的组合命名。

漏洞统计分析功能根据漏洞的类型、等级、所影响的资产、所属的业务部门以及处置时间等信息进行统计分析，面向企业内部不同工作角色人员构建专属的网络安全漏洞态势视图，为企业安全保障团队人员的绩效考核提供数据支持，为企业中高层管理人员对网络安全保障措施的制定和优化提供决策支撑。

1.2 建设方案

网络安全漏洞全生命周期管理功能框图如图1所示，主要分为漏洞发现、漏洞研判、漏洞告警、漏洞处置、漏洞跟踪以及漏洞分析展示6个模块[1,2]。

图1 功能框图

1.2.1 漏洞发现

漏洞发现是漏洞管理的首要环节，主要目的是获取较全面的网络安全漏洞信息。为了达到这个目的，通常将人工渗透测试和自动化漏洞扫描工具相结合进行安全漏洞的扫描。首先通过有经验的网络安全工程师对资产进行人工渗透测试，形成人工渗透测试漏洞清单，其次使用自动化漏洞扫描工具进行扫描，形成自动化渗透测试漏洞清单，最后以人工渗透测试漏洞清单和自动化渗透测试漏洞清单相结合形成原始的网络安全漏洞信息。

1.2.2 漏洞研判

漏洞研判是在发现漏洞的基础上对漏洞信息进行处理和审核，从而确保漏洞信息的真实性，包括漏洞信息预处理、漏洞去重、漏洞信息补齐、漏洞有效性审核、漏洞分类定级以及漏洞资产关联等功能[3,4]。

漏洞信息预处理对漏洞信息中的重要字段进行检查，确保漏洞数据的可读性，剔除无法通过字段校验的漏洞信息。漏洞去重指的是对相同或相似漏洞数据进行去重或合并，防止出现漏洞信息重复的情况。漏洞信息补齐对漏洞信息中缺失的字段进行补齐，主要包括漏洞基础信息和漏洞业务信息，其中漏洞基础信息包括漏洞修复建议、漏洞类别、漏洞等级、漏洞影响等，漏洞业务信息包括资产的网络地址、类型、所属业务系统、所属部门以及地理位置等。漏洞有效性审核对漏洞的真实性进行判断，确定漏洞是否可以复现。漏洞资产关联通过在漏洞信息中补充资产通用平台枚举（Common Platform Enumeration，CPE）信息，构建漏洞与资产的关联关系，为资产的漏洞预警提供支持。

1.2.3 漏洞告警

通过漏洞研判输出漏洞清单，当漏洞信息满足告警规则的条件时进行告警通知。通常根据漏洞的等级进行判断，对于中高危安全漏洞，实时进行告警通知。告警通知方式包括平台页面弹窗、短信、邮件等，也可以通过对接微信等第三方工具进行漏洞告警信息的推送。

1.2.4 漏洞处置

漏洞处置功能的主要用户是企业内外部网络安全保障团队，通过引入流程引擎，结合企事业单位自身的网络安全管理制度构建专属的漏洞处置流程体系，包括漏洞确认、漏洞修复、漏洞复验、漏洞关闭和漏洞归档等环节[5]。漏洞处置功能的用户分为安全服务台、漏洞后台审核、漏洞修复3种角色。安全服务台接收安全漏洞信息并派发给漏洞后台审核人员，后台审核人员进一步根据漏洞等级、漏洞影响以及对资产的影响程度对漏洞信息进行确认后派发漏洞处置工单给漏洞修复人员，漏洞修复人员对漏洞进行修复，修复完成后将工单流转到漏洞后台审核人员，后台审核人员对漏洞进行复验，将复验不通过的漏洞再次派发给漏洞修复人员进行修复，而对于复验通过的漏洞将关闭对应工单，并对漏洞信息进行归档。漏洞处置功能中提供了灵活的接入接口，可以与企事业单位已有的办公自动化（Office Automation，0A）等平台进行对接，实现漏洞的全过程闭环管理。

1.2.5 漏洞跟踪

漏洞跟踪功能的主要用户是企业单位管理人员，对于上级监管部门下发或关注的重大网络安全漏洞，在漏洞处置工单派发的同时可以将漏洞信息抄送给分管领导[6]。分管领导可以随时查看漏洞处置详情、周期、状态、历史漏洞信息、相似漏洞信息等内容，方便管理人员了解重大网络安全漏洞的处置进度。

1.2.6 漏洞分析展示

对已归档和处置中的漏洞数据可以进行统计分析，并在大屏上对统计分析的结果进行展示，包括全网资产漏洞态势、全网资产风险态势、漏洞处置状态统计、漏洞处置周期统计等[7]。一方面为内外部网络安全保障人员绩效考核提供依据，另一方面为管理者制定和实施网络安全管理制度的决策分析提供数据支撑。

2 漏洞情报库

为了提高漏洞自动化扫描工具的漏洞扫描能力，减少漏洞的误报和漏报率，平台需要构建比较完整的漏洞情报库[8-10]。漏洞情报库包含数据采集、数据汇聚及整理、漏洞信息库、接口服务4个功能模块。

2.1 数据采集

漏洞情报库的数据来源主要包括国家信息安全漏洞共享平台（China National Vulnerability Database，CNVD）、通用漏洞披露（Common Vulnerabilities and Exposures，CVE）、Exploit-db等第三方漏洞情报平台以及国内主流安全厂商微信公众号、互联网社团知识文库、国家互联网应急中心（National Internet Emergency Center，CNCERT）微信群等。对于第三方漏洞情报平台的漏洞情报数据，主要通过爬虫的方式采集漏洞情报数据；对于国内主流安全厂商微信公众号、互联网社团知识文库、CNCERT微信群等推送的漏洞情报数据，主要通过人工的方式进行收集。

2.2 数据汇聚及整理

数据汇聚及整理使用抽取、转换、加载（Extract Transform Load，ETL）工具或人工方式对采集得到的原始漏洞情报数据进行处理，主要包括漏洞分类分级、漏洞与资产关联关系梳理、热点漏洞标识3个步骤。

2.2.1 漏洞分类分级

漏洞分类分级根据漏洞分类和评价信息标识出漏洞的利用类别及通用漏洞评分系统（Common Vulnerability Scoring System，CVSS）危险等级。漏洞分类实现漏洞类型字段信息的补充，漏洞类型主要包括HTTP参数污染、变量覆盖、信息泄漏、目录遍历、登录绕过、嵌入恶意代码、拒绝服务、SQL注入以及任意文件下载等。漏洞分级对漏洞的评价等级进行判定，通常将漏洞等级分为低危、中危和高危3类。对于来自CVE的漏洞信息主要根据漏洞的CVSS 2.0评分进行等级评价，并与CNVD的漏洞评价等级信息进行对齐。

2.2.2 漏洞与资产关联关系梳理

漏洞与资产关联关系梳理实现漏洞所影响资产信息的补充，包括受影响资产名称、资产分类、资产级别、CPE等，具体过程包括全量资产整理、资产分类、资产分级、漏洞与资产关联以及CPE字段补充。全量资产整理根据CPE的官方字典，获取命名准确的全量资产信息，作为资产基础数据。资产分类参考白帽汇等网络空间测绘平台补充资产分类信息，资产分级根据各大漏洞预警、通告平台的推送信息内容以及资产在互联网的分布情况，对资产进行分级，主要分为3级。其中，第一级为漏洞信息存在于漏洞库中，但漏洞通告平台未予以告警或漏洞通告平台予以告警但在网络空间测绘平台中数量较少；第二级为漏洞信息在漏洞通告平台予以告警，在网络空间测绘平台中数量适中或漏洞通告的相关资产属于单机运行程序无法通过网络空间测绘检索数量；第三级为漏洞信息在漏洞通告平台多次予以告警，且在网络空间测绘平台中数量较多。漏洞与资产关联将资产信息、资产分类、资产分级信息与漏洞信息进行关联，主要通过人工方式进行整理。CPE字段补充参照CPE V2.3的定义，根据已获取的资产信息和漏洞信息，补充完善CPE信息。

2.2.3 关键漏洞标识

关键漏洞标识根据漏洞CVSS评分、关联资产级别、热点监控数据等因素对关键漏洞进行筛选、判定和标识。资产级别为二级或三级，漏洞评价等级为中级或高级，并且存在于当前热点漏洞清单的漏洞被标识为关键漏洞。其中热点漏洞清单来源为各漏洞通告/预警平台，同一漏洞仅保留“时间最近”的热点信息，根据“最后通告/预警”时间进行热点漏洞清单的更新，保留“最后通告/预警”时间在半年内的热点漏洞信息，超过半年的热点漏洞信息，对其热点状态进行消除。

2.3 漏洞信息库

对原始漏洞情报数据进行汇聚和整理的基础上构建漏洞信息库，其中包括漏洞原始信息库、热点漏洞信息库、漏洞库、漏洞规则库。漏洞原始信息库存放来自第三方平台的漏洞情报数据，热点漏洞信息库存放来自主流安全厂商的日报、互联网社团知识文库、CNCERT微信群的热点漏洞信息。对漏洞原始信息和热点漏洞信息的漏洞数据进行汇聚整理，形成漏洞库，主要包括漏洞编号、漏洞名称、CVE编号、CNVD编号、CNNVD编号、漏洞发布时间、漏洞类型、漏洞级别、CPE、受影响资产名称、参考链接、漏洞描述、漏洞解决方案、补丁名称、补丁描述、CVSS评分、更新时间以及CVSS BASE指标等字段。漏洞规则库主要存放巡检、应急响应等场景下以及重点热点漏洞的检测规则信息，漏洞规则信息可以对漏洞进行检测。

2.4 接口服务

为了能够将漏洞情报信息及时通知第三方平台，开发接口服务软件，主要包括漏洞信息和漏洞规则信息的更新维护接口。针对新增、变更和删除的漏洞信息和漏洞规则信息，每天定时推送给第三方平台，实现漏洞情报和漏洞规则信息的同步。

3 结 论

本文针对企事业单位在网络安全漏洞管理方面存在的问题和需求进行了分析，在此基础上讨论了网络安全漏洞管理方案，通过漏洞发现、漏洞研判、漏洞告警、漏洞处置、漏洞跟踪和漏洞分析展示等功能实现网络安全漏洞的全生命周期管理。在漏洞管理的基础上，提出了漏洞情报库的建设思路。其中漏洞研判和漏洞审核工作目前通过半自动化的方式实现，部分工作仍然需要人工辅助，后期可以考虑通过全自动化方式，进一步提高漏洞的处置效率。