基于大数据的安全漏洞管理思路

◆张贺勋 吴泽江 陈远平 袁 峭 谭广达

（北京天融信网络安全技术有限公司 北京 100083）

基于大数据的安全漏洞管理思路

◆张贺勋 吴泽江 陈远平 袁 峭 谭广达

（北京天融信网络安全技术有限公司 北京 100083）

安全漏洞是计算机系统软硬件自身存在的缺陷，漏洞管理是信息安全管理工作中重要的组成部分，如何高效地对漏洞开展管理工作，降低组织面临的安全风险，直接影响到信息安全管理工作的实际成效。

漏洞；扫描；风险；安全服务

0 背景

安全漏洞是计算机系统软硬件自身存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏计算机系统，对计算机系统的机密性、完整性、可用性造成不同程度的破坏。

随着信息技术的不断发展，特别是互联网、移动互联网的飞速发展，安全漏洞层出不穷，正所谓没有绝对安全的系统，只有已被黑的系统与不值得被黑的系统。所以信息系统存在安全漏洞是必然的，如何科学地对安全漏洞进行有效管理，以降低组织的安全风险便是一个十分迫切的问题。

1 现状

天融信安全服务团队在实施大量安全服务项目工作的过程中，基本上每一个安全服务项目都需要跟安全漏洞打交道。安全风险评估是安全服务过程中最基础的工作内容，评估过程中均会识别出各种类型的安全漏洞。客户对安全漏洞的管理基本上是家庭作坊式的，来一个漏洞，修复一个漏洞，形成一大堆各种漏洞报告及表格，缺乏对安全漏洞的科学管理，无法进行深入分析及跟踪。

天融信安全服务团队在实施大量安全服务项目经验过程中，结合项目实际情况，提出基于大数据的安全漏洞管理思路。

2 漏洞生命周期

任何一个事物都是有生命周期的，安全漏洞也一样。从信息系统安全运维的角度来分析，安全漏洞的生命周期可分为几个阶段，漏洞的形成潜伏阶段、漏洞的公开阶段、漏洞的识别阶段、漏洞的处置阶段。

漏洞的潜伏阶段：安全漏洞在计算机系统开发完成时就已经形成，一直潜伏着直到被安全研究人员挖掘出来。

漏洞的公开阶段：当漏洞被挖掘出来后很快便会被公布公诸于众。

漏洞的识别阶段：当漏洞被公开后，信息系统便处在漏洞的威胁当中，需及时对已有信息系统的漏洞进行识别定位。

漏洞的处置阶段：当识别定位到安全漏洞后，组织资源对漏洞进行处置整改。

3 漏洞管理思路

由于信息资产数量众多，安全漏洞层出不穷，安全漏洞数量也越来越多，有效地对安全漏洞管理，需要借助先进的技术手段，开发建设适合组织现状的安全漏洞管理系统对漏洞进行有效管理，同时利用安全漏洞扫描工作对漏洞进行识别。

3.1 漏洞管理系统

安全漏洞管理系统是漏洞管理的核心，通过安全漏洞管理系统对资产每次识别出来漏洞进行收集归档形成漏洞大数据，从而可对漏洞进行各种分析统计，对漏洞进行跟踪处置，主要功能如下：

（1）漏洞数据收集，将各种检查输出的报告（如扫描报告）通过系统自动导入数据库，形成漏洞大数据，同时也建立组织资产的大数据；

（2）漏洞数据跟踪，利用系统对漏洞数据进行跟踪，根据漏洞的处置情况对每个漏洞进行自动化跟踪，对已整改的漏洞进行标识，对无需整改的漏洞进行报备标识；

（3）漏洞精准预警，通过对漏洞数据收集的过程中，将每个设备资产的信息（系统类型、版本、服务类型、服务版本等）进行收集入库形成详细的资产大数据库，后续通过结合导入安全预警通告进行关键分析，识别出与预警相关的资产，进行精准预警通告。

（4）决策支持，通过报表功能，根据需求从各个维度进行分析报告输出，支撑管理层对安全工作应该如何开展的决策。

3.2 漏洞识别

漏洞识别是漏洞管理工作的开始，识别工作必须常态化开展，最少每季度开展一次，通过利用漏洞扫描工具（如天融信的漏洞扫描器）对全网资产进行漏洞扫描，扫描器根据最新的漏洞库与设备所开放的端口服务版本及指纹进行匹配，输出漏洞扫描报告。

3.3 漏洞归档

根据对天融信大量的安全服务项目工作总结，通常漏洞识别工作完成后，输出漏洞扫描报告，缺乏有效的对扫描报告进行科学管理分析，无法将每次的工作价值发挥到最大。

通过利用安全漏洞管理系统将每次的漏洞扫描结果进行统一归档，形成组织的安全漏洞大数据，可供后续的漏洞分析、漏洞管理及跟踪使用等工作。

3.4 资产收集

在漏洞归档的同时也建立了组织的资产大数据，后续可开展各类基于资产的管理工作，漏洞数据信息通常包含了资产的 IP地址、端口及服务、系统及应用的版本信息等。通过漏洞管理系统对漏洞数据库的分析挖掘，形成资产信息库。通过定期开展漏洞扫描并归档漏洞扫描报告，资产信息也同时得到更新。

掌握一份精确的资产信息，对安全工作有重要意义，特别是对漏洞管理工作有重要的帮助。正所谓知己知彼，才能百战百胜，如果连自己的都不了解自己，那就很难对自己做很好的保护。

3.5 漏洞处置

对漏洞开展的所有工作目标就是要对漏洞进行有效的处置，漏洞有效处置是漏洞管理的核心，当漏洞受到有效的处置，才能降低组织面临的风险。

当漏洞被识别出来后导入漏洞管理系统时，系统自动通过邮件通知资产的责任人告知漏洞情况，同时要求在规定的时间内对漏洞进行处置。

漏洞的处置方式可简单分为两种，一种是对漏洞进行加固，一种是接受漏洞，当漏洞产生的风险是可接受的，同时加固成本较高时，可对漏洞进行接受，些时需要对漏洞进行备案。

为了对漏洞处置情况进行跟踪，安全漏洞管理系统使用一个字段标记漏洞的处置情况，根据漏洞的处置情况进行标识。

当漏洞完成加固后，使用扫描器对漏洞进行二次扫描，扫描完成后输出扫描报告，已加固的漏洞便不出现在扫报告中，些时将扫描报告导入漏洞管理系统，通过数据分析对比，系统自动标记出已经完成整改的漏洞。对于未完成整改的漏洞，可进行再次分析跟踪，对于确认无需整改的漏洞可在系统上进行手工标记备案。

当漏洞从识别出来后超过规定的时间未进行处置时，系统自动通过邮件发送给资产的责任人及责任人的领导，以提醒督促相关责任人对漏洞进行处置。

利用安全漏洞管理系统对漏洞进行收集归档，进行处置跟踪，进行处置确认，形成有效的闭环管理，确保每个漏洞都经过确认及处置。

3.6 精准预警

安全漏洞是动态的，随着技术的不断发展，漏洞不定期地被发布出来，每个厂家都定期发布安全预警公告。在天融信大量的项目工作中，客户收到安全预警公告后通常都因为缺乏手段准确定位受影响资产而不了了之，当收到特别严重的公告必须处理的时候，通常都需要组织大量人力物力进行自查。

当利用安全漏洞管理系统的进行漏洞管理，掌握了一份精确的资产信息时，漏洞的预警就显得靠谱了很多。通常各厂家的预警公告里每个漏洞都会注明受影响的软件系统名称及版本等信息。通过将预警公告导入安全漏洞管理系统，利用系统的大数据据分析能力对资产信息库进行匹配，迅速定位出受影响设备列表。此时就实现了精准的预警。根据定位出来的资产列表，系统通过邮件定向推送到资产的负责人，要求负责人进行确认及处置。此时，可大大提高安全预警的工作效率及准确度，协助及时处理安全漏洞，降低组织安全风险。

3.7 报表输出

安全漏洞管理系统收集了大量的漏洞信息及资产信息的大数据，可根据各类需求输出报告，供管理层决策使用，进行决策支持，如以下几类：

（1）安全风险分析报表，通过对漏洞数据及漏洞处置情况的统计分析，形成组织当前风险状况，整体展现组织当前面临的威胁及风险情况。

（2）漏洞处置分析报表，通过对漏洞处置情况的统计分析，形成漏洞处置情况报表，展现漏洞整改率，漏洞处置率，可做为资产负责人对漏洞处置的绩效考核参考。

（3）典型漏洞分析报表，通过对漏洞数据的统计分析，可输出典型漏洞，如漏洞 TOP10等，组织可根据分析报告进行有针对性的重点处置计划。

4 总结

本文通过利用大数据技术手段，建立安全漏洞管理系统对漏洞开展有效的全生命周期管理，大大提高了漏洞管理的效率，同时也提高了漏洞管理的效果，有效地降低了组织的安全风险。

漏洞是动态的，是不可能完全消亡的，所以安全漏洞管理工作是一个持久战，是信息安全管理工作的重要组织部分，只有管理好漏洞，才能提升组织的安全防御能力。

只有坚持利用大数据技术手段对安全漏洞开展有效管理，不断的改进管理流程及方法，才能不断提高安全漏洞的管理效率及管理效果。