高校网络安全漏洞集中化管理的研究与规划

安军 杨谦 况玉茸

摘要：该文以兰州现代职业学院为例，分析当前高校的网络安全现状，通过对网络安全漏洞和漏洞集中化管理需求的研究，提出依托漏洞集中管控平台实现信息资产、扫描设备、任务工单和漏洞考核四个方面的网络安全漏洞集中化管理规划，为我院凭借信息化手段达到网络安全漏洞集中化管理目标提供了清晰的思路，该文亦可供其他院校在网络安全漏洞管理方面参考、借鉴。

关键词：网络安全漏洞;集中化管理;高校

中图分类号：TP393      文献标识码：A

文章编号：1009-3044（2021）31-0053-02

1高校网络安全现状

随着IT技术的迅速发展和教育信息化2.0的持续推进，高校信息化环境变得日趋复杂，各种 IT 基础设施的数量和类型不断增多，各种应用系统由于业务需要也在不断扩充，越来越多的安全风险也进一步显露出来，安全威胁发生了很大变化。本文以兰州现代职业学院（以下简称“我院”）为例，分析高校网络安全现状如下：

1.1信息系统众多，网络安全基础薄弱

我院经过多年信息化建设，在教学、科研、管理、校园生活等各领域实现信息技术对学校主要业务的大部分覆盖。其中“校园门户网站群”系统为我院及下属二级院提供互联网门户服务，此外还有图书管理、教务管理、数字化教学、“校园一卡通”等众多内网信息系统。

由于前期信息化建设权力分散，部分信息系统由二级学院自行建设，缺乏统一规划，在形成信息孤岛的同时也导致了安全孤岛，不利于网络安全问题的统筹解决。同时，信息系统的规划、设计、建设、运维各个阶段由于资金欠缺、经验不足等诸多原因，对于网络安全问题考虑不到位、把关不严格，导致网络安全问题层出不穷。

1.2安全意识薄弱，人员水平参差不齐

从安全管理的角度来说，网络安全很大程度上取决于人的安全意识，安全意识淡薄才是最大的安全隐患。与其他众多高校一样，我院及下属二级院均没有专职的网络安全人员，都是由应用系统运维人员来兼职。应用系统运维人员比较关注系统的功能性和可用性，对于网络安全普遍存在不了解、不懂、不重视的情况，大多数人还存在侥幸心理，认为网络安全事件不会发生在自己身上，还有部分老师虽然重视网络安全，但是受限于自身专业知识水平和解决实际安全问题的能力，不能完全胜任网络安全工作。

1.3安全投入较少，安全设备使用不到位

高校信息化建设中普遍存在“重应用，轻安全”的现象，加之受到资金条件的制约，导致网络安全方面投入较少，在设备采购、系统建设等方面均存在欠缺。同时，由于安全运维人员配置不足、网络安全培训薄弱，导致部分网络安全设备虽然采购到位却不能做到使用到位，网络安全相关设备的安全配置由设备厂商或系统集成商在项目建设初期配置完成，之后少有变动，不能根据网络实际变化情况进行按需配套调整，导致网络安全防护效能差，不能有效发挥网络安全投入带来的应有价值。

2网络安全漏洞與漏洞管理需求的研究

2.1网络安全漏洞

网络安全漏洞是指，网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中，无意或有意产生的，有可能被利用的缺陷或薄弱点[1]。这些缺陷或薄弱点以不同形式存在于网络产品和服务的各个层次和环节中，一旦被恶意主体所利用，就会对网络产品和服务的安全造成损害，从而影响其正常运行[1]。

漏洞是网络安全的“万恶之源”。由于管理员不能及时修补操作系统、数据库系统、应用软件等厂商公开披露的漏洞，攻击者利用这些漏洞展开攻击是一种容易得手的途径。如何及时修补漏洞、避免被攻击者利用是需解决的问题。高校可以将网络安全漏洞管理为网络安全管理的切入点，关注漏洞的发现和漏洞的修复，针对性地集中开展工作。

2.1.1 漏洞的发现

漏洞的发现是指，通过人工或者自动的方法分析、挖掘漏洞的过程，并且该漏洞可以被验证和重现[2]。漏洞管理中所指的漏洞包括操作系统漏洞、数据库漏洞、中间件漏洞、应用程序漏洞、网络设备漏洞、安全产品漏洞等。

网络安全漏洞的来源主要是通过漏洞扫描设备来获取。漏洞扫描设备一般是基于漏洞特征数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全漏洞进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为。

网络安全漏洞还可来自厂商或一些安全组织披露的漏洞信息，例如微软安全漏洞发布、国家网络安全漏洞共享平台（CNVD）公布等，对于高校来说网络安全漏洞还可以来自上级主管部门的一些通知文件。

2.1.2 漏洞的处置

漏洞的处置是指，通过补丁、升级版本或配置策略等对漏洞进行修补的过程，使得该漏洞不能被恶意主体所利用[2]。漏洞处置的关键点在于及时、有效的修补漏洞。及时性体现在发现漏洞后在最短的时间内完成修补，降低被攻击者利用的风险;有效性体现在漏洞修补后要进行复检以验证漏洞是否被消除。

漏洞的处置方式一般包括针对漏洞进行修补、使用替代方案避免出现该漏洞或接受漏洞的安全风险。漏洞的处置有严谨的工作流程，一般包括漏洞的发现、通报、确认、修补、核验等几个关键环节。

2.2 漏洞管理需求

网络安全漏洞的管理主要是完成对漏洞的快速准确识别和及时有效修补。通过对我院及二级院信息系统现状、网络安全漏洞现状的分析，我们提出通过集中化的漏洞管理信息系统完成漏洞的发现、通报、确认、修补、核验，最终实现漏洞的可识别、可控制的闭环管理。网络安全漏洞集中化管理有以下主要需求：

2.2.1全系统覆盖

集中化的漏洞管理信息系统应能覆盖我院全业务管理环境下所需要进行漏洞管理控制的各类信息系统，包括内网图书管理、教务管理、财务管理、数字化学习等信息系统和互联网暴露面的“校园门户网站群”系统。

2.2.2全过程管理

依托电子化的任务工单对漏洞管理过程中的漏洞发现、修复、复检、考核实现电子化流程管理，使漏洞管理工作的流程、数据和信息能够完整、精确、统一、共享。

2.2.3 全自动扫描

通过完备的系统间接口，实现漏洞集中化管理信息系统能够自动调用漏洞扫描设备执行扫描任务，并获取扫描结果报告，对于重要系统可调用两台不同品牌的漏洞扫描设备进行交叉扫描，提高漏洞扫描的全面性和准确性。

3漏洞集中化管理的规划

通过分析我院网络安全漏洞集中化管理需求，本文规划构建网络安全漏洞集中管控平台（简称管控平台），依托管控平台实现信息资产、扫描设备、任务工单和漏洞考核四个方面的网络安全漏洞集中化管理，完成对网络安全漏洞的发现、确认、修补、核验的闭环管理，从而凭借信息化手段最终达到漏洞集中化管理的管理意图。

3.1信息资产的集中化管理

网络安全漏洞是依附在信息资产之上的固有属性，资产管理是漏洞管理的基础，漏洞集中化管理需要厘清管理范围、确定信息资产清单。本文所提到的网络安全漏洞集中化管理仅限于我院信息系统相关主机、数据库、中间件、应用程序、网络设备和安全设备的网络安全漏洞，对于全院普通用户的办公终端的漏洞不在管理范围内。

我院经过校园网络及信息系统整合，实现了全院统一规划网络架构、统一规划IP地址、统一互联网出口，这为全院信息资产集中化统一管理提供了基础。我院的信息资产清单的确定是通过以下三步完成的：首先通过学院直属部门和各二级学院统一上报;然后使用NMAP进行扫描稽核;最后由学院信息资产管理委员会评估、确定需要集中管理的信息资产清单。

3.2 扫描设备的集中化管理

漏洞扫描设备由学院统一进行集中化管理。目前学院有某品牌漏洞扫描设备一套，计划将各二级学院的漏洞扫描设备收归学院统一调配使用，借此完成集中化管理，实现不同品牌的漏洞扫描设备搭配使用，从而实现交叉扫描。对扫描任务和扫描报告也进行集中化管理。

3.2.1扫描任务的集中化管理

通过漏洞集中管控平台实现对扫描任务的调度管理。在实际的网络安全管理过程中，扫描任务都是针对指定范围内的对象进行扫描，扫描任务可分为：定期按时扫描任务，不定期按需扫描任务。

扫描任务由被扫描设备所在安全域内的扫描设备来执行，也可根据管理需要进行跨域、跨二级院执行。重要系统需要两种或两种以上扫描设备或工具进行扫描，避免单一扫描设备或工具带来的漏判或误判，可将不同扫描结果进行对比，形成最优扫描结果。

扫描任务管理可根据漏扫设备接口开放情况来实现，如果漏扫设备提供第三方可调用的启动扫描接口，漏洞管理通过该接口自动发起漏洞扫描;如果漏扫设备未提供该接口，管控平台则自动发起扫描工单，由安全管理员来手动启动扫描。

3.2.2 扫描报告的集中化管理

执行扫描任务后形成的扫描报告由漏洞管理信息化系统统一保存管理。系统对扫描报告进行数据分析，为漏洞修补管理模块和统计与报表模块提供数据来源，为下一步的漏洞管理工作提供指引。扫描报告导入漏洞管理信息化系统通过两种方式，如果漏扫设备提供扫描报告导出接口，管控平臺调用该接口自动获取扫描报告;如果漏扫设备未提供该接口，则通过手工方式导入管控平台。

3.2.3 漏扫设备升级的集中化管理

漏洞扫描设备一般是基于漏洞特征数据库来进行工作的，漏洞扫描的及时性和有效性的保障来自设备漏洞数据库的及时更新。为了杜绝漏洞扫描设备因漏洞数据库更新不及时导致的遗漏和误判问题，在管控平台中自动发起漏洞数据库更新工单，由管理员完成更新后关闭工单。

3.3 任务工单的集中化管理

漏洞扫描是手段，发现并加固漏洞从而降低安全风险才是漏洞管理工作的终极目标。漏洞扫描设备输出的扫描报告是计算机系统容易解析的结构化数据，管控平台能够自动分析扫描报告，根据漏洞分类、风险等级等属性自动形成漏洞修补工单下发至系统或设备所属组织结构的网络安全管理员，由网络安全管理员负责检查、确认、修补漏洞并反馈工单。

管控平台收到漏洞修补工单的反馈后，对该系统或设备进行再次扫描，复检漏洞是否已成功修补，如未通过复检，系统会自动再次启动漏洞修补工单。如果网络安全管理员经过三次漏洞修补仍未通过漏洞复检，工单将自动流转到学院科技信息处网络安全管理主管，由学院网络安全主管指导网络安全管理员完成漏洞修补、实施替补方案或评估接受该漏洞的安全风险。

3.4 漏洞考核的集中化管理

漏洞管理的考核是我院网络安全考核管理的重要组成部分，只有通过科学有效的考核才能切实提高网络安全漏洞管理的效能。漏洞管理考核的对象分为三级，包括我院内部的网络安全管理员（个人）、二级院（组织）、漏洞管理合作单位（第三方）。管控平台通过定期、不定期的漏洞扫描检查以及漏洞修补后的复核检查来获取考核基础数据。

管控平台中的考核管理主要功能包括指标管理和考核展示。系统可以对漏洞管理涉及的相关工作进行考核指标定义，考核指标可以针对安全管理员或单位来进行指标设定，指标包括漏洞发现率、漏洞修补率、漏洞修补及时率、漏洞修补技能水平、漏洞数据库更新及时率等，后期在执行中可根据管理需要对考核指标进行优化调整。系统根据设定的考核指标和考核周期自动计算考核结果，并通过图表方式对不同的考核对象直观呈现考核结果。

参考文献：

[1] 中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会《网络安全技术 网络安全漏洞标识与描述规范》（GB/T 28458-2020），2020-11-19.

[2] 中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会《网络安全技术 网络安全漏洞管理规范》（GB/T 30276-2013），2013-12-31.

[3] 黄志宏，梁卓明.高校信息安全漏洞和威胁管理的研究与实践[J].重庆理工大学学报（自然科学），2019，33（2）：117-124.

【通联编辑：光文玲】

收稿日期：2021-03-19

基金项目：兰州市“十四五”2021年度教育科学规划课题（项目编号：LZ[2021]GH825）。