叶明达 黄智 张寒之

摘 要：随着互联网发展，企业信息资产数量不断扩张，安全漏洞数量不断增多，由于补丁升级、漏洞修复等操作具备较强的专业性及业务相关性，因此企业安全漏洞管理也面临着诸多困难，比如漏洞扫描产品难以支撑管理要求；运维团队人员缺失且安全知识不足。漏洞管理需结合漏洞风险程度、漏洞利用性质等，同时安全漏洞管理离不开实际生产环境，需分步治理，长期运营。

关键词：信息安全；漏洞管理；系统漏洞；主机漏洞

中图分类号：TP393.08 文献标识码：A

1 引言

近10年来互联网大发展，正逐渐改变人们的生活娱乐方式，同时推动了生产系统的更新换代和生产方式的变革。然而，生产力大大提高的同时，网络的脆弱性也将生产系统暴露给别有用心者，甚至导致灾难性的破坏，各个互联网公司的应用也越来越多、安全域不断调整、设备数量种类不断增加、业务逻辑越来越复杂。与此同时，安全漏洞也层出不穷，随时威胁着系统、数据、业务的安全，安全漏洞的研究与管理势在必行。

信息安全领域涵盖IT行业多个细分领域，对信息安全运维、管理工作者有着较高的技术、管理要求。因此，研究企业安全漏洞管理方法，搭建标准统一的漏洞管理系统，对于提高各厂商产品安全性、提升安全管理效率、降低安全管理门槛具有重要意义。

2 安全漏洞的定义

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统，使受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。常见的安全漏洞有几种。

（1）代码注入——包括SQL注入在内的广义攻击，它取决于插入代码并由应用程序执行。

（2）会话固定——这是一种会话攻击，通过该漏洞攻击者可以劫持一个有效的用户会话。会话固定攻击可以在受害者的浏览器上修改一个已经建立好的会话，因此在用户登录前可以进行恶意攻击。

（3）路径访问，或者“目录访问”——旨在访问储存在Web根文件外的文件或者目录。

（4）弱密码，字符少、数字长度短以及缺少特殊符号——这种密码相对容易破解[3]。

3 企业安全漏洞管理面临的困难

3.1 漏扫产品难以支撑管理要求

其实很多企业、组织混淆了漏洞管理工作和漏洞评估产品的概念，认为买了漏洞扫描产品能解决所有问题。企业、组织内部的漏洞管理要求，是围绕着如何更好的使用漏洞扫描产品而制定。

但在国际著名咨询机构Gartner的观点中，无论如何“漏洞管理”是不可能通过购买而获得的，漏洞管理是在安全脆弱性被利用前，发现并作出修补的关键流程。这个流程包括定义安全策略、评估、防护、消减和监控等环节。而安全流程不是应用、软件、服务，是不能买来的，需要组织或企业自发建立，并且要适合自身實际情况。

市场上现有的多数漏洞扫描产品，只能做到漏洞管理流程中的漏洞评估一个环节的工作，可以称之为漏洞评估产品。漏洞评估产品只是管理流程中的一个环节，它应该包括对设备、系统层面的漏洞发现，Web站点等应用层面的漏洞发现，同时也要能够人员操作层面的配置错误和疏忽。

而漏洞管理流程同时还需要完善的管理制度、自动化IT安全管理平台、执行制度的人等共同支撑流程的运转，目前市场上充当管理平台角色的一般是大而全的SOC系统或SIME，应用复杂缺少针对性。

3.2 漏洞运维管理成本和专业性

漏洞运维管理成本和专业性主要表现在两个方面。

（1）企业漏洞运维投入资源有限。实际漏洞的数量非常巨大，如果按照纯人工计算，要实现有效的安全运维需要非常高昂的人工成本，这些高昂的成本往往是企业难以负担也不愿负担的。

（2）知识获取困难。安全攻防知识体系包括很多内容，一个合格的安全人员不但需要了解最新的安全漏洞前沿资讯或情报，具备深厚的安全专业技术功底，往往也需要对业务有这深刻的了解。在实际工作中，无论是安全情报，还是业务知识，这些信息的获取都是非常困难的。

4 安全漏洞管理实施方案

安全漏洞管理离不开实际生产环境，根据等级保护、行业等相关要求，从公司实际安全性考虑，业务系统进行了分级分域管理，那么对于安全漏洞的管理也需要充分考虑安全漏洞归属资产的实际业务环境。再者，需要结合安全漏洞管理本身的性质，例如上文所说是否属于软件版本漏洞，还是属于原理扫描发现的安全漏洞。所以，从实际出发总结了一下漏洞管理的基本思路，分为三步，如图1所示。

（1） 确定资产安全等级。根据“安全风险模型”对业务系统相关资产进行安全定级。影响的定级的因素主要包含资产重要性（承载的业务及数据重要性）、面临安全风险大小（是否允许外网访问存在外部攻击风险）两个方面。

（2） 确定漏洞整改优先级。根据漏洞资产重要性、风险值、易利用程度等方面对漏洞整改优先级进行确定，如图2所示。

（3） 分步治理，长期运营。确立漏洞修复计划，优先对安全等级高的业务系统资产中整改优先级高的漏洞进行整改加固；针对不同安全等级资产设定不同的安全漏洞复查周期[2]。

4.1 方案总体流程

如图3所示，该方案核心业务流由分散的能力项构成，例如资产管理、情报管理、漏洞处置等。一连串的功能项构成了整体业务，换言之，业务系统是操作人员对功能项的调用序列。一般的平台系统由操作员自身记忆操作过程，具有主观随意性，不够规范且容易遗漏。

在该方案中，通过流程来标识和落实整体业务。业务流程为特定角色的特定业务操作流程，系统闭环业务链由有限条各用户交织的流程所构建。通过流程管理可支持系统灵活运营，有两个特点。

（1）用户维度：定义了完整的用户操作端到端有序步骤，充分必要地约束了操作行为。

（2）业务维度：一条业务流程可贯穿多个角色与账号，体现系统级别的协同性。

具体而言，该方案流程由流程策略单构成，具体来说，一个业务流程是由一系列流程策略单组成，包括流程单生成策略、派发角色/账号、任务内容。

按照流程单生成策略，每个流程策略可以在特定条件下产生流程单，即操作任务单。操作任务单会在特定条件下发送给相应的执行对象（生成工作台待办），以在系统中自动地驱动管理流程。

4.2 方案实施步驟

4.2.1 资产核查

用于内网的感知和监控，流程分为三个环节，由系统管理员执行三步骤。

（1）发起资产稽查，配置稽查的策略，启动稽查任务。

（2）资产稽查扫描策略，对于稽查中资产发现扫描任务策略的配置。

（3）稽查报表，即结果的查看和报表导出，稽查结果分为综述统计内容和详细对比内容。

4.2.2 快速定位快速响应

如图4所示，此流程目的将使用者从漏洞管理流程，变为快速发现和响应流程。流程分为四个环节，由运维人员分四步执行。

（1）使用者手动录入漏洞资产配置。

（2）资产预警策略配置，系统自动按照漏洞策略筛选相关的可疑资产范围。

（3）预警资产评估，给使用者展示预警资产以便认为评估风险。

（4）预警资产扫描，当扫描引擎支持策略漏洞后，提示使用者发起漏洞闭环流程。

4.2.3 漏洞闭环运维管理

漏洞闭环是系统的基础流程：通过它能够将该方案的基本能力组织起来，实现标准的脆弱性/漏洞全生命周期管理，通过流程单与操作人员完成互动，同时实现底层资源的调度分派，为使用者提供业务数据展示、存储和输出。此流程同时可为其他流程所调用，因此是构成系统流程体系的基石[1]。

如图5所示，漏洞闭环流程由六个环节构成，分别由业务管理员和平台运维人员完成。

资产管理：实现脆弱性评估目标范围的界定和选取。

资产扫描：配置脆弱性的监测策略、时间策略等，扫描资产漏洞（发现资产和脆弱性的关系）。

风险评估：资产扫描环节所产生的漏洞，在本环节与该系统威胁情报结合，按照使用者定制的风险评估模型，计算风险优先级并展示，由运维人员选择修复范围。

漏洞修复：系统按运维人员选择的修复范围每漏洞产生一个修复单，运维人员按线下实际修复情况改变修复单的状态，或实现修复单流转。

修复核查：对于运维人员将其状态变更为“已修复”的修复单，系统会为对应目标资产提供与该漏洞发现时检测策略一致的扫描操作和结果审核接口，由运维人员通过重扫完成是否修复的判断。取决于实际修复状态，修复核查与漏洞修复可以循环往复进行。

报表输出：整个漏洞闭环流程可以根据运维人员的需要裁剪其中的环节，该系统提供可定制的报表输出，例如报表可以仅覆盖资产发现，或者覆盖到风险评估环节的原始数据，或者输出漏洞修复核查后的全流程风险处理结果。

5 结束语

通过漏洞管理可以分析安全漏洞的存在状况，可以做历史分析及跟踪处理，实现安全风险的闭环管理。目前好多企业虽然开展了信息安全漏洞的检测、整改工作，但是关于资产信息安全漏洞的生命周期管理都没有建立，也没有这方面的分析手段。数据记录及数据分析对安全漏洞的管理会有重要的作用，所以通过本文提供的漏洞管理方案的实践，使运维人员对自己管理的资产中的安全漏洞可以了如指掌。

参考文献

[1] 娄宇.信息安全漏洞闭环管理的研究[J].通讯世界，2016 （23）.

[2] 王世文，罗滨，等.基于动态隐患库的信息通信安全分级分类闭环管理研究[J].信息通信.2016年10期.

[3] 陈永峰，杨宁侠.浅析安全策略漏洞防范[J].无线互联科技，2015（1）.