电信行业漏洞管理平台建设实践

新闻
9天前

1、背景


“电信和互联网行业网络运营者漏洞管理平台”是在工业和信息化部网络安全局指导下,纳入两部委考核内容的行业级漏洞管理平台,旨在打造上下贯通、部企协同、两级联动的安全漏洞监测与管理体系,实现行业安全漏洞态势感知、风险预警、协同处置,提升行业安全漏洞管理能力,形成对行业安全漏洞信息统筹管理、资产漏洞安全监测稽查、行业漏洞信息知识库以及安全事件预警与闭环处置响应能力。


平台建设推进的时间线如下所示:


平台是在网络安全强监管背景下全球第一个行业性漏洞管理平台,法律法规依据、建设指南、规范指导、测评考核指标完备,行动迅速,同时也集合了行业、研究、产业等各方面力量。


2、平台落地挑战分析


根据《基础电信企业安全漏洞管理平台建设指南》要求,基础电信企业安全漏洞管理体系整体分为三级架构,三级平台位于各基础电信企业省级和专业公司侧,负责对所管理企业侧海量互联网暴露资产、及企业网资产的所有安全漏洞实施端到端、全过程的生命周期安全管理。三级平台通过基础电信企业集团公司二级平台管理的内部全国数据专线接入部侧一级监管平台。


根据要求,企业侧三级漏洞管理平台应在2023年10月底前完成建设并与部侧平台对接,时间紧,考核任务重,落地及后续运营存在挑战。


01 资产覆盖率挑战

电信行业资产种类多、资产总数多,资产总数一般都在十万到百万数量级。同时多网络域并存且互不联通,资产覆盖率达标挑战较大;

02 集中管理挑战

历史上各部门的资产和漏洞管理的各类大小自研平台多。但各省的标准不完全一致,自研平台数据也没有进行标准化和统一管理,平台的升级、改造、替换,对电信行业漏洞管理平台的落地和运营工作造成了一定的难度。从《基础电信企业安全漏洞管理平台测试规范》来看,标准化、集中管理是关键要求,需要企业侧解决这些难点;

03 统一标准挑战

电信行业企业侧在运营工作中使用的扫描工具品牌数量多,没有统一标准。同时存在扫描性能不达标、扫描功能要求不达标的问题,对电信行业漏洞管理平台落地造成了相当大的挑战;

04 积累不足挑战

漏洞知识库和情报库的能力不足,这部分能力需要时间积累,满足测试规范中的要求存在难度;

05 协同联动挑战

平台能力是企业侧整体漏洞管理能力的集中体现,落地时需要与第三方系统打通接口,进行协同联动。实际工作中,第三方系统往往存在接口、数据、业务能力不足的问题,给落地工作带来难度。

实际落地中,不同的企业侧往往存在其它的大大小小的挑战,需要根据指南要求,同时仔细研读测试规范中的细则并深刻理解,与企业侧现有能力的结合,进行有效补充,才能达到预期的落地效果。


3、实践及建议


摄星科技从2017年开始,就为多个电信运营商提供漏洞管理平台及相关服务。“漏洞态势感知与运维平台”获得工业和信息化部2018年网络安全示范试点项目。

近年来跟踪并积极参与建设指南、技术要求、接口规范的出台和落地,同时参与了2023年5月定版的《基础电信企业安全漏洞管理平台测试规范》征求意见稿问题讨论反馈环节,提交了约20条有参考价值的修改意见,获得了上级的指导和肯定。

平台合规改造落地过程中,摄星对《基础电信企业安全漏洞管理平台测试规范》中要求的2大考核类型、7大考核项、19个考核细项认真细致的学习研究,并与相关部门保持沟通交流,将测试规范中的考核指标细化成约200个更详细的拆分项。结合长期的现场实际运营和本次改造落地经验,提出如下五点建议:

01 提前规划

为完全满足测试规范要求,需提前评估好本单位涉及的所有资产信息和漏洞信息,规划基础电信企业安全漏洞管理平台方案,规划网络划分,确保最大化地覆盖资产漏洞管理范围;

02 权责明确

及早明确各部门负责的资产漏洞范围,以及平台建设要负责的工作内容,搭建最高效的建设流程,各部门及时确认考核指标,及时反馈疑问点和不满足点,统一规划解决问题;

03 资金保障

及早确认并补足能力、改造建设需要的网络环境和设备资源,以及确认要采购的第三方软件硬件信息,来完善能力,满足规范要求;

04 重中之重

部分指标提到精确的数字要求,如漏洞扫描覆盖能力要求“初始运行可检测标准产品漏洞数量总数应大于10万”、漏洞关联分析能力要求“保障碰撞分析结果检出率不低于80%”、漏洞检测能力要求“平台应保障在采用漏洞原理扫描时,结果的检出率不低于98%”等等,这些有精确的数字要求的是考核指标重点;

05 运营并重

传统的漏洞管理面对越来越多的挑战,电信行业漏洞管理平台也在加快自身更新换代的速度,规范中一些细则都与运营能力相关,不光要重视建议,更加要重视运营,相关运营团队必须有充分的漏洞知识积累,大量的突发情况应对经验,以及平台本身提前规划好的应急预案。