证券网络安全漏洞管理研究与实践.docx

《证券网络安全漏洞管理研究与实践.docx》由会员分享，可在线阅读，更多相关《证券网络安全漏洞管理研究与实践.docx（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、证券网络安全漏洞管理研究与实践近年来，随着我国数字经济发展的提速，网络安全防护和保障能力的重要性日益凸显。国家“十四五”规划提出：全面加强网络安全保障体系和能力建设，维护水利、电力、供水、油气、交通、通信、网络、金融等重要基础设施安全。中华人民共和国网络安全法关键信息基础设施安全保护条例证券期货业网络安全等级保护基本要求等法律法规和行业标准的相继施行，全国性、区域性、行业性的网络安全攻防演练呈现常态化，对证券行业网络安全漏洞管理能力提出了更高要求。根据国家互联网应急中心(CNCERT)统计，国家信息安全漏洞共享平台(CNVD)2020年新增收录通用软硬件漏洞数量创历史新高，达20704个，近5

2、年新增收录漏洞年均增长率为17.6%。漏洞影响了证券行业网络的机密性、完整性和可用性，可导致用户个人信息泄露、数据加密勒索等安全事件的发生，使国家金融安全、社会秩序稳定受到威胁，投资者合法权益受到损害。作为证券行业的关键信息基础设施运营单位，广发证券股份有限公司(以下简称“广发证券”)现有信息系统资产规模较大、种类较多，全面而有针对性地发现和整改安全漏洞难度较高。目前，广发证券通过部署主机入侵检测系统(HIDS)Agent采集资产信息，通过配置管理数据库(CMDB)登记基础资产信息(IP、域名和服务器)，但与安全漏洞相关的中间件、框架信息登记还有待完善。漏洞检测以远程方式为主，使用漏洞扫描和渗

3、透测试相结合的方式，重点对互联网信息系统开展安全测试，并周期性开展内网系统的漏洞扫描，但漏洞扫描报告和人工渗透测试报告等无法进行平台化、模块化、流程化管理。一、漏洞管理现状及问题分析在规范漏洞管理流程之前，广发证券采用手工方式登记漏洞信息，采用流程协同方式进行漏洞整改，存在协同难度高、闭环考核难、漏洞信息保密性差等问题。此外，因登记的漏洞信息未能与CMDB、HIDS等资产信息进行有效整合，导致出现新的高危安全漏洞时难以快速精准定位资产，应急响应速度及覆盖范围难以提升，漏洞管理效果欠佳。为此，广发证券使用“人机料法环测”5M1E的方法进行鱼骨图(因果图)分析，共找到9处安全漏洞管理症结及成因(如

4、图1所示)，主要表现在以下几个方面。图1 安全漏洞管理症结及成因的鱼骨图分析一是漏洞来源广泛、数量多。不仅需从绿盟RSAS、Acunetix、Tenable等多种漏洞扫描工具获取漏洞，还需从渗透测试报告、内部漏洞上报、外部漏洞通告中获取漏洞信息。二是漏洞整改跟踪缺少工具支撑。由于资产信息、漏洞管理处于闭环流程，处置过程需要跨业务、部门和系统的协作，需要技术对接、流程打通、信息传递。三是安全漏洞分级标准不明确。各类漏洞定级、不同类型漏洞的整改期限缺乏统一标准。四是漏洞整改方式未有效积淀。漏洞的自查方式、整改方式欠缺，未能形成有效知识库。二、解决思路与实现路径1.解决思路参照Gartner提出的漏

5、洞管理生命周期模型，在确定资产边界、用户角色、漏洞评估工具、漏洞处理策略及识别资产环境的前提下，漏洞管理应以PDCA循环方式开展，具体分为评估、划分优先级、处理、再评估、改进五个环节。针对漏洞管理效果欠佳的问题，广发证券提出整体规划、分步实施的原则，通过平台化、模块化、流程化的解决思路，逐步建设广发证券平台化的漏洞管理系统，将安全人员从繁杂的手工作业中解放出来，投入到核心环节和核心问题的解决中，如业务视角的漏洞风险分析、漏洞与威胁情报联动、沉淀漏洞整改方式、调整全局安全策略及合规性要求。漏洞管理系统遵循模块化的设计思路，围绕资产库、漏洞库、知识库三项核心能力进行模块构建。同时，设计具备流程适配

6、性的工单系统，以支撑漏洞处理任务的闭环管理。一是资产库。作为安全工作的基础，采集、识别多源数据。二是漏洞库。关联资产库关键字段，定位相关部门和责任人。三是知识库。沉淀漏洞修复方法和经验，辅助系统运维和开发人员执行具体修复操作。四是工单系统。固化漏洞整改涉及的流程及环节，对接企业门户进行待办提醒。五是API接口。满足外围系统指标化运营管理的需要，输出漏洞管理相关数据。2.实现路径漏洞管理系统通过工单闭环管理、资产数据采集、自动化漏洞采集、漏洞数据与资产数据关联分析等功能，实现漏洞闭合管理的工具支撑(如图2所示)，其关键措施有以下几种。图2 漏洞管理系统架构(1)关键字段定义设计漏洞管理工作的本质

7、是从风险管理视角，围绕结构化的关键字段信息进行全流程闭环的场景设计。广发证券对资产、组织、风险、责任人等漏洞管理的核心数据进行了详细的属性标记，并将其作为漏洞管理系统的基础数据支撑。(2)多源数据采集与去重通过接口对接，漏洞管理系统定时采集多个上游系统(漏洞扫描器、CMDB、云管平台、HIDS)的数据，包括资产数据、漏洞数据，根据数据优先级对数据进行合并，扩大数据覆盖范围，提高数据覆盖的准确性。(3)漏洞闭环管理为了解决资产属性不清晰、相关负责人不明确、闭环不完整等问题，广发证券通过对接CMDB，将漏洞评估时需要的关键信息采集到漏洞管理系统中，匹配资产属性、相关负责人及部门信息，快速定位漏洞责

8、任人。通过漏洞闭环管理流程(如图3所示)，系统录入漏洞库、定位资产信息、关联责任人，再由安全人员通过工单系统派发处置工单，根据漏洞处置实施细则设定流程监控指标，监督修复进度和结果复核，从而形成PDCA循环。图3 漏洞闭环管理流程(4)供应链安全管理供应链漏洞尤其是开源组件漏洞具有影响范围广、危害大的特性，广发证券对HIDS采集组件数据及漏洞数据进行分类整理，并根据漏洞可利用性、危害性、影响范围进行分级，优先修复高危漏洞，通过漏洞复现形成相关修复过程文档并提交至知识库中，助力开发人员升级或替换Struts2、Fastjson等经常出现漏洞的组件。(5)完善漏洞管理相关制度为了确保漏洞管理工作的有

9、效推进，广发证券发布了广发证券网络安全漏洞管理实施细则，对漏洞评估及处理的职责、漏洞定级、处理期限等方面进行了规范，在漏洞管理系统设置了相应的流程，并根据漏洞级别对处理期限设置了超时提醒机制，以支撑管理制度落地。三、漏洞管理实践效果广发证券漏洞管理系统实现了漏洞管理、资产管理、工单管理、漏洞知识库及统计报表功能，并可用于漏洞发现、通知流转、整改闭环的日常工作之中。与传统的安全人员远程扫描、整理漏洞及流转整改流程的方式相比，广发证券漏洞管理系统上线之后，漏洞发现和闭环的时间从2021年第三季度的平均41天缩短到2021年第四季度的平均29天，有效缩短了漏洞平均处理时长，提高了漏洞处理的及时率。2

10、021年12月，Apache Log4j远程代码执行漏洞(CVE-2021-44228)及其利用代码在互联网上进行了披露，由于该漏洞影响面极其广泛，漏洞利用难度低，互联网上漏洞利用攻击尝试迅速出现，为广发证券信息系统的漏洞修复及响应效率带来严峻挑战。广发证券一方面在Web应用防火墙、入侵检测系统等网络及安全设备上完善防护和监测策略，在内部DNS劫持攻击者利用的带外域名；另一方面使用主机和Web扫描工具对各类系统发起远程扫描，同时利用漏洞管理系统筛选使用Log4j组件的主机，对受影响版本的主机生成漏洞工单，并流转给从CMDB系统获取的系统运维人员、开发人员进行整改，最终完成漏洞整改流程闭环。四、

11、漏洞管理工作未来规划广发证券通过标准化、流程化的漏洞管理机制，解决了协同难度高、闭环考核难、漏洞信息保密性差等问题，提升了安全运营效果。漏洞管理是IT风险管理的具体措施，是事前防御的直观体现。漏洞管理系统长时间的数据积累将为广发证券网络安全规划、安全能力差距分析、供应链厂商风险管理等方面的工作提供数据支撑及决策参考。未来，广发证券将在以下几个方面进行持续改进。一是覆盖持续集成及持续交付(CI/CD)场景。集成Gitlab、Jenkins等工具链，实现应用资产、应用开发过程中的漏洞管理左移。二是支持交互式应用安全测试(IAST)的漏洞管理。引入IAST工具，最大程度利用测试团队资源提升漏洞检测的广度和深度。三是覆盖云原生场景。随着云原生及容器技术的广泛应用，漏洞管理系统需实现容器的资产及漏洞管理。11