中国农业银行企业级SaaS化脆弱性管理平台建设实践

文 / 中国农业银行数据中心 网络安全运营中心 赵迪

在信息化建设的征途上，网络安全风险管理是金融机构面临的巨大挑战之一。数字化转型带来了更多线上化、移动化的新产品与新体验，业务产品快速迭代创新，业务量随之迅速增长，传统的集中式架构难以支撑，分布式架构的引入在增加资产量级的同时，引入了众多全新的技术栈，随之而来的是更为复杂的脆弱性管理难题。为保障信息系统安全稳定运行，向客户提供更加优质安全的金融服务，金融机构均在积极寻求探索解决方案，以不断提升脆弱性评估能力。

中国农业银行（以下简称“农行”）经过四十余年建设和发展，构建了涵盖百万级IT资产、分布于国内外2万余个分支机构的巨型网络和庞大信息系统。面对海量IT资产，如何全面、快速、精准定位和修复存在的各类漏洞，成为保障信息系统安全稳定运行的关键。为此，农行提出了“以资产为中心”的总体思路，并统筹建设了“一套平台”——企业级SaaS化网络空间脆弱性管理平台，取得“四大关键技术创新”——跨地域分布式SaaS化容器部署架构、企业网络空间资产攻击面全方位管理（CAASM）、企业网络空间持续自动化攻击验证（CART）、基于白帽子社区的海量PoC迭代管理机制（PoC plus），最终带来“五大转变”，实现了针对全集团全量IT资产的智能化、自动化、常态化脆弱性评估。

为有效应对各类漏洞带来的网络安全风险，农行以传统的漏洞扫描工具为技术依托，建立了漏洞检测、修复、复核、考核为主的闭环管理机制，实现了关键网络区域的“漏洞清零”。但近年来随着数字化转型战略的推进，金融机构传统“以漏洞为中心”的脆弱性管理工作面临着诸多新形势和新挑战。

一是传统“以漏洞为中心”的脆弱性管理工作存在诸多弊端。首先，“以漏洞为中心”的脆弱性管理模式，忽视了资产的差异性，全量资产采取无差别化扫描，未能有效建立资产视图，无法针对不同资产类型、不同组件采取与之相符的脆弱性检测。其次，漏洞视角的管理模式更关注漏洞本身，由于缺乏有效的资产视图，需借助行内其他的资产管理系统定位漏洞资产归属信息，对漏洞的跟踪及治理增加了额外的工作量，难以直接从资产出发，开展脆弱性扫描、跟踪及治理。

二是海量资产带来脆弱性管理覆盖度问题。漏洞是IT资产的脆弱性，如果资产家底不清，脆弱性管理的全面性则无从谈起，“木桶原理”决定了“短板”将严重影响网络安全保障水平。目前，农行拥有近上百万的IT资产，且随着全行IT基础架构向混合云转型，可以预计的是未来资产数量还将继续呈现快速上升的趋势，如何精准、快速掌握海量资产及其变化情况成为脆弱性管理必须解决的问题。

三是资产的跨地域分布导致漏洞检测时效性低下。国有大型商业银行普遍面临IT资产分布于全国各地，信息系统支撑上万个分支机构的日常运转。传统集中部署的扫描器需要触达广泛分布的IT资产，给管理员带来了繁重扫描任务配置工作，且跨网段的扫描耗时冗长，完成一轮覆盖全行资产的扫描往往需要月余，工作效率较低。

四是新技术栈带来了漏洞检测能力持续优化问题。近年来，各类基础软件的高危漏洞呈现持续爆发的态势。与此同时，为有效支撑国家网络安全战略和数字化转型需求，越来越多新技术栈的持续引入，构成了国有商业银行的新架构、新底座，也不可避免地带来新的脆弱性风险。如何实现检测技术的快速有效升级，以应对层出不穷的漏洞扫描需求，是未来脆弱性管理工作的关键。

基于以上金融机构普遍面临的管理和技术挑战，农行结合行内以往传统安全脆弱性评估体系的使用经验沉淀与总结，结合未来私有云发展规划，重点围绕四大关键技术，打造了企业级SaaS化网络空间脆弱性管理平台。

关键技术一

跨地域分布式SaaS化容器部署架构

本实践采用总分行分布式部署架构，应用SaaS化多租户模式进行一体化管理。总行部署统一的集中化管理平台，全行各网络分区部署轻量级分布式扫描引擎节点。全行运维人员以多租户模式登录平台，统一管理扫描引擎，实现全行扫描策略的统一配置、扫描引擎的集中升级，极大程度上降低了运维操作成本。在严格的应用逻辑、数据权限隔离基础上，实现对多租户资产的全面采集与管理。以资产为核心，贯穿资产收敛和风险管理全生命周期开展统一的资产脆弱性管理，进而整体保障金融业务安全、可靠、持续的运行。

此外，结合混合云架构的建设规划，平台及扫描引擎均采用容器化的部署模式，与云原生架构无缝融合，扫描引擎按需拉取，需检立检，按照云上云下环境的统一安全标准，对云内进行全量资产扫描以及脆弱性排查。针对总行集中管理平台，所有服务均在多节点、多容器集群化部署，依赖的开源组件集群均支持横向扩展，可通过节点扩容的方式实现按需对资源池进行弹性扩容，增加引擎节点，及时填补扫描盲区。利用集中监控平台通过API实时获取节点容器级运行状态，确保平台正常稳定运行。500余个引擎检测节点落地覆盖全行私有化环境以及云上环境，实现云上深度覆盖区域的纳管，打造了面向全量资产、全引擎节点扫描评估的能力。

图1 云上环境能力适配

关键技术二

企业网络空间资产攻击面全方位管理（CAASM）

本实践通过安全分析引擎和数据分析引擎，将企业网络空间攻击面管理过程中的攻击者视角信息和防御者视角信息进行统一和整合，以主动扫描、被动监测、情报预警和自动化评估等多种手段及时发现内部IT资产攻击面，并进行分析评估和响应处置。攻击面管理覆盖主机资产、Web资产、IoT资产、容器集群资产四大维度，并识别站点的Sitemap、后台登录页面、API、数据库等指纹信息，通过知识图谱技术对无主资产、僵尸资产、影子资产等不同类资产进行标记和可视化呈现，同时持续监测到资产的存活、端口开放、漏洞等历史信息变化情况。

一是多元化实现Web检测能力提升。动态爬虫结合流量URI特征提取，采用模拟浏览器动态爬虫技术渲染Ajax页面，通过获取更多的接口加强对Web站点的漏洞检测覆盖。从IP地址、Web应用全访问途径开展了主动资产探测，并结合代理网关和生产流量开展被动资产测绘，最后以多维、立体、可视化的形式，为攻防对抗提供多维立体可视化展示和全场景数据支撑。

二是从“漏洞视角”转向“资产视角”，实现资产的精细化管理。以攻击者视角挖掘检测企业网络空间资产攻击面，提供持续监控的网络资产管理能力。通过强化资产视角的管理能力，对资产形成更加丰富的脆弱性分析视图。利用多租户模式实现了分布式架构，为不同租户提供专属的工作区域，在实现资产隔离的前提下，做到了对总行、分行资产的集中纳管，并提供统一的攻击面管理标准，通过借助CAASM全面盘点网络资产，不断提高资产可见性，减少安全漏洞风险。支持对辖内资产进行分区分域管理，区域内资产持续监控探活，及时纳入扫描管控范围，杜绝扫描盲区，达到区域资产全覆盖。结合资产业务系统、组件、网络域等属性对其进行分组管理，针对不同资产组预置专属扫描策略。实现脆弱性与资产关联绑定，从资产视角查看漏洞信息、处置情况、追踪历史风险。在面临突发安全风险时，可快速进行全局脆弱性排查，精准定位资产以及相关责任人，进而实现标准化处置闭环，大幅度收窄风险敞口，为全行各分支机构提供综合研判依据，降低运维管理成本。

图2 多租户模式资产脆弱性集中纳管

关键技术三

企业网络空间持续自动化攻击验证（CART）

本实践通过持续性自动化安全攻击测试精准定位安全漏洞，基于原理验证式PoC技术对主机资产、应用资产进行全面精准评估。除传统的漏洞、弱口令外，进一步加强对不安全的配置、敏感信息的泄露、供应链漏洞以及防御有效性的检测。

一是采用自启发式检测算法，通过精准的主机、组件、Web应用等无害化PoC检测插件，自动化匹配已建立好的网络空间资产攻击面，实现不同类别、不同组件的主机、虚拟化、云平台等资产的专属漏洞扫描覆盖。检测引擎基于语义和词义分析技术，在存在漏洞的情况下可以确保使用最少的请求完成检测，准确率达到99%以上，大幅度降低误报率、减少人员复核的成本消耗。检测与复核任务自动化周期执行，评估结果配套提供详细漏洞利用原理以及攻击载荷Payload，相较于传统黑盒检测更加直观清晰、透明可见，可查看漏洞探测中包含的所有关键请求与响应的报文，为进一步手工验证提供基础，有效提高漏洞检出的准确率。

二是内置盲打平台实现Web检测能力的提升，针对检测内网诸如Log4j远程代码执行漏洞等无回显类特殊漏洞，利用引擎自带的盲打平台进行自动识别、精准验证，配置监听服务器回连的端口，通过盲打平台接收到的回连记录，精准判断漏洞是否存在，可有效针对存储型XSS、SSRF及反序列化漏洞进行验证。

关键技术四

基于白帽子社区的海量PoC迭代管理机制（PoC plus）

PoC作为引擎检测能力的基础，其质量和数量决定了漏洞治理的深度和广度。然而，随着漏洞的大量爆发，依靠单一企业或团队难以及时完成大量高质量PoC的编写。为保障引擎检测能力与时俱进，推动扫描引擎能力向更多漏洞检测领域持续探索创新，并依托白帽子社区建立了基于众测能力下的海量PoC迭代管理机制。

一是基于白帽子社区建立持续的漏洞检测脚本更新和新漏洞快速响应机制。利用社区机制扩大收集PoC的范围，实现众测能力的落地，强化引擎检测能力，扫描引擎能力向着容器安全、API安全、逻辑漏洞、供应链漏洞检测领域持续探索创新。目前社区已经拥有活跃用户5w+，依托于庞大的用户量，为源源不断提供PoC打造了良好基础。

二是建立了完善的审核体系。综合了行业专家意见，并参考国内外同类产品，制定了科学客观的审核标准。针对通用型漏洞PoC，其所影响的软件，在互联网网络空间搜索引擎的检索量均不少于百条资产记录，保证PoC具备一定的通用性，通过专业人员进行多方面审核后收录。针对内网资产漏洞、重要性较高资产的漏洞与0day漏洞，则单独审核收录，并提供专门的团队负责漏洞库的审核与维护，对于影响范围广的0day漏洞进行第一时间响应，从多个维度综合提升扫描引擎的硬实力。

应用成效

五大转变

企业级SaaS化网络空间脆弱性管理平台建设完成后，农行实现了围绕全行生产环境，定制常态化策略。根据不同环境调整资产探测频率、PoC验证类型等参数，并通过总行、分行管理员生成差异化的自动检测策略，不间断探测资产，并对其进行安全脆弱性评估，聚合标准化检测结果，为漏洞修复进行优先级排序。

该项目的实施为农行带来了五大转变。

1.转变职能，聚焦主业

安全人员从重复的配置、执行扫描任务中解放出来，转为专注于漏洞治理工作。该平台通过云化多租户模式承接了全行扫描任务下发的工作，避免了在各分行及分支机构独立部署建设，节省资金并且解放漏扫实施和管理维护人员，实现了降本增效。

2.打破周期，持续评估

由每季度定期式转为常态化漏洞持续评估。通过租户-工作区-资产组-扫描引擎的绑定关系实施扫描，实现扫描引擎的自动化调度，扫描动作周期性静默执行，各资产组扫描结果实时同步至资产属性中。新增至各资产组的资产将在下一周期加入扫描，实现扫描全覆盖。农行开展了多次专项漏洞及重点分区的扫描，共计发现并修复漏洞上百例，有效保障了系统安全。

3.转变形态，需检立检

漏扫工具转变为资产脆弱性管理中心，提供全行统一的平台管理漏洞资产能力。结合云原生模式部署，扫描引擎按需拉取、需检立检，赋能容器漏洞扫描。扫描引擎实现分钟级部署能力，及时填补扫描盲区。提供全生命周期的漏洞检测能力，提供投产前卡点扫描，杜绝带病投产，投产后常态化扫描测试。

4.联动预警，智能闭环

识别网络中存活的无主资产，做到摸清家底。与行内S-CMDB进行联动，将检出发现的漏洞信息及资产基础信息进行定期同步。同时，提供常态化漏洞追踪预警功能，联动最新漏洞情报信息，结合资产组件版本信息，精确智能匹配行内受影响的资产并实时预警，实现高效排查资产风险点。利用行内多平台联动，实现漏洞处置全生命周期的自动化闭环管理，系统通过与SOC联动对接，自动生成漏洞处置工单，并提供工单一键复测功能，打造更加自动化、智能化的资产脆弱性闭环处置机制。

5.强化检测，落地众测

多元化实现Web检测能力的强化，模拟浏览器动态爬虫，并结合代理网关和流量开展被动资产测绘。新增内置盲打平台，实现针对检测内网诸如Log4j远程代码执行漏洞等无回显类特殊漏洞的精准验证。基于白帽子社区建立持续的漏洞检测脚本更新和新漏洞快速响应机制，利用白帽子社区机制扩大收集PoC的范围，实现众测能力的落地，强化引擎检测能力。

图3 资产脆弱性自动化闭环处置流程

目前，农行新一代漏洞资产管理体系成效初显，受益于SaaS租户化模式，项目实施推广时间大幅度缩短，仅耗时1个多月即完成了36家分行推广部署及使用培训。针对已经纳管的区域，标准化梳理资产，建立了超50个资产属性的精细化管理模式，统一评估安全风险。总行管理员可清晰查看已纳管区域的资产风险全局态势，同时在重保以及突发安全事件时，实现小时级全行应急响应，并将原有月余完成一轮160万全量资产的覆盖扫描时间大幅缩短至天级。

在未来的工作中，农行将持续创新网络安全管理理念，积极探索网络安全新技术的应用和落地，不断提升网络安全数字化运营能力，以有效应对日益严峻而复杂的网络安全形势，为保障国家安全、金融安全贡献力量。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。