发现安全漏洞后需要怎样进行漏洞的生命周期管理

谢忠月

## 漏洞管理

漏洞与应用系统基本上是时时伴随的，无论是操作系统漏洞、应 用系统漏洞还是其他组件漏洞，都将影响到应用系统的安全。而针对 这些漏洞的修复管理工作经常会遇到这些问题：怕影响业务，暂时不 能修复漏洞；已经根据修复建议修复了，但不知道修复是否有效；漏 洞无人认领，有些单位存在中间件三不管的尴尬局面等。这些问题都 将在当前严峻的网络安全环境中给单位带来极大的安全风险。

因此，建议单位在日常安全运营中建立漏洞管理流程，以确保所 发现的漏洞都能够得到有效处理，从而提高整体网络安全水平。漏洞 管理工作一般会涉及单位多个部门、第三方应用系统承建单位和信息 安全技术支撑单位，因而需要建立相关漏洞管理制度，明确职责和权 限。

根据经验，我们梳理出漏洞管理的以下关键点。 1）漏洞发现 - 制订安全漏洞评估方案，报信安全部门和业务部门审批。 - 进行信息系统的安全漏洞评估。

- 生成漏洞分析报告并提交给信息安全经理和IT相关经理备案。 - 根据安全漏洞分析报告提供安全加固建议。

## 漏洞修复

- 根据单位职责划分，明确漏洞的归属部门，防止出现漏洞无人 认领的局面。

- 漏洞修复负责部门依据安全漏洞分析报告及加固建议制定详细 的安全加固方案（包括回退方案），报信业务部门和安全部门审批。

- 漏洞修复负责部门实施信息系统漏洞修复测试，观察无异常 后，将修复测试结果提交给业务部门和安全部门。

- 漏洞修复负责部门在生产环境中实施[信息系统](信息系统 - github5安全文库)的漏洞修复，观 察结果是否有异常。

- 漏洞修复负责部门在完成漏洞修复后编制漏洞修复报告，并提 交业务部门和安全部门备案。

- 安全部门负责审核漏洞修复报告，并验证漏洞修复是否彻底， 若不彻底，应反馈修复部门继续修复，直到漏洞修复彻底。

## 其他建议

- 对[信息系统](信息系统 - github5安全文库)进行漏洞修复的时间尽量选择在业务空闲时段，并 留有充裕的回退时间。

- 漏洞修复实施期间业务系统支持人员应保证手机开机，确保出 现问题时能及时处理。

- 对于确实无法按照要求完成修复的漏洞，能通过其他有效措施 （如网络策略限制、[防火墙](http://github5.com/search?f=p&wd=%E9%98%B2%E7%81%AB%E5%A2%99)策略限制等）处理的，通过其他有效措施 处置，没有相关有效措施的，建议进行断网或下线处理。

## 总体总结

最后，我们一起来总结红队防守工作最佳实践的要点，具体如下。

（1）一把手重视，全员认知

安全一把手必须重视，全员（如办公人员、保安等）提高安全防 范意识。

（2）专项组织，责任到人

牵头部门要有话语权，组织形成跨部门的专项组织，明确工作职 责，责任到人。专项组织可以包括领导小组（主管安全领导，层级越 高越好）、检查工作组、防护工作组（事件监测、分析研判、事件处 置）和保障工作组等工作小组。

（3）摸清家底，厘清责任

梳理全部资产的属性和网络路径，明确资产的主管、运维责任， 为后续工作打下基础。例如，梳理信息系统、[网络设备](http://github5.com/search?f=p&wd=%E7%BD%91%E7%BB%9C%E8%AE%BE%E5%A4%87)和安全设备等 基础信息，运行维护状态，责任单位（人）。

（4）收敛暴露面，减少入侵点

依据资产清单，在常规安全检查基础上梳理互联网暴露面及网络 边界弱点，减少情报泄露，让攻击面缩到最小，从而缩小防守半径。 例如：优化网络边界；清理“僵尸”资产；管控测试环境、供应链、 中间件及业务管理后台、WIFI及VPN等入口；增强[安全意识](http://github5.com/search?f=p&wd=%E5%AE%89%E5%85%A8%E6%84%8F%E8%AF%86)，防钓鱼， 保证终端安全，进行权限管理。

（5）知己知彼，整改到位

从[攻击者](攻击者 - github5安全文库)视角出发，结合现网实际从外到内、由点及面整改互联 网边界，内网横向联通，针对服务器、应用系统、集权类等设备存在 的漏洞，建立漏洞隐患整改验证与跟踪机制，确保整改到位。

（6）威胁感知，分析处置

部署全流量威胁分析感知系统，建立监测、预警、分析、验证、 研判、处置和溯源等能力，为指挥和决策提供支撑。

（7）检验能力，优化完善

模拟真实攻击，检验实际安全监测、防御和处置能力，及时从人 员能力、监测防护措施、工作流程、协同机制等方面进行优化完善。

（8）全方位监控，合作协同

以全流量威胁分析感知系统为核心，以各类安全检测设备为辅， 协同各部门及厂商共享情报信息，合作开展全方位监控工作，实施从 监测到预警、分析、验证、研判、处置、溯源的闭环防守工作。

（9）总结分析，常态落实

以演练结果为数据支撑，总结工作中存在的问题并分析原因，结 合日常工作制订整改方案和持续整改计划，落实具体时间、经费、责 任部门及人员，并与绩效考核挂钩。

总之，实战攻防演练不只是对抗防守的保障演练活动，其最终目 的是：通过对抗活动发现我们网络安全建设中的不足，进而改进和提 升整体安全防御能力；基于相对独立的[安全运营](安全运营 - github5安全文库)思路，以数据为中心 建立整体网络安全防护体系，进而发挥出最强的安全能力。因此，每 次在总结实战攻防演练积累的实际经验时，要沿用演练期间形成的安 全运营机制、安全监测技术和应急响应策略等，在日常安全工作中持 续提供安全运营能力，使网络安全防护措施持续发挥成效，最终有效 提升平时与战时结合的安全防护能力。

最后，防守方要加快改进演练过程中发现的[网络安全](网络安全 - github5安全文库)体系建设的 不足，持续构建和完善总体网络安全建设体系，使其具备多道防线、 纵深防御、网格防护以及内部防护的能力，将“三化六防”防护指导 措施沿用到实际网络环境中。

## 参考资料
[红蓝攻防构建实战化网络安全防御体系](奇安信 红蓝攻防构建实战化网络安全防御体系)
[青藤云安全 2022攻防演练蓝队防守指南](http://github5.com/view/1837?f=p)

仨木闲人

楼下的接上