广发证券网络安全漏洞管理研究与实践

文丨广发证券股份有限公司 信息技术部 陈云领 周轶伦

近年来，随着我国数字经济发展的提速，网络安全防护和保障能力的重要性日益凸显。国家“十四五”规划提出：全面加强网络安全保障体系和能力建设，维护水利、电力、供水、油气、交通、通信、网络、金融等重要基础设施安全。《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《证券期货业网络安全等级保护基本要求》等法律法规和行业标准的相继施行，全国性、区域性、行业性的网络安全攻防演练呈现常态化，对证券行业网络安全漏洞管理能力提出了更高要求。根据国家互联网应急中心(CNCERT)统计，国家信息安全漏洞共享平台(CNVD)2020年新增收录通用软硬件漏洞数量创历史新高，达20704个，近5年新增收录漏洞年均增长率为17.6%。漏洞影响了证券行业网络的机密性、完整性和可用性，可导致用户个人信息泄露、数据加密勒索等安全事件的发生，使国家金融安全、社会秩序稳定受到威胁，投资者合法权益受到损害。

作为证券行业的关键信息基础设施运营单位，广发证券股份有限公司(以下简称“广发证券”)现有信息系统资产规模较大、种类较多，全面而有针对性地发现和整改安全漏洞难度较高。目前，广发证券通过部署主机入侵检测系统(HIDS)Agent采集资产信息，通过配置管理数据库(CMDB)登记基础资产信息(IP、域名和服务器)，但与安全漏洞相关的中间件、框架信息登记还有待完善。漏洞检测以远程方式为主，使用漏洞扫描和渗透测试相结合的方式，重点对互联网信息系统开展安全测试，并周期性开展内网系统的漏洞扫描，但漏洞扫描报告和人工渗透测试报告等无法进行平台化、模块化、流程化管理。

一、漏洞管理现状及问题分析

在规范漏洞管理流程之前，广发证券采用手工方式登记漏洞信息，采用流程协同方式进行漏洞整改，存在协同难度高、闭环考核难、漏洞信息保密性差等问题。此外，因登记的漏洞信息未能与CMDB、HIDS等资产信息进行有效整合，导致出现新的高危安全漏洞时难以快速精准定位资产，应急响应速度及覆盖范围难以提升，漏洞管理效果欠佳。为此，广发证券使用“人机料法环测”5M1E的方法进行鱼骨图(因果图)分析，共找到9处安全漏洞管理症结及成因(如图1所示)，主要表现在以下几个方面。

图1 安全漏洞管理症结及成因的鱼骨图分析

一是漏洞来源广泛、数量多。不仅需从绿盟RSAS、Acunetix、Tenable等多种漏洞扫描工具获取漏洞，还需从渗透测试报告、内部漏洞上报、外部漏洞通告中获取漏洞信息。

二是漏洞整改跟踪缺少工具支撑。由于资产信息、漏洞管理处于闭环流程，处置过程需要跨业务、部门和系统的协作，需要技术对接、流程打通、信息传递。

三是安全漏洞分级标准不明确。各类漏洞定级、不同类型漏洞的整改期限缺乏统一标准。

四是漏洞整改方式未有效积淀。漏洞的自查方式、整改方式欠缺，未能形成有效知识库。

二、解决思路与实现路径

1.解决思路

参照Gartner提出的漏洞管理生命周期模型，在确定资产边界、用户角色、漏洞评估工具、漏洞处理策略及识别资产环境的前提下，漏洞管理应以PDCA循环方式开展，具体分为评估、划分优先级、处理、再评估、改进五个环节。

针对漏洞管理效果欠佳的问题，广发证券提出整体规划、分步实施的原则，通过平台化、模块化、流程化的解决思路，逐步建设广发证券平台化的漏洞管理系统，将安全人员从繁杂的手工作业中解放出来，投入到核心环节和核心问题的解决中，如业务视角的漏洞风险分析、漏洞与威胁情报联动、沉淀漏洞整改方式、调整全局安全策略及合规性要求。

漏洞管理系统遵循模块化的设计思路，围绕资产库、漏洞库、知识库三项核心能力进行模块构建。同时，设计具备流程适配性的工单系统，以支撑漏洞处理任务的闭环管理。

一是资产库。作为安全工作的基础，采集、识别多源数据。

二是漏洞库。关联资产库关键字段，定位相关部门和责任人。

三是知识库。沉淀漏洞修复方法和经验，辅助系统运维和开发人员执行具体修复操作。

四是工单系统。固化漏洞整改涉及的流程及环节，对接企业门户进行待办提醒。

五是API接口。满足外围系统指标化运营管理的需要，输出漏洞管理相关数据。

2.实现路径

漏洞管理系统通过工单闭环管理、资产数据采集、自动化漏洞采集、漏洞数据与资产数据关联分析等功能，实现漏洞闭合管理的工具支撑(如图2所示)，其关键措施有以下几种。

图2 漏洞管理系统架构

(1)关键字段定义设计

漏洞管理工作的本质是从风险管理视角，围绕结构化的关键字段信息进行全流程闭环的场景设计。广发证券对资产、组织、风险、责任人等漏洞管理的核心数据进行了详细的属性标记，并将其作为漏洞管理系统的基础数据支撑。

(2)多源数据采集与去重

通过接口对接，漏洞管理系统定时采集多个上游系统(漏洞扫描器、CMDB、云管平台、HIDS)的数据，包括资产数据、漏洞数据，根据数据优先级对数据进行合并，扩大数据覆盖范围，提高数据覆盖的准确性。

(3)漏洞闭环管理

为了解决资产属性不清晰、相关负责人不明确、闭环不完整等问题，广发证券通过对接CMDB，将漏洞评估时需要的关键信息采集到漏洞管理系统中，匹配资产属性、相关负责人及部门信息，快速定位漏洞责任人。

通过漏洞闭环管理流程(如图3所示)，系统录入漏洞库、定位资产信息、关联责任人，再由安全人员通过工单系统派发处置工单，根据漏洞处置实施细则设定流程监控指标，监督修复进度和结果复核，从而形成PDCA循环。

图3 漏洞闭环管理流程

(4)供应链安全管理

供应链漏洞尤其是开源组件漏洞具有影响范围广、危害大的特性，广发证券对HIDS采集组件数据及漏洞数据进行分类整理，并根据漏洞可利用性、危害性、影响范围进行分级，优先修复高危漏洞，通过漏洞复现形成相关修复过程文档并提交至知识库中，助力开发人员升级或替换Struts2、Fastjson等经常出现漏洞的组件。

(5)完善漏洞管理相关制度

为了确保漏洞管理工作的有效推进，广发证券发布了《广发证券网络安全漏洞管理实施细则》，对漏洞评估及处理的职责、漏洞定级、处理期限等方面进行了规范，在漏洞管理系统设置了相应的流程，并根据漏洞级别对处理期限设置了超时提醒机制，以支撑管理制度落地。

三、漏洞管理实践效果

广发证券漏洞管理系统实现了漏洞管理、资产管理、工单管理、漏洞知识库及统计报表功能，并可用于漏洞发现、通知流转、整改闭环的日常工作之中。

与传统的安全人员远程扫描、整理漏洞及流转整改流程的方式相比，广发证券漏洞管理系统上线之后，漏洞发现和闭环的时间从2021年第三季度的平均41天缩短到2021年第四季度的平均29天，有效缩短了漏洞平均处理时长，提高了漏洞处理的及时率。

2021年12月，Apache Log4j远程代码执行漏洞(CVE-2021-44228)及其利用代码在互联网上进行了披露，由于该漏洞影响面极其广泛，漏洞利用难度低，互联网上漏洞利用攻击尝试迅速出现，为广发证券信息系统的漏洞修复及响应效率带来严峻挑战。广发证券一方面在Web应用防火墙、入侵检测系统等网络及安全设备上完善防护和监测策略，在内部DNS劫持攻击者利用的带外域名；另一方面使用主机和Web扫描工具对各类系统发起远程扫描，同时利用漏洞管理系统筛选使用Log4j组件的主机，对受影响版本的主机生成漏洞工单，并流转给从CMDB系统获取的系统运维人员、开发人员进行整改，最终完成漏洞整改流程闭环。

四、漏洞管理工作未来规划

广发证券通过标准化、流程化的漏洞管理机制，解决了协同难度高、闭环考核难、漏洞信息保密性差等问题，提升了安全运营效果。漏洞管理是IT风险管理的具体措施，是事前防御的直观体现。漏洞管理系统长时间的数据积累将为广发证券网络安全规划、安全能力差距分析、供应链厂商风险管理等方面的工作提供数据支撑及决策参考。未来，广发证券将在以下几个方面进行持续改进。

一是覆盖持续集成及持续交付(CI/CD)场景。集成Gitlab、Jenkins等工具链，实现应用资产、应用开发过程中的漏洞管理左移。

二是支持交互式应用安全测试(IAST)的漏洞管理。引入IAST工具，最大程度利用测试团队资源提升漏洞检测的广度和深度。

三是覆盖云原生场景。随着云原生及容器技术的广泛应用，漏洞管理系统需实现容器的资产及漏洞管理。

本文刊于《中国金融电脑》2022年第11期

声明：本文来自FCC30+，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。