大数据环境下情报驱动的网络安全漏洞管理

国家互联网应急中心(CNCERT)《2019年上半年我国互联网网络安全态势》[1]披露，2019年上半年国家信息安全漏洞共享平台(CNVD)共收录安全漏洞5 859个(同比减少24.4%)，其中高危漏洞收录数量为2 055个(占35.1%，同比减少21.2%).报告进一步指出，WinRAR压缩软件、Windows远程桌面等常用软件曝出存在远程代码执行漏洞，给我国网络安全造成严重影响.另一方面，“零日”漏洞收录数量为2 536个(占43.3%，同比增长34.0%).“零日”漏洞指披露时尚未发布补丁或应急策略，一旦被恶意利用后果严重.上述数据和分析反映出我国网络安全漏洞形势的严峻，全社会都有必要关注网络安全漏洞的管理.

1 网络安全漏洞管理

我国实施的信息安全等级保护制度采用了资产-威胁-脆弱性(漏洞)的模型.《信息安全技术信息安全风险评估规范》[2](GBT-—2007)对资产、威胁、脆弱性等专业术语首先进行了解释(如表1所示)，本文进一步给出了对应的实例.

国内学者张玉清[3]指出：漏洞也叫脆弱性(vulnerability)，是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足；漏洞一旦被发现就可使用这个漏洞，获得计算机系统的额外权限，使攻击者能够在未授权的情况下访问或破坏系统，从而导致危害计算机系统安全.

资产无时无处不面临威胁，但一般只在存在漏洞并且漏洞被攻击者利用的情况下资产才受到损害.漏洞是威胁因素，是能够损害资产的直接原因，减少漏洞、消除漏洞便成为降低网络安全风险的有效措施.加强网络安全漏洞管理已成为学术界和业界的共识.

表1 资产、威胁、脆弱性的概念与实例概念解释实例资产对组织具有价值的信息或资源,是安全策略保护的对象硬件:计算机、服务器、网络设备、网络线路软件:操作系统、数据库、应用软件数据:用户账号、用户数据威胁可能导致对系统或组织危害的不希望事故潜在起因.自然因素:地震、雷击、火灾、水灾人为因素:泄露信息的内部人员、发起网络攻击的黑客脆弱性(漏洞)可能被威胁利用的资产或若干资产的薄弱环节.应用程序漏洞:网站SQL注入操作系统漏洞:Windows远程桌面漏洞网络设备漏洞:思科路由器安全漏洞

1.1 社会层面的网络安全漏洞管理

我国越来越重视网络安全漏洞管理工作.《信息安全技术 信息安全漏洞管理规范》[4](GBT —2013)明确了漏洞发现者、漏洞管理组织、厂商、用户等利益相关者，并对漏洞的生命周期、社会层面的漏洞管理作出阐述，如图1所示：

图1 漏洞的利益相关者、生命周期及管理活动的关系

漏洞的生命周期分为发现、利用、修复和公开4个阶段，涉及到漏洞发现者、漏洞管理组织、厂商和用户等利益相关者.其中，漏洞管理组织起很关键的联系作用.它对漏洞发现者报送的漏洞进行审核；验证通过的通报给涉事厂商，敦促其积极进行漏洞修复；完成漏洞消减后再行向社会公布.国家信息安全漏洞共享平台(CNVD)、国家信息安全漏洞库(CNNVD)是国内权威的漏洞管理组织.国际上也有专门的漏洞管理机构，如国际漏洞库CVE.CNVD对漏洞收集、漏洞消减和漏洞发布有一套严谨的程序，表2为CNVD对事件型漏洞、通用软硬件漏洞不同的处理方式.漏洞管理组织向社会发布漏洞后，用户应积极、及时修补漏洞.信息系统长时间存在公开的漏洞安全风险将急剧提升，容易成为网络攻击的入口.

1.2 组织层面的网络安全漏洞管理

社会层面实施信息安全漏洞管理后，漏洞发现者、网络攻击者处于主动地位，而厂商、用户则处于相对被动的位置.特别是信息系统的用户、使用信息系统的组织，要化被动为主动，积极做好网络安全漏洞的管理工作.

表2 CNVD的漏洞处置与公开策略漏洞类型处置策略事件型漏洞通过“绵羊墙”功能对已经完成通报处置流程的涉事单位系统或软硬件产品进行公示通用软硬件漏洞1) 遵循处置后发布原则(与厂商补丁发布时间同步)2) 未反馈情况下默认45天后发布描述信息(暂不公开利用代码信息)3) 对于需要较长周期的漏洞处置工作,涉事厂商可与CNVD秘书处协商漏洞发布时间

1.2.1 网络安全漏洞管理的重要性

从合规角度看，我国实施信息安全等级保护后，信息系统必须通过等保测评.如果系统存在高危漏洞就一票否决是不能通过等保测评的.

从实践角度看漏洞是网络入侵的入口，是网络攻击的跳板.及时发现漏洞并进行漏洞修复才是漏洞的解决之道.发布的漏洞修复后新的漏洞可能很快又出现.对组织来说漏洞管理一刻也不能放松，要把网络安全漏洞管理贯穿于信息系统建设和运维的整个生命周期.

文章来源：《情报探索》 网址: http://www.qbtszz.cn/qikandaodu/2020/1124/589.html