如何建設高校網絡安全漏洞管理處置體系？

隨著信息技術的快速發展，網絡已經成為人們生活中必不可缺的一部分，與此同時，網絡安全也引起廣泛的關注。《中華人民共和國網絡安全法》的頒布實施，更是從根本上、從法律上確定了網絡安全的重要性。

隨著高校信息化的快速迭代，高校信息系統建設亦如火如荼，以網上辦事大廳、一網通辦、移動門戶等為代表的新興應用，為師生提供了許多便利。

同時，網絡安全管理責權不清、責任不到位，人員網絡安全意識淡薄、程序代碼編寫不規范、網絡安全防護手段不健全等相關問題也逐漸暴露，如何實現網絡安全與信息化一體之兩翼協同發展，成為高校信息化發展面臨的難題。

在北京大學醫學部網絡安全管理的起步階段，也曾遇到諸多問題。

首先，信息化資產數據不清楚，學校內部的網站和業務系統多且雜，從系統的基本信息到具體維護操作，相當一部分系統管理者不掌握，網絡管理部門也不清楚具體情況。

其次，管理人員網絡安全意識淡薄，許多系統缺乏必要的安全防護措施，系統不更新補丁，管理密碼簡單，如用戶名與密碼一致等。

再者，開發人員水平參差不齊，開發系統代碼不規范，缺乏必要的網絡安全防護考慮，SQL注入、跨站腳本常有，應用安全漏洞百出。

最后，網上攻擊工具也越發智能，黑客攻擊專業化水平整體提升，安全信息公開越發頻繁，攻擊更易上手。

上述所有問題，被攻擊的入口便是漏洞，有了漏洞，也就給黑客們提供了進門的鑰匙，如何盡早發現漏洞、修復漏洞，是網絡安全人員防范網絡安全事件發生的必備能力。

漏洞也是缺陷，網絡安全漏洞（以下簡稱“漏洞”）就是在計算機系統的硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而使攻擊者能夠在未授權的情況下訪問或破壞系統。

《信息安全技術安全漏洞等級劃分指南》按照危害程度將漏洞分為超危、高危、中危、低危4種級別；國家信息安全漏洞庫將漏洞劃分為配置錯誤、代碼問題、信息泄露、緩沖區錯誤、跨站腳本、路徑遍歷、注入、后置鏈接、跨站請求偽造等26種類型。

這些漏洞大多數都是由于開發人員代碼不規范，管理人員網絡安全意識淡薄造成的，所以，漏洞的處置需要管理和技術相結合，相輔相成，缺一不可，制定一套行之有效的漏洞管理處置體系也就成為當務之急。

Gartner漏洞閉環管理框架

Gartner是一家信息技術研究和分析的企業，研究范圍覆蓋全部IT產業。由于網絡安全風險已經成為世界安全的重要組成部分，Gartner著力于網絡安全漏洞的管理研究，充分重視“在安全漏洞被利用之前發現和修復安全漏洞的關鍵過程”。

2019年10月，Gartner發布了漏洞閉環管理框架2.0，將漏洞管理所涉及的人員管理、處置流程和技術操作看作一個連續的閉環周期（如圖1）。

圖1 Gartner漏洞閉環管理框架框架包括五個階段，分別是：評估、確定優先級、采取行動、重新評估和改進提高，前期工作為整個流程奠定了基礎保障。該框架強調漏洞管理和安全防護是一項持續的過程。

互聯網時代，黑客攻擊無法百分百被攔截，系統漏洞也不可能立刻完全消失，需要轉變固有的安全防護思維，即從“應急響應”到“持續響應”，前者認為攻擊是偶發的，一次性的事故，而后者則認為攻擊是不間斷的，要承認系統時刻處在被攻擊中，并在閉環的管理中不斷優化、不斷改進、不斷完善。

在前期準備工作中，確定管理范圍、定義用戶角色和職責是整個工作的第一步，梳理現有的網絡信息資產，明確資產的重要性、用途和范圍，確定資產的負責人及其職責，明確資產的來龍去脈，確定系統架構，清楚其操作系統、組件版本、開放端口、業務風險、合規性以及與其他系統之間的關聯等信息，清晰完整的資產臺賬是漏洞管理的基礎。漏洞評估工具也是漏洞管理的重要部分，選擇適用的工具將會事半功倍。

Gartner漏洞管理流程5個階段的主要內容如下：

1. 評估 評估就是識別資產、發現漏洞并確定漏洞真實性，無論是自行掃描發現還是通過其他途徑發現的漏洞，要先確定發現漏洞的資產是否在資產范圍內，再去驗證漏洞的真實性。

2. 確定優先級 漏洞掃描工具往往會發現很多漏洞信息，需要利用漏洞優先級排序和自動化的工作流程來簡化工作。根據優先級去處理問題，能夠提升漏洞修復效率。漏洞優先級應結合資產重要性、漏洞的網絡曝光度和漏洞嚴重程度等信息來綜合評定。

3. 采取行動 采取行動即修復漏洞的過程。對風險等級高的漏洞要優先修復，其中修復難度較高或者不便處理的漏洞，也可使用其他方法先降低漏洞的風險等級，對于需要快速處理的漏洞，降低其風險等級通常是第一道防線，例如限定內網提供服務,但降低風險等級不代表漏洞消失，后續仍需要修復。

4. 重新評估 即重新驗證漏洞，確定其是否修復成功。對于使用其他方法降低風險等級的漏洞需重新評估。

5. 改進提高 即對以上流程的總結和回溯，整理在本次流程中出現的問題并給出解決方法，避免下次出現相同的問題，形成更完善的漏洞處置流程。 管理者應定期統計分析漏洞處置的相關數據，掌握修復時長、修復率、掃描頻率等情況，對策略進行優化，不斷提高漏洞處置能力。

基于全生命周期管理的網絡安全漏洞處置體系

為了防止漏洞被利用并演變為安全事件，提高學校網絡安全防護能力，北京大學醫學部參考Gartner閉環漏洞管理框架，結合學校實際情況，形成了一套基于全生命周期管理的網絡安全漏洞處置體系。

簡而言之就是：摸清家底，識別資產、明確責任，定義角色、風險評估，確定層級、處置先行，管理到位、循環檢測、自我改進、深化提高、確保安全。

醫學部網絡安全漏洞處置體系本質上也是一個閉環管理，具體包括如下五個環節：

圖2 醫學部網絡安全漏洞處置體系

1. 備案和資產確認

2017年6月，北京大學發布了關于加強網站與信息系統備案信息登記的通知，通過建立網絡信息備案系統，掌握現有網站和信息系統資產，收集必要的資產信息，如：IP地址、操作系統、組件、開放端口、責任人、管理人等重要信息。

校園網出口嚴格執行白名單機制，備案系統登記通過，才能申請開通校外訪問的權限，確保外網服務權限嚴格管控，避免漏網之魚。

網絡信息備案系統還收集了單位負責人和系統負責人的相關信息，明確了安全主體，責任到人。除此之外，備案執行年審機制，每年由系統負責人、主管部門對其負責的網站和業務系統進行自查，通過年審的，方可保持其服務的權限。

2. 漏洞評估

該項工作是漏洞管理的重要一步，漏洞評估包括發現漏洞、判別漏洞和確定優先級三方面。

北京大學醫學部發現漏洞的途徑分為內部自查和外部反饋兩種。

內部自查包括新系統上線前安全掃描和在線系統定期的安全掃描。

為確保安全掃描的有效性，醫學部選擇了兩種不同的漏洞評估工具對系統進行安全掃描，一種是掃描網站域名，另一種是掃描服務器IP地址。

域名掃描通過滲透的方式去發現應用層面的漏洞，針對性強。IP地址掃描能檢測系統和應用版本、補丁情況、數據庫版本等系統級漏洞，具備資產發現能力。

外部反饋則是接收校外漏洞檢測平臺的信息，目前北京大學醫學部接收的網絡安全信息來源包括教育行業漏洞報告平臺、補天、北大本部等。

判別漏洞，首先要確定漏洞的真實性，以及漏洞是否屬于備案資產。

對于內部自查的系統可以確定其在資產范圍內，而外部反饋則需先確定是否學校資產，再去驗證漏洞的準確性，驗證成功的漏洞要截圖留證形成報告，以便通知相關系統負責人。

漏洞優先級需要根據漏洞等級和其所在資產的重要性兩方面來判定。

影響范圍廣或者用戶量大的系統優先處理，例如學校主頁、郵件系統、教務系統和全校服務平臺等，危害程度高的漏洞必須優先處理，例如命令或代碼執行、跨站腳本攻擊、SQL注入等。

漏洞分級可讓漏洞管理更加清晰有效，在漏洞處理時也更有側重點，提高修復漏洞的效率。

3. 漏洞處置

網信中心在第一時間限定系統校內訪問，并根據備案信息通過郵件通知負責人。

郵件內容會告知漏洞數量和危害等級，并告知已中斷校外服務，附件中會添加《網站信息系統安全整改通知書》掃描件以及漏洞報告，并輔以電話通知，整改通知書有相關的網絡安全法的條款和網信中心公章，以督促負責人增強網絡安全意識。 系統管理員根據漏洞報告進行整改，對于修復時間長或者修復不徹底的系統，網信中心會給予一定的技術支持，幫助其盡快修復。

4. 漏洞修復和確認

系統管理員反饋漏洞修復成功后，網信中心將再次檢測確認，并對該系統進行全面掃描，確定反饋的漏洞都已修復并沒有新漏洞，經確認后，系統管理員需提交紙質版的整改回函和漏洞修復技術報告存檔，整改回函需要二級單位領導簽字并蓋章，以督促單位領導和管理員重視網絡安全，增強網絡安全意識，強化網絡安全責任感，提交后，該系統的校外訪問權限方可恢復。

5. 改進提高

網信中心定期復盤漏洞管理的流程，改進遇到的問題，根據實際情況修改安全策略，調整漏洞評估工具的掃描頻率等，對于網絡上遭受攻擊頻繁、曝光度高的服務端口提前封禁，對于公開漏洞或者軟件安全更新的補丁及時通知負責人，對于頻繁出現漏洞的系統會增加對其漏掃的次數。

制定網絡安全應急預案，在重保時期，除特定必要網站系統外，其他網站系統均限制在校內訪問，業務部門有特殊需求，需黨政一把手簽署《醫學部信息系統網絡安全承諾書》，經檢測無中高危漏洞后，方可在應急期間對外提供服務，承諾書明確重保時期的要求，為強化各單位對網絡安全的重視程度，承諾書條款還明確：一旦發現中高危漏洞，承諾書自動失效，必須重新簽署。

同時，為加強網絡安全宣傳，督促各單位領導引起重視，網信中心每月統計當月漏洞情況，發布安全月報，年初發布網絡安全數據年報。

實踐效果和總結

近年來，通過不斷完善基于全生命周期管理的網絡安全漏洞處置體系，北京大學醫學部網絡安全工作開展較為順利，在各部門的配合和支持下，醫學部網絡安全事件處置得當，整體風險呈逐年降低趨勢，業務部門人員的網絡安全風險意識也得到了明顯提升，漏洞處置流程進一步規范，漏洞管理能力逐漸加強，網絡安全風險逐年遞減，高危漏洞整體呈下降趨勢。

通過近兩年的漏洞數量和類型的統計數據，命令/代碼執行等高風險漏洞數得到有效遏制，漏洞處置體系發揮了作用；技術層面的高危風險整體被遏制的同時，信息泄露類、安全特性類等風險，屬于管理層面的漏洞不降反升，以往被忽視的管理層漏洞更被白帽子們重點眷顧，因此，進一步加強宣傳和管理，強化管理人員的網絡安全意識，是降低此類風險漏洞的必要手段。

表1醫學部近2年網絡安全漏洞數量和類型統計

全面加強網絡安全檢查，摸清家底，認清風險，找出漏洞，群策群力，監督整改是網絡安全工作的基本手段，網絡安全風險日新月異，被動防御只會越發滯后，安全事件將無法避免，轉變思路，從被動防御轉變成主動發現、主動防御，主動處置正在成為高校網絡安全工作的新方向。

北京大學醫學部也進行了一些嘗試，通過建立網絡安全態勢感知系統，采集各類型日志，建立分析模型，對學校網絡安全風險情況進行預測，進而實現提前預警。

網絡安全無小事，風險防患于未然，安全事件無法預知，但風險卻可以降低，風險越早發現，越早處理，安全事件也就越難以出現。

同時，一定要加強網絡安全的宣傳工作，網絡安全不僅僅是網信部門的工作，更是全體師生的事情，系統建設者、管理者更要高度重視。

增強師生的網絡安全意識，做好漏洞的事前、事中、事后的全生命周期處置管理，將顯著提高學校網絡安全管理水平，降低網絡安全風險，進而防止網絡安全事件的產生。

作者：趙雪捷（北京大學醫學部網絡安全與信息化技術中心）