谈谈漏洞管理的那些事儿

漏洞扫描系统并不是一个直接攻击网络漏洞的程序，它仅仅能帮助我们发现目标主机的某些内在的弱点。一个好的漏洞扫描系统能对它得到的数据进行分析，帮助查找目标主机的漏洞。

纵观2012 年至 2016 年，CNVD 共收录了 42743 个，高危漏洞数量为 14495 个。CNVD 近五年发布的漏洞数量和高危漏洞数按年度统计如图所示，高危漏洞数量的比例有所上升，如下图：

那么，如何做好漏洞管理工作呢？唯一有效的途径是，在漏洞被利用以及信息系统早上危害之前正确识别并修复漏洞和错误配置，可以有效的预防安全事件发生。但是，对于信息系统复杂性和安全漏洞的多样性给漏洞管理事件带来更大挑战，需要有闭环的检测、响应、修复思路才能将漏洞的管理工作落到实处。

漏洞管理难点

管理员

抓狂1号

系统需要扫描，万一宕机了肿么办？

oracle，apache漏洞这么多，升级风险大，该如何处置？

管理员

抓狂1号

管理员

抓狂3号

漏洞扫描报告如天书，谁来帮我解读？

“不敢扫”漏洞

由于各种平台、应用等各类资源组合在一起，因此采取所有必要措施保护组织的资产比以往任何时候都困难。环境越复杂，就越需要安全控制措施来保证组织业务流程的连续性。

在日常运维过程中，管理员知道系统有漏洞却不敢对系统发起扫描行为，担心一旦扫描导致系统异常或宕机带来的直接是网络安全事故。

 漏洞严重性无法判断

为了充分了解当前网络信息系统的当前安全状况（安全隐患），需要对网络系统进行安全状况分析。判断系统安全的第一因素基本以判断系统是否存在漏洞为基础。漏洞扫描另一种场景是利用漏洞扫描系统对目标系统进行扫描，管理员往往无法判断该漏洞对现有系统的影响程度。

“漏洞修复”不知所措

网络与应用系统加固是有一定风险的，一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。此类风险一般是由于系统运行状况调查不清导致，也有因为加固方案的分析不准确，误操作引起。

当前绝大部分管理员根据漏洞扫描报告，不知如何对检测出的漏洞进行修复且没有同类的修复案例供参考。

漏洞管理思路

漏洞管理是银行信息系统基本安全过程。为了减少攻击面，需要确保运行的操作系统和其它软件均为最新版本。为此，我们需要确保漏洞管理方案与资产管理、配置管理、补丁管理的过程和方案实现集成，并使其协调工作，具体漏洞管理防范思路如下。

合规要求是前提

银行信息系统需要在一个高度合规的前提下运营，构建规范化的漏洞管理平台需要确保漏洞管理平台支持行业安全检测规范以应对不断爆发的各类安全漏洞、设备配置缺陷等安全问题。通过该平台能实现漏洞修复以及各设备的基线配置规范均满足人行及银监的配置规范要求。

为此，需要通过平台化的漏洞管理系统实现对系统中的漏洞进行全生命周期的管理，通过部署平台化的漏洞管理系统能够提升漏洞分析、修复以及系统安全漏洞评估的权威性和科学性，降低了合规性审计成本从而形成漏洞闭环。

精准定位是基础

漏洞管理应对接威胁情报平台将最新的情报信息结合资产信息，精确分析漏洞对网络的影响，对可能存在漏洞的资产进行预警。

平台化漏洞管理系统应与威胁情报系统进行对接获取最新漏洞披露情报，结合资产信息，精确定位并分析漏洞对网络的影响，只对可能存在漏洞的资产进行预警。

结合漏洞情报向运维人员发出漏洞预警并快速进入单位内部漏洞管理流程，及时发现漏洞以便及时修补。结合官方信息发布的漏洞信息，形成完善的基于情报的漏洞响应机制。

当流行漏洞发生时，通过情报系统能够第一时间向用户的平台化漏洞管理系统推送漏洞信息、影响面（具体IT资产信息）、修复缓解建议等，用户结合平台化的漏洞管理系统能够对本地资产中存在风险的资产能够做到快速、精准的定位。

资产管理是核心

资产管理主要是资产信息的收集、资产的分类和资产重要性优先级的划分。我们建议银行在进行资产录入时应根据组织结构、网络拓扑结构的不同将内部的信息资产进行分类和管理，并根据信息资产的重要程度和分组情况来指定针对性的扫描策略并完成。

通常，进行漏洞管理要先对网络资产进行梳理。把信息从活动目录或现有资产管理系统中调出来，并将资产信息与IP地址与网络扫描的结果结合起来。然后，漏洞管理工具返到漏洞数据库中，去检索可能影响主机的漏洞信息，并开始执行系统测试分析出潜在的漏洞。

网络中资产的新增、变更、注销过程，都会带来风险，更多的银行已经建立比较完善的资产报备制度，新业务系统上线时，要经过合规性检查，资产的变更也需要进行报备。但是人工报备制度对资产跟踪的及时性较差，另外没有报备过的资产变更，会成为不受控制的风险点。

为此，需要建立平台化的漏洞管理模式时需要对全网所属资产进行全面普查，确定系统内合法存在的资产、资产版本、开放的服务和端口、系统的安全配置项目，所有这些资产信息将作为系统网络内的资产基线，对于后续未经确认出现的资产变化，及时通报安全责任人，协助制度的有效执行。

小结

当前，各类系统漏洞可谓是层出不穷、五花八门令人防不胜防，比如企业自行开发的应用程序所包含的漏洞，基础设施中存在的缺陷以及以桌面终端用户为目标的网络攻击手段等。

完善的漏洞管理应结合当前漏洞威胁情报、本地风险持续监控，以及漏洞管理全流程管控能力为后续的漏洞提供快速应急响应、风险预警触发的高效率工作模式，并且在管理流程的各环节，提供优化分析后的技术建议，最大程度加快漏洞修复效率，在漏洞被利用前完成修补。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP