兩高一弱

面對全球網絡攻擊日趨組織化、產業化的嚴峻態勢，需要通過持續化、常態化的安全風險管理，為政府、企事業單位整體的信息系統運行提供保障，幫助其安全水平實現從“基礎合規”到“有效防護”的升級。其中，資產安全管理的水平決定了組織安全風險管理能力的上限。然而，網絡中長期存在的“兩高一弱”（高危漏洞、高危端口、弱口令）問題，嚴重制約了政企單位整體網絡安全水平的提升。

近年來，公安機關及各行業主管部門高度重視“兩高一弱”問題，持續開展專項整治行動，針對重點行業單位互聯網資產和內網資產的安全風險隱患，形成常態化排查和整改機制，旨在減少政企單位資產脆弱點，提高整體安全防御能力。在此背景下，建立一套行之有效的“兩高一弱”場景解決方案對政企單位網絡安全運營工作而言迫在眉睫。

天融信根據多年的信息安全領域研究成果和項目經驗，針對高危漏洞、高危端口服務和弱口令等低投入、高收益的攻擊特點，推出資產探測與發現、脆弱性采集和脆弱性分析管理的“三步走”綜合整治方案。該方案的核心優勢是能夠進行資產信息、脆弱性信息與脆弱性管理動作之間的關聯，進而支撐資產脆弱性識別與處置，輔助安全風險與事件處置，協助政企單位針對“兩高一弱”問題開展日常安全管理與運營工作。

第一步?資產探測與發現?

從安全實戰的視角來看，只要是可操作的對象，不管是實體還是屬性，都可以稱之為“網絡資產”。政企單位的網絡資產從業務管理視角來看，可分為互聯網暴露面資產和內網資產兩大部分。

互聯網暴露面資產通常包括：IP、URL、端口、服務、公有云、SaaS應用等網絡資產。

內網資產通常包括：硬件設備、軟件、數據庫、操作系統、虛擬機、容器、物聯網設備、打印機外設等網絡資產。

政企單位首先依托于相關產品和服務，建設自身資產發現與識別能力，建立互聯網資產臺帳、內網資產臺帳、資產映射關系表、網絡拓撲圖等資產管理機制。其次，在資產發現與識別能力建設基礎上，再建設資產標識能力，包括所屬業務、應用、組織、責任人，以及資產類別、安全級別、部署位置等屬性。

發現與識別能力是資產管理的基礎，標識能力則決定了資產管理能夠發揮的最大效用。在資產底數不清的情況下，針對資產存在的高危漏洞、高危端口和弱口令，信息采集、修復、整改、封堵、管理等網絡安全工作將無從開展。

引用業內一句話：你保護不了你看不見的東西。

第二步?脆弱性采集?

政企單位在建設好資產發現識別以及資產標識能力的基礎上，還需進一步開展脆弱性采集工作。脆弱性采集常見的手段有以下四種：

● 掃描工具搜集

通過建立掃描任務，選定掃描器、選擇白名單、制定掃描目標、配置掃描端口，搜集網絡內系統漏洞、開放端口、弱口令情況。

● 人工搜集

通過在線檢查和離線破解手段，對政企單位內外網系統和應用進行脆弱性檢查，包括：郵箱、OA、應用類系統、外部系統、工控系統、數據庫系統、中間件、操作系統等網絡資產。

● 報告導入

通過導入政企單位已有的脆弱性報告/成果，或者第三方評估團隊的脆弱性報告/成果，進行脆弱性采集。

● 其他搜集方式

建立協同或者整合任務，由安管部門和安服人員對已經發現的脆弱性建立報表，并進行消冗、去重、合并和補全。

政企單位可以根據脆弱性采集成果，梳理形成“兩高一弱”臺帳清單，為后續建立脆弱性管理機制奠定堅實的基礎。

第三步?脆弱性分析管理?

通過資產探測與發現、脆弱性采集工作開展，政企單位已經可以充分識別自身資產及其脆弱性，在此基礎之上開展分析和管理工作。

脆弱性分析

政企單位結合自身情況，可以通過優先級評估算法模型對脆弱性進行加權評分。對于帶有多個漏洞實例的資產，方案支持同時對多個脆弱性風險值進行加權計算，客觀反映資產脆弱性風險情況。方案從漏洞危害等級分布、高危漏洞類型占比、高危主機漏洞影響資產以及漏洞趨勢等方面，針對政企單位網絡范圍內的所有脆弱性問題進行集中分析。

脆弱性管理

● 脆弱性通報預警管理

向安全管理部門上報平臺資產和脆弱性情況，同時對接安全管理部門下發的工單指令和任務指令等，對上報數據傳輸進行記錄，對上報狀態進行展示和反饋。

● 漏洞全生命周期管理

關聯資產漏洞和漏洞預警等信息，歷經研判、整改、復測、審核等具體階段，對每個階段指定責任人進行分段分權管理，形成漏洞處置閉環。

● 脆弱性整改考核管理

根據政企單位自身的情況制定考核規則，從脆弱的接收數量、脆弱性處置數量、脆弱性處置率、處置及時率和告警修復率等多維度，對脆弱性處置情況進行統計分析及考核管理。

在《GB/T 20984-2022 信息安全技術 信息安全風險評估方法》中，將“安全措施”列為除資產、威脅、脆弱性之外的第四大風險要素?！鞍踩胧笔?、無效，本身就是一種極大的安全風險，政企單位需要定期對當前安全措施的有效性開展驗證工作。天融信提出兩種針對安全措施的有效性驗證機制：一是采用入侵和攻擊模擬系統，針對“兩高一弱”制定的安全策略有效性進行驗證；二是采用自動化滲透測試系統，針對網絡資產進行安全加固整改后的效果進行驗證。

● 脆弱性態勢管理

對各項脆弱性指標、資產數據、安全告警以及高危漏洞、高危端口、弱口令、安全基線等數據的負責人和處置情況進行實時追蹤，對資產的總體狀況和脆弱性情況進行集中管理，充分明確漏洞的影響范圍，對政企單位內脆弱性影響資產、告警資產、受影響的資產和受影響的業務系統，做到“心中有數”。

TOPSEC

“兩高一弱”的專項問題整治，不應只是為了應付檢查、應對重要時期保障的臨時性工作，政企單位應從組織機構、人員素養、制度流程和技術工具四個維度不斷建設完善自身網絡安全能力，要將偶爾的“百米短跑”變成持久的“馬拉松”，實現網絡安全的實戰化、體系化、常態化。

“謀長遠之策，行固本之舉”，天融信推出針對“兩高一弱”的“三步走”綜合整治方案，包含產品工具、規劃咨詢和技術服務，以資產發現管理為起點，以脆弱性全生命周期管理為終點，形成動態循環。各政企單位可根據自身實際情況選擇適合的解決方案，構建針對“兩高一弱”專項問題的閉環管理長效機制。

未來，天融信將持續監控并關注最新的安全風險和攻擊手段，并根據這些信息不斷優化、迭代產品和服務，確保能夠幫助各政企單位有效應對不斷變化的安全挑戰，攜手“建久安之勢，成長治之業”！