楊麗麗，劉果，李發(fā)財(cái)，戚大強(qiáng)，張彬，高貫銀（.中訊郵電咨詢設(shè)計(jì)院有限公司，北京 00048；.中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司，北京 00033）

0 前言

隨著信息技術(shù)產(chǎn)業(yè)的蓬勃發(fā)展，信息系統(tǒng)的軟硬件也不斷涌入互聯(lián)網(wǎng)，由此產(chǎn)生的軟硬件漏洞以及公網(wǎng)暴露面給信息系統(tǒng)帶來了諸多安全風(fēng)險(xiǎn)。輕者使得系統(tǒng)信息被泄露，重者導(dǎo)致系統(tǒng)被控制，甚至使整個(gè)系統(tǒng)以及網(wǎng)絡(luò)癱瘓。

面對漏洞的諸多安全威脅，信息系統(tǒng)的漏洞修復(fù)一直是各主體單位的重點(diǎn)關(guān)注對象，但是目前漏洞的閉環(huán)管理工作大部分還是以漏掃工具和人工修復(fù)判斷為主。一般通過漏掃發(fā)現(xiàn)漏洞，經(jīng)過維護(hù)人員的評估，在業(yè)務(wù)閑時(shí)對其進(jìn)行修復(fù)，漏洞的評估和修復(fù)通常以一個(gè)獨(dú)立的漏洞孤島來看待。這種模式能從根本上解決漏洞本身的風(fēng)險(xiǎn)，但也存在很多弊端，比如，帶來系統(tǒng)可用性以及兼容性問題，修復(fù)操作以及修復(fù)效果不透明，修復(fù)方案的移植性較差，運(yùn)維人員需要全面了解業(yè)務(wù)環(huán)境的相關(guān)性以及漏洞的危害。

從以上場景看，為了減小和防范系統(tǒng)漏洞風(fēng)險(xiǎn)，需要高度依賴人工經(jīng)驗(yàn)，這不可避免地帶來一些其他負(fù)面問題。通過一些技術(shù)手段對系統(tǒng)的基本信息進(jìn)行統(tǒng)一管理，結(jié)合漏洞掃描、滲透測試等技術(shù)，動態(tài)地發(fā)現(xiàn)漏洞以及漏洞被利用的風(fēng)險(xiǎn)；之后，通過對漏洞的風(fēng)險(xiǎn)評估和業(yè)務(wù)影響的決策分析，形成從路徑阻斷到完全修復(fù)的過渡方案，實(shí)現(xiàn)系統(tǒng)在安全性和可用性方面的平衡，降低因片面的漏洞評估產(chǎn)生的負(fù)面影響。從該角度出發(fā)，提出基于動態(tài)系統(tǒng)畫像的漏洞風(fēng)險(xiǎn)遏制方案。

1 整體方案

本方案是以信息系統(tǒng)的資產(chǎn)管理為脈絡(luò)，通過動態(tài)調(diào)度漏掃、滲透測試、攻防專家經(jīng)驗(yàn)庫為系統(tǒng)進(jìn)行安全畫像，安全畫像主要暴露系統(tǒng)漏洞引入的風(fēng)險(xiǎn)點(diǎn)以及可能利用的風(fēng)險(xiǎn)路徑。經(jīng)過對畫像中風(fēng)險(xiǎn)阻斷以及系統(tǒng)的業(yè)務(wù)影響決策，產(chǎn)生適用于當(dāng)下的風(fēng)險(xiǎn)遏制操作，經(jīng)過遏制策略以及動態(tài)分析的迭代調(diào)整，逐步完成漏洞根本問題的修復(fù)，從而使系統(tǒng)安全畫像的風(fēng)險(xiǎn)點(diǎn)位處于收斂趨勢。整體方案如圖1所示。

圖1 整體方案示意圖

其中，資產(chǎn)管理的安全畫像為動態(tài)計(jì)算的過程，隨著資產(chǎn)管理內(nèi)的資產(chǎn)范圍、邊界以及漏洞庫等因素的變化，自動觸發(fā)評估工具，從而更新安全畫像的信息。隨著安全畫像中的新風(fēng)險(xiǎn)暴露，自動觸發(fā)決策分析，通過決策分析得到是否產(chǎn)生新的風(fēng)險(xiǎn)遏制手段以及可能的影響范圍。風(fēng)險(xiǎn)的遏制策略在決策分析中需要綜合考慮對系統(tǒng)業(yè)務(wù)可用性以及當(dāng)前威脅的程度。隨著風(fēng)險(xiǎn)遏制策略的實(shí)施，安全畫像的整體風(fēng)險(xiǎn)會減小。

就方案的設(shè)計(jì)思路（見圖2）做如下介紹。

圖2 方案的設(shè)計(jì)思路

a）系統(tǒng)安全畫像是將系統(tǒng)內(nèi)資產(chǎn)的漏洞風(fēng)險(xiǎn)進(jìn)行統(tǒng)一管理，除了單個(gè)資產(chǎn)的漏洞風(fēng)險(xiǎn)，還對漏洞風(fēng)險(xiǎn)的影響面進(jìn)行評估，從而建立資產(chǎn)與資產(chǎn)之間的風(fēng)險(xiǎn)關(guān)鍵路徑。資產(chǎn)管理的基礎(chǔ)信息（操作系統(tǒng)、軟件版本、業(yè)務(wù)屬性）、網(wǎng)絡(luò)拓?fù)?、安全邊界等為系統(tǒng)安全畫像的過程提供了基本的數(shù)據(jù)支撐，同時(shí)也為下一步的決策分析提供了全面的分析維度。

b）決策分析是針對系統(tǒng)安全畫像的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)的影響路徑進(jìn)行全端點(diǎn)、全路徑覆蓋分析，通過加入風(fēng)險(xiǎn)權(quán)重、資產(chǎn)的保護(hù)等級、業(yè)務(wù)影響的接受程度、業(yè)務(wù)閑時(shí)/忙時(shí)的數(shù)據(jù)統(tǒng)計(jì)等多因素進(jìn)行決策，生成針對客觀條件下業(yè)務(wù)影響范圍最小、風(fēng)險(xiǎn)阻斷效率較高的風(fēng)險(xiǎn)遏制策略。該策略包含按不同時(shí)段、不同優(yōu)先級的多項(xiàng)操作步驟，為系統(tǒng)運(yùn)維人員的操作提供詳細(xì)指南。

c）風(fēng)險(xiǎn)遏制是運(yùn)維人員按照決策分析結(jié)果進(jìn)行風(fēng)險(xiǎn)遏制的實(shí)施環(huán)節(jié)。運(yùn)維人員通過選擇系統(tǒng)安全畫像的風(fēng)險(xiǎn)點(diǎn)或者風(fēng)險(xiǎn)路徑進(jìn)行實(shí)施，操作完成后相應(yīng)的風(fēng)險(xiǎn)點(diǎn)以及路徑在安全畫像上隨之消失或風(fēng)險(xiǎn)處于減小趨勢，修復(fù)效果在系統(tǒng)畫像中得到充分體現(xiàn)。

以上3 個(gè)環(huán)節(jié)從風(fēng)險(xiǎn)的發(fā)現(xiàn)評估、遏制策略分析和策略實(shí)施操作對漏洞風(fēng)險(xiǎn)進(jìn)行了有效的閉環(huán)管理。同時(shí)，隨著調(diào)度算法的調(diào)優(yōu)將會極大地提高系統(tǒng)漏洞風(fēng)險(xiǎn)的暴露速度以及系統(tǒng)畫像的準(zhǔn)確度，策略分析算法的優(yōu)化將逐步降低策略建議的復(fù)雜度并減少無效操作。

2 詳細(xì)設(shè)計(jì)

2.1 系統(tǒng)安全畫像

系統(tǒng)安全畫像是以資產(chǎn)管理為基礎(chǔ)，加入對資產(chǎn)的漏洞動態(tài)評估過程，利用知識圖譜技術(shù)將資產(chǎn)漏洞評估產(chǎn)生的安全風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)發(fā)生的相關(guān)路徑進(jìn)行關(guān)系定義而形成的一張系統(tǒng)安全全景圖。采用知識圖譜直觀地呈現(xiàn)資產(chǎn)與風(fēng)險(xiǎn)，資產(chǎn)與資產(chǎn)，風(fēng)險(xiǎn)與風(fēng)險(xiǎn)的關(guān)系網(wǎng)絡(luò)。在圖譜中的每一個(gè)資產(chǎn)的安全風(fēng)險(xiǎn)的評估結(jié)果都不是獨(dú)立產(chǎn)生的，其需要從關(guān)系網(wǎng)中的相互影響評估獲得。系統(tǒng)安全畫像示意圖如圖3 所示。

圖3 系統(tǒng)安全畫像示意圖

2.1.1 目標(biāo)

a）建立基于系統(tǒng)的知識圖譜體系，為系統(tǒng)安全畫像提供風(fēng)險(xiǎn)附著點(diǎn)、風(fēng)險(xiǎn)影響路徑、風(fēng)險(xiǎn)嚴(yán)重程度的可視化，方便系統(tǒng)運(yùn)維人員對系統(tǒng)安全概況進(jìn)行全局了解。

b）通過資產(chǎn)變化以及資產(chǎn)關(guān)聯(lián)關(guān)系的變化，動態(tài)調(diào)度檢測工具對資產(chǎn)進(jìn)行實(shí)時(shí)評估和數(shù)據(jù)收集，使系統(tǒng)安全畫像的時(shí)效性得到保障。

c）對系統(tǒng)安全畫像中的風(fēng)險(xiǎn)進(jìn)行全流程閉環(huán)管理，方便回溯系統(tǒng)漏洞從發(fā)現(xiàn)到遏制過程的合理性和有效性，為系統(tǒng)安全畫像以及決策分析提供評價(jià)指標(biāo)。

2.1.2 設(shè)計(jì)方法

系統(tǒng)安全畫像的形成大致總結(jié)為以下4 個(gè)環(huán)節(jié)，如圖4所示。

圖4 系統(tǒng)安全畫像過程

a）資產(chǎn)管理的數(shù)據(jù)收集階段。通過系統(tǒng)歷史臺賬、資產(chǎn)發(fā)現(xiàn)工具、開放錄入渠道等作為系統(tǒng)資產(chǎn)搜集的來源，搜集的資產(chǎn)屬性主要包含業(yè)務(wù)屬性、網(wǎng)絡(luò)拓?fù)洹踩呗孕畔?、資產(chǎn)保護(hù)等級等。以上屬性中網(wǎng)絡(luò)拓?fù)浜桶踩呗孕畔谙到y(tǒng)畫像建立知識圖譜的過程中發(fā)揮重要作用，由于網(wǎng)絡(luò)的連接以及安全策略的開放，不同資產(chǎn)的漏洞可能會被聯(lián)合利用或者迭代利用，從2 個(gè)低危漏洞演變成系統(tǒng)的1 個(gè)高危風(fēng)險(xiǎn)。而業(yè)務(wù)屬性（業(yè)務(wù)閑時(shí)/忙時(shí)、業(yè)務(wù)的功能屬性、迭代版本時(shí)間等）、資產(chǎn)等級保護(hù)等會在決策分析環(huán)節(jié)起關(guān)鍵作用。

b）系統(tǒng)安全畫像的數(shù)據(jù)形成。資產(chǎn)范圍的新增會自動觸發(fā)漏洞檢測工具和自動化滲透測試工具的動態(tài)調(diào)度。從漏洞掃描中獲得單個(gè)資產(chǎn)的漏洞信息以及指紋信息，完成對單個(gè)漏洞或資產(chǎn)的風(fēng)險(xiǎn)評估。通過滲透測試對漏洞的利用價(jià)值進(jìn)行評估，生成系統(tǒng)可能被攻擊的路徑以及漏洞利用的路徑。在此過程中，通過對漏洞的組合利用和關(guān)聯(lián)分析，可以形成新的風(fēng)險(xiǎn)點(diǎn)。在系統(tǒng)滲透的過程中根據(jù)漏洞的利用價(jià)值給予攻擊路徑一定的權(quán)重信息，該權(quán)重直觀地反映了風(fēng)險(xiǎn)的嚴(yán)重程度。通過知識圖譜對上述基礎(chǔ)信息以及風(fēng)險(xiǎn)信息進(jìn)行組織，形成具有關(guān)聯(lián)關(guān)系的網(wǎng)絡(luò)圖譜。

c）系統(tǒng)安全畫像的數(shù)據(jù)補(bǔ)充。通過系統(tǒng)定期的攻防演練，收集攻防專家經(jīng)驗(yàn)以及成果，加強(qiáng)系統(tǒng)安全性。雖然此種活動的持續(xù)性較低，但對系統(tǒng)的安全性提升會有較大突破，尤其是系統(tǒng)風(fēng)險(xiǎn)點(diǎn)以及風(fēng)險(xiǎn)路徑的發(fā)現(xiàn)得到進(jìn)一步豐富，使系統(tǒng)的安全畫像更具真實(shí)性。

d）系統(tǒng)安全畫像的風(fēng)險(xiǎn)閉環(huán)管理。運(yùn)維人員基于安全畫像的風(fēng)險(xiǎn)點(diǎn)或風(fēng)險(xiǎn)路徑進(jìn)行相應(yīng)的風(fēng)險(xiǎn)遏制操作。隨著操作的實(shí)施，畫像中風(fēng)險(xiǎn)點(diǎn)以及風(fēng)險(xiǎn)路徑的權(quán)重會隨之減弱或消除。直到一系列的風(fēng)險(xiǎn)遏制策略實(shí)施完成，風(fēng)險(xiǎn)點(diǎn)會從安全畫像中消失，從而實(shí)現(xiàn)風(fēng)險(xiǎn)閉環(huán)管理。查看資產(chǎn)管理節(jié)點(diǎn)時(shí)可查看該資產(chǎn)出現(xiàn)的所有歷史風(fēng)險(xiǎn)遏制操作數(shù)據(jù)。

2.2 決策分析

2.2.1 目標(biāo)

決策分析基于系統(tǒng)安全畫像中的多維屬性，通過決策算法規(guī)劃出從控制風(fēng)險(xiǎn)到消除風(fēng)險(xiǎn)的一些遏制點(diǎn)，同時(shí)動態(tài)調(diào)度安全策略知識庫，提取針對風(fēng)險(xiǎn)或風(fēng)險(xiǎn)路徑的最優(yōu)遏制方法，經(jīng)過遏制點(diǎn)和遏制策略的組合生成一組遏制策略方案。

2.2.2 設(shè)計(jì)方法

決策分析的建模環(huán)節(jié)大致需要經(jīng)過以下4 個(gè)步驟，如圖5所示。

圖5 決策分析過程

a）識別系統(tǒng)安全畫像中參與決策分析的屬性，比如重點(diǎn)關(guān)注的風(fēng)險(xiǎn)點(diǎn)、風(fēng)險(xiǎn)關(guān)聯(lián)路徑及權(quán)重、風(fēng)險(xiǎn)值、系統(tǒng)業(yè)務(wù)屬性、資產(chǎn)保護(hù)等級等屬性。隨著模型的訓(xùn)練，根據(jù)屬性在模型中的貢獻(xiàn)度調(diào)整模型涉及的屬性范圍。

b）建立決策算法，優(yōu)先采用加權(quán)決策樹預(yù)測每一個(gè)風(fēng)險(xiǎn)決策路徑的結(jié)果，決策樹的路徑選擇方法是模擬人工判斷風(fēng)險(xiǎn)決策的過程。決策樹中的葉子節(jié)點(diǎn)即為每一個(gè)風(fēng)險(xiǎn)點(diǎn)或風(fēng)險(xiǎn)路徑，而其他屬性即為子節(jié)點(diǎn)的特征。對于決策算法中的已知風(fēng)險(xiǎn)，風(fēng)險(xiǎn)的相關(guān)特征相對比較穩(wěn)定，決策算法的預(yù)測結(jié)果會比較準(zhǔn)確。而對于新的未知風(fēng)險(xiǎn)，影響因素的特征值估算不準(zhǔn)可能會對模型造成干擾，將列入異常邊界數(shù)據(jù)進(jìn)行處理。隨著不斷的測量，將未知風(fēng)險(xiǎn)轉(zhuǎn)化為已知風(fēng)險(xiǎn)，從而提高算法的預(yù)測準(zhǔn)確度。

c）決策算法中針對一個(gè)節(jié)點(diǎn)（即風(fēng)險(xiǎn)）出發(fā)進(jìn)行計(jì)算，得到每一輪決策的最佳的阻斷方案。而對于同一風(fēng)險(xiǎn)，其起始決策結(jié)果很大程度對業(yè)務(wù)的特征依賴度較高，故從風(fēng)險(xiǎn)的角度只是減小漏洞最大可能利用的概率，大概率并未根除。隨著決策路徑覆蓋范圍變廣，待參與決策樹的路徑變短以及噪聲數(shù)據(jù)的減少，消除風(fēng)險(xiǎn)方案的形成也趨于穩(wěn)定和集中，風(fēng)險(xiǎn)的消除方案必然會產(chǎn)生。

d）建立決策分析中的安全策略知識庫，決策分析的過程需要依賴調(diào)度對應(yīng)風(fēng)險(xiǎn)的安全策略知識庫。該知識庫收集了大量的風(fēng)險(xiǎn)類型的控制和消除方案，一般來自于官方漏洞庫的解決方案和系統(tǒng)維護(hù)人員處置風(fēng)險(xiǎn)的經(jīng)驗(yàn)積累。

2.3 風(fēng)險(xiǎn)遏制

2.3.1 目標(biāo)

風(fēng)險(xiǎn)遏制是基于決策分析產(chǎn)生的策略方案，運(yùn)維人員進(jìn)行實(shí)施操作的過程，此過程在遏制風(fēng)險(xiǎn)的同時(shí)，快速提升運(yùn)維人員對系統(tǒng)架構(gòu)的熟悉程度。而人工對策略方案的分析，可能找到更加合理的策略方案，從而有利于系統(tǒng)的回歸優(yōu)化。

2.3.2 設(shè)計(jì)方法

風(fēng)險(xiǎn)遏制的實(shí)施過程及對整體方案的影響如圖6所示。

圖6 風(fēng)險(xiǎn)遏制過程及影響

a）系統(tǒng)運(yùn)維人員根據(jù)遏制風(fēng)險(xiǎn)策略方案，基于系統(tǒng)畫像找到操作的風(fēng)險(xiǎn)點(diǎn)或風(fēng)險(xiǎn)路徑，實(shí)施對畫像中對應(yīng)風(fēng)險(xiǎn)點(diǎn)的標(biāo)記操作。

b）標(biāo)記的風(fēng)險(xiǎn)點(diǎn)自動觸發(fā)畫像的觸點(diǎn)關(guān)聯(lián)性重評估，評估運(yùn)維人員實(shí)施效果有效性。如運(yùn)維人員誤操作，風(fēng)險(xiǎn)遏制并未達(dá)到預(yù)期效果，此時(shí)在畫像中給予特殊標(biāo)記提醒。如運(yùn)維人員的操作達(dá)到效果，但與推薦方案預(yù)期不符，則系統(tǒng)記錄差異。如運(yùn)維人員操作方案以及結(jié)果與模型相符，則對應(yīng)的風(fēng)險(xiǎn)點(diǎn)從畫像中消失，該風(fēng)險(xiǎn)點(diǎn)的處置處于閉環(huán)狀態(tài)。

c）風(fēng)險(xiǎn)遏制的操作結(jié)果即為對系統(tǒng)整體流程的驗(yàn)證環(huán)節(jié)，驗(yàn)證漏洞風(fēng)險(xiǎn)以及路徑設(shè)計(jì)的合理性，以及策略規(guī)劃的有效性。

3 總結(jié)

本文從信息系統(tǒng)漏洞帶來的風(fēng)險(xiǎn)出發(fā)，考慮安全運(yùn)維團(tuán)隊(duì)對漏洞修復(fù)普遍存在的問題，提出基于系統(tǒng)安全畫像的漏洞風(fēng)險(xiǎn)遏制方案，權(quán)衡風(fēng)險(xiǎn)修復(fù)操作的利弊問題，在保障風(fēng)險(xiǎn)可控的同時(shí)，兼容系統(tǒng)可用性、可靠性方面的要求。

另外隨著時(shí)間的推移，由于大部分信息系統(tǒng)的業(yè)務(wù)復(fù)雜度逐步提升以及人員的更替問題，無法保證漏洞評估和修復(fù)的時(shí)效性以及有效性。而通過系統(tǒng)安全畫像使系統(tǒng)基礎(chǔ)信息以及風(fēng)險(xiǎn)程度可視化，運(yùn)維人員在處理系統(tǒng)風(fēng)險(xiǎn)的同時(shí)了解了系統(tǒng)的基本架構(gòu)及周邊關(guān)系，通過系統(tǒng)決策分析產(chǎn)生的風(fēng)險(xiǎn)遏制方案使運(yùn)維人員的日常工作變的規(guī)范化、簡單化。