在網(wǎng)絡(luò )安全領(lǐng)域，漏洞常被攻擊方視為“殺手锏”武器，又被防守方當作“萬(wàn)惡之源”。漏洞本身雖然不產(chǎn)生危害，但一旦被利用，則極有可能帶來(lái)嚴重的威脅。關(guān)鍵信息基礎設施在數字化、網(wǎng)絡(luò )化、智能化轉型的過(guò)程中配置了大量信息資產(chǎn)，其網(wǎng)絡(luò )體系越來(lái)越復雜，漏洞作為“伴生體”所帶來(lái)的威脅問(wèn)題日益凸顯。習近平總書(shū)記曾指出：要全面加強網(wǎng)絡(luò )安全檢查，摸清家底，認清風(fēng)險，找出漏洞，通報結果，督促整改。如何快速應對漏洞產(chǎn)生的威脅，降低關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全風(fēng)險，無(wú)疑是擺在新時(shí)代的一個(gè)迫切命題。我們針對某些關(guān)鍵信息基礎設施在接報漏洞后面臨的處置周期長(cháng)、資產(chǎn)定位難等問(wèn)題，進(jìn)行針對性的調研，探索對其重要信息資產(chǎn)開(kāi)展漏洞治理的工作，并總結了一些實(shí)踐經(jīng)驗與同行同業(yè)分享和探討，以期拋磚引玉。

一、網(wǎng)絡(luò )安全漏洞的定義和治理的概念

國際標準化組織（ISO/IEC 27002）定義漏洞（vulnerability）為一個(gè)或多個(gè)威脅可以利用的一個(gè)或一組資產(chǎn)的弱點(diǎn)。通用漏洞評分系統（CVSS）則將漏洞定義為軟件或硬件組件中的弱點(diǎn)或缺陷。我國《信息安全技術(shù) 術(shù)語(yǔ)》（GB/T 25069-2010）將我們傳統意義上認為的漏洞定義為“脆弱性”，指資產(chǎn)中能被威脅所利用的弱點(diǎn)?！缎畔踩夹g(shù) 安全漏洞等級劃分指南》（GB/T 30279-2013）將安全漏洞（vulnerability）定義為計算機信息系統在需求、設計、實(shí)現、配置、運行等過(guò)程中，有意或無(wú)意產(chǎn)生的缺陷。這些缺陷以不同形式存在于計算機信息系統的各個(gè)層次和環(huán)節之中，一旦被惡意主體所利用，就會(huì )對計算機信息系統的安全造成損害，從而影響計算機信息系統的正常運行。綜上可見(jiàn)，漏洞存在于信息資產(chǎn)之上，風(fēng)險主要來(lái)源于該漏洞的環(huán)境構成，造成漏洞存在被威脅利用之機。本文所討論的漏洞與國際標準化組織定義的范圍一致。

治理的概念最早出現在政治學(xué)領(lǐng)域，通常指政府運用公權力管理社會(huì )和人民；而后這一概念又被引入商業(yè)和公共領(lǐng)域，延伸到組織機構中的管理方式和制度等方面。聯(lián)合國全球治理委員會(huì )（CGG）對治理做過(guò)權威定義，指“各種公共的或私人的個(gè)人和機構管理其共同事務(wù)的諸多方法的總和”，并總結治理的一個(gè)重要特征是以協(xié)同而非控制為基礎。21世紀初，隨著(zhù)信息化的發(fā)展，IT治理的理念逐步被引入公司治理層面，Gartner認為，IT治理是確保信息技術(shù)有效、高效的應用以幫助組織機構達到其目標的過(guò)程。本文定義的漏洞治理是指漏洞信息披露后，關(guān)鍵信息基礎設施運營(yíng)者建立機制、協(xié)同內外部資源及條件、開(kāi)展與之相關(guān)信息資產(chǎn)的分析和威脅風(fēng)險評估，快速消除漏洞或隔離其被利用條件的一系列方法之總和。漏洞治理的主體是關(guān)鍵信息基礎設施運營(yíng)者，通過(guò)協(xié)同工作機制調動(dòng)其內部資產(chǎn)相關(guān)部門(mén)、業(yè)務(wù)運營(yíng)部門(mén)、信息安全部門(mén)，科學(xué)評估漏洞所產(chǎn)生的風(fēng)險，在平衡風(fēng)險控制與業(yè)務(wù)發(fā)展的基礎之上，選擇最優(yōu)的治理路徑，達到有效管控網(wǎng)絡(luò )安全風(fēng)險的目標。

二、關(guān)鍵信息基礎設施漏洞治理面臨的三重困惑

當前黨和國家對關(guān)鍵信息基礎設施的重視程度前所未有。我國《網(wǎng)絡(luò )安全法》單列一節，將公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等列為關(guān)鍵信息基礎設施，要求必須實(shí)行重點(diǎn)保護?！蛾P(guān)鍵信息基礎設施保護條例（征求意見(jiàn)稿）》規定，“運營(yíng)者發(fā)現使用的網(wǎng)絡(luò )產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險的，應及時(shí)采取措施消除風(fēng)險隱患”。在多重法律法規的要求下，關(guān)鍵信息基礎設施運營(yíng)者面臨著(zhù)較大的安全合規壓力，但在工作中我們發(fā)現，關(guān)鍵信息基礎設施帶“洞”運營(yíng)仍是常態(tài)。數據顯示，某關(guān)鍵信息基礎設施，一年中前10個(gè)月發(fā)現了10027個(gè)漏洞，到年底漏洞消除率只有62%，漏洞消除的平均周期為59天，最長(cháng)周期達150天。大量漏洞長(cháng)期暴露未能得到及時(shí)有效的處置，漏洞整體消除周期過(guò)長(cháng)，導致新發(fā)現的漏洞與未消除的漏洞不斷累加，網(wǎng)絡(luò )安全風(fēng)險進(jìn)一步疊加，這也是當前關(guān)鍵信息基礎設施運營(yíng)者面臨的難題。

（一）網(wǎng)絡(luò )安全考核指標與漏洞所帶來(lái)的風(fēng)險之間存在一定程度的割裂。

在現有的評價(jià)機制下，關(guān)鍵信息基礎設施運營(yíng)者對漏洞“重發(fā)現，輕治理”，且缺乏激勵修復漏洞的相關(guān)機制。漏洞檢出數量的多寡、危害等級與關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全考核評價(jià)掛鉤。在實(shí)際工作中，有些漏洞在特定的環(huán)境中無(wú)法完全消除，強行消除漏洞可能引入更大的安全風(fēng)險，導致系統停擺、數據泄露等更嚴重的事故，而關(guān)鍵信息基礎設施運營(yíng)者缺乏有效的判斷依據，往往不懂處置，不敢處置。關(guān)鍵信息基礎設施運營(yíng)者的困境在于，漏洞檢出的數量越來(lái)越多，但漏洞所造成的實(shí)際危害卻千差萬(wàn)別，針對漏洞對應的資產(chǎn)、環(huán)境等因素進(jìn)行危害評估的體系缺位，直接導致漏洞處置工作缺乏抓手，不分輕重緩急“眉毛胡子一把抓”，最終可能無(wú)法最大化地消除漏洞所帶來(lái)的網(wǎng)絡(luò )安全風(fēng)險。

（二）傳統漏洞掃描工作模式難以有效提高漏洞處置的工作效率。

當前多數關(guān)鍵信息基礎設施運營(yíng)者開(kāi)展的漏洞掃描是一種“串聯(lián)式”的工作模式，漏洞掃描是周期性、階段性的任務(wù)而非常態(tài)化的機制。在這種工作模式下，若按照每3個(gè)月對關(guān)鍵信息基礎設施7000-8000個(gè)IP地址開(kāi)展漏洞風(fēng)險排查，第一步需要使用掃描器更新漏洞數據庫，并分時(shí)分段進(jìn)行漏洞掃描，過(guò)程耗時(shí)近1個(gè)月；第二步將掃描器獲得的漏洞信息分門(mén)別類(lèi)整理并尋找對應信息資產(chǎn)和責任人，分配漏洞處置任務(wù)，期間又耗時(shí)1個(gè)月；第三步，工作人員必須在1個(gè)月內完成漏洞處置、復測和總結等工作。檢查人員經(jīng)常要面對上一輪漏洞處置工作還未結束，下一輪檢查又要開(kāi)始的窘迫局面。每一輪漏洞掃描均重復性地收集相關(guān)資產(chǎn)信息，將之與公開(kāi)漏洞信息進(jìn)行匹配從而發(fā)現問(wèn)題所在，這種低效的工作模式必然導致在資產(chǎn)上檢測漏洞的過(guò)程嚴重滯后。

（三）信息資產(chǎn)的復雜度與漏洞的爆炸式增長(cháng)造成漏洞檢測和驗證環(huán)節滯后。

隨著(zhù)大數據、物聯(lián)網(wǎng)和云計算等新技術(shù)新應用的發(fā)展，關(guān)鍵信息基礎設施的信息資產(chǎn)體量越來(lái)越龐大，物理資產(chǎn)和虛擬資產(chǎn)多重交叉，又分屬不同的部門(mén)使用和管理。信息資產(chǎn)的服務(wù)端口、IP地址等隨業(yè)務(wù)和使用環(huán)境變化而呈現動(dòng)態(tài)變化的特征，這就給信息資產(chǎn)的界定問(wèn)題、一致性問(wèn)題、動(dòng)態(tài)管理問(wèn)題帶來(lái)了極大的挑戰。與此同時(shí)，專(zhuān)業(yè)網(wǎng)絡(luò )安全機構披露漏洞數量越來(lái)越多，2017年國家信息安全漏洞共享平臺（CNVD）披露的漏洞超過(guò)1.59萬(wàn)個(gè)，較 2016 年增長(cháng)47.4%，國家信息安全漏洞庫（CNNVD）公布的漏洞數量超過(guò)1.47萬(wàn)個(gè)，較2016年增長(cháng)超過(guò)70%，增長(cháng)率達到歷史新高 。海量的信息資產(chǎn)和漏洞均呈現多樣化、動(dòng)態(tài)化和復雜化的特點(diǎn)，使得關(guān)鍵信息基礎設施運營(yíng)者在傳統的工作模式下難以將兩者高效、快速地映射，漏洞處置和整改更無(wú)從談起。

三、以漏洞治理為切入點(diǎn)開(kāi)展關(guān)鍵信息基礎設施重要信息資產(chǎn)安全保障的實(shí)踐和思考

（一）建立對信息資產(chǎn)統一動(dòng)態(tài)管理的體系。

保障信息資產(chǎn)的完整性、一致性是漏洞治理工作的基礎。夯實(shí)這個(gè)基礎，一是要建立機制保障信息資產(chǎn)的完整性，建立一套針對信息資產(chǎn)“責任人+管理制度”的體系，保證信息資產(chǎn)責任主體可追溯，對信息資產(chǎn)的全生命周期進(jìn)行管理，不能只管信息資產(chǎn)“入口”（采購）、“出口”（退出）環(huán)節，更要在中間使用環(huán)節，特別是對資產(chǎn)變更的跟蹤進(jìn)行責任確認和監管監督。二是要通過(guò)管理解決信息資產(chǎn)一致性問(wèn)題，明確關(guān)鍵信息基礎設施信息資產(chǎn)跨部門(mén)協(xié)同管理，細化采購部門(mén)、運維部門(mén)、安全部門(mén)在信息資產(chǎn)管理中的角色和定位，使用統一的資產(chǎn)管理標準進(jìn)行登記管理，細化資產(chǎn)屬性維度，避免出現一個(gè)資產(chǎn)多種表述，多個(gè)資產(chǎn)一種表述的現象。三是要通過(guò)技術(shù)手段，實(shí)現對信息資產(chǎn)完整性和一致性的動(dòng)態(tài)管理。充分完善信息資產(chǎn)掃描探測技術(shù)，對主機系統、網(wǎng)絡(luò )設備、安全設備、數據庫、中間件等重要信息資產(chǎn)進(jìn)行自動(dòng)識別。通過(guò)輪詢(xún)信息資產(chǎn)指紋等感知技術(shù)識別資產(chǎn)屬性變更，并運用分布式信息資產(chǎn)探測雷達，提高信息資產(chǎn)識別效率和覆蓋面，揪出“無(wú)主資產(chǎn)、僵尸資產(chǎn)”。只有全面掌握動(dòng)態(tài)變化的信息資產(chǎn)完整性、一致性，才能完成對信息資產(chǎn)的實(shí)時(shí)追蹤和查詢(xún)等管理工作。

（二）探索將漏洞危害與應用環(huán)境相結合的評估方法。

當前主流的漏洞危害評級方法是定性定量評估，該方法因其標準化、規范化的優(yōu)勢，被大多數國內外網(wǎng)絡(luò )安全廠(chǎng)商和漏洞管理機構采用，主要參考指南有《通用漏洞評分系統指南》（CVSS）、《信息安全技術(shù)安全漏洞等級劃分指南》（GBT 30279-2013）。網(wǎng)絡(luò )安全機構或關(guān)鍵信息基礎設施運營(yíng)者可依據指南從多個(gè)維度計算并評定漏洞的危害等級。定性定量評估方法的難點(diǎn)在于如何對漏洞所處應用環(huán)境進(jìn)行分析，如CVSS指南依照基本指標、時(shí)間指標、環(huán)境指標對漏洞危害進(jìn)行評級，其中基本指標是指漏洞利用復雜度等固定的指標，而時(shí)間指標和環(huán)境指標描述的是漏洞隨時(shí)間和應用環(huán)境變化的特征，這一部分的評定需要用戶(hù)的直接參與。網(wǎng)絡(luò )安全廠(chǎng)商和漏洞管理機構，如公共漏洞披露平臺（CVE）、國家信息安全漏洞共享平臺（CNVD）等一般僅根據基本指標評定漏洞危害等級，另外兩項指標及修正后的數值則由用戶(hù)自行評定。在實(shí)際操作中，關(guān)鍵信息基礎設施因應用環(huán)境相對復雜，安全需求千差萬(wàn)別，造成環(huán)境度量計算非常復雜，因此往往忽略環(huán)境指標的計算，導致危害評級無(wú)法真實(shí)反映漏洞對特定系統造成的危害。

漏洞危害評級的主要目的是推動(dòng)工作人員在有限的時(shí)間和精力的情況下優(yōu)先處置高危漏洞，從而以最快的速度降低網(wǎng)絡(luò )安全風(fēng)險。為使漏洞危害評級體系中環(huán)境指標度量進(jìn)一步落地，我們根據CVSS3.0的指南，引入“系統安全防護能力”作為環(huán)境指標度量的一個(gè)維度，根據不同系統安全防護能力對保密性、完整性、可用性的影響賦值，計算出關(guān)鍵信息基礎設施每個(gè)系統的安全防護能力，結合漏洞管理機構提供的基本指標度量數據，采用CVSS3.0的計算方法，對漏洞危害評級評定的數據進(jìn)行修正，使漏洞危害更加貼近實(shí)際應用場(chǎng)景。這種方法既能保證兼容CVSS3.0指南的度量體系，又使得漏洞危害評級可以快速落地應用，兼具可行性和易用性。 

（三）制定漏洞快速處置的工作機制和協(xié)同流程。

漏洞快速處置主要依賴(lài)于三方面的設計。一是在考核機制上進(jìn)行“鼓勵式”設計。網(wǎng)絡(luò )安全考核評價(jià)不能只有懲罰機制，也應該包含激勵式制度。如某電信運營(yíng)商組織內部人員開(kāi)展漏洞挖掘比賽，獎勵優(yōu)先發(fā)現和協(xié)助處置漏洞的工作人員，此舉充分調動(dòng)了各部門(mén)員工參與網(wǎng)絡(luò )安全工作的熱情。關(guān)鍵信息基礎設施運營(yíng)者應探索漏洞快速治理的創(chuàng )新做法，表彰優(yōu)先處置漏洞的部門(mén)和個(gè)人。在漏洞快速處置方面，修復補丁只是漏洞治理的其中一個(gè)途徑，通過(guò)提高系統防護等級，消除漏洞利用條件，提高漏洞利用難度，也能降低漏洞帶來(lái)的風(fēng)險，這類(lèi)新的做法應值得嘗試。二是要有協(xié)同處置安全風(fēng)險的責任設計。關(guān)鍵信息基礎設施運營(yíng)者要劃分漏洞處置責任，調動(dòng)內部各利益相關(guān)方進(jìn)行漏洞的協(xié)同處置。如針對硬件和軟件的漏洞，界定資產(chǎn)管理部門(mén)、業(yè)務(wù)運營(yíng)部門(mén)、信息安全部門(mén)的責任，資產(chǎn)管理部門(mén)應協(xié)調供應商、開(kāi)發(fā)商統一修復漏洞，定期打上補丁。對一些因系統無(wú)法維護而造成高危漏洞無(wú)法消除的情況，業(yè)務(wù)運營(yíng)部門(mén)應制定產(chǎn)品替代方案，逐步退出應用。針對強行升級系統或打補丁消除漏洞可能造成業(yè)務(wù)系統停擺等風(fēng)險時(shí)，信息安全部門(mén)應協(xié)同業(yè)務(wù)運營(yíng)部門(mén)，咨詢(xún)第三方安全機構，制定科學(xué)可行的漏洞處置方案，避免因漏洞處置而影響正常業(yè)務(wù)開(kāi)展。三是要建設技術(shù)平臺提升漏洞治理的整體效率。關(guān)鍵信息基礎設施運營(yíng)者通過(guò)建設漏洞治理技術(shù)平臺進(jìn)一步提高漏洞處置效率，一方面可將實(shí)時(shí)漏洞庫、動(dòng)態(tài)資產(chǎn)庫、開(kāi)源POC庫進(jìn)行集成，實(shí)時(shí)進(jìn)行資產(chǎn)與漏洞的規則匹配，并運用自動(dòng)化手段進(jìn)行精準驗證，科學(xué)計算和評估漏洞的影響。另一方面充分利用漏洞治理技術(shù)平臺分發(fā)處置任務(wù)、反饋治理成果，輔助開(kāi)展績(jì)效評估等工作。

四、結語(yǔ)

習近平總書(shū)記提出要樹(shù)立正確的網(wǎng)絡(luò )安全觀(guān)，并指出網(wǎng)絡(luò )安全是整體的、動(dòng)態(tài)的、開(kāi)放的、相對的和共同的。我們在開(kāi)展關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全保障工作中認識到，只有牢牢抓住網(wǎng)絡(luò )安全的上述基本特點(diǎn)，才能實(shí)現對漏洞的有效治理，降低網(wǎng)絡(luò )安全風(fēng)險。我們在開(kāi)展漏洞治理的一年時(shí)間里，推動(dòng)上述關(guān)鍵信息基礎設施運營(yíng)者漏洞處置周期由平均59天縮短到如今的7天，在重要敏感時(shí)期，高危漏洞有效處置的周期縮短至24小時(shí)之內。關(guān)鍵信息基礎設施運營(yíng)者在探索漏洞治理過(guò)程中，進(jìn)一步摸清了資產(chǎn)的底數、認清了風(fēng)險的由來(lái)，為下一步開(kāi)展網(wǎng)絡(luò )安全態(tài)勢感知工作奠定了基礎。

作者：陳志華，曾祥斌  廣東省信息安全測評中心 

文章來(lái)源：中國信息安全