天融信：以资产为主线，构建“两高一弱”综合整治方案

两高一弱

面对全球网络攻击日趋组织化、产业化的严峻态势，需要通过持续化、常态化的安全风险管理，为政府、企事业单位整体的信息系统运行提供保障，帮助其安全水平实现从“基础合规”到“有效防护”的升级。其中，资产安全管理的水平决定了组织安全风险管理能力的上限。然而，网络中长期存在的“两高一弱”（高危漏洞、高危端口、弱口令）问题，严重制约了政企单位整体网络安全水平的提升。

近年来，公安机关及各行业主管部门高度重视“两高一弱”问题，持续开展专项整治行动，针对重点行业单位互联网资产和内网资产的安全风险隐患，形成常态化排查和整改机制，旨在减少政企单位资产脆弱点，提高整体安全防御能力。在此背景下，建立一套行之有效的“两高一弱”场景解决方案对政企单位网络安全运营工作而言迫在眉睫。

天融信根据多年的信息安全领域研究成果和项目经验，针对高危漏洞、高危端口服务和弱口令等低投入、高收益的攻击特点，推出资产探测与发现、脆弱性采集和脆弱性分析管理的“三步走”综合整治方案。该方案的核心优势是能够进行资产信息、脆弱性信息与脆弱性管理动作之间的关联，进而支撑资产脆弱性识别与处置，辅助安全风险与事件处置，协助政企单位针对“两高一弱”问题开展日常安全管理与运营工作。

第一步

 资产探测与发现 

从安全实战的视角来看，只要是可操作的对象，不管是实体还是属性，都可以称之为“网络资产”。政企单位的网络资产从业务管理视角来看，可分为互联网暴露面资产和内网资产两大部分。

互联网暴露面资产通常包括：IP、URL、端口、服务、公有云、SaaS应用等网络资产。

内网资产通常包括：硬件设备、软件、数据库、操作系统、虚拟机、容器、物联网设备、打印机外设等网络资产。

政企单位首先依托于相关产品和服务，建设自身资产发现与识别能力，建立互联网资产台帐、内网资产台帐、资产映射关系表、网络拓扑图等资产管理机制。其次，在资产发现与识别能力建设基础上，再建设资产标识能力，包括所属业务、应用、组织、责任人，以及资产类别、安全级别、部署位置等属性。

发现与识别能力是资产管理的基础，标识能力则决定了资产管理能够发挥的最大效用。在资产底数不清的情况下，针对资产存在的高危漏洞、高危端口和弱口令，信息采集、修复、整改、封堵、管理等网络安全工作将无从开展。

引用业内一句话：你保护不了你看不见的东西。

第二步

 脆弱性采集 

政企单位在建设好资产发现识别以及资产标识能力的基础上，还需进一步开展脆弱性采集工作。脆弱性采集常见的手段有以下四种：

扫描工具搜集

通过建立扫描任务，选定扫描器、选择白名单、制定扫描目标、配置扫描端口，搜集网络内系统漏洞、开放端口、弱口令情况。

人工搜集

通过在线检查和离线破解手段，对政企单位内外网系统和应用进行脆弱性检查，包括：邮箱、OA、应用类系统、外部系统、工控系统、数据库系统、中间件、操作系统等网络资产。

报告导入

通过导入政企单位已有的脆弱性报告/成果，或者第三方评估团队的脆弱性报告/成果，进行脆弱性采集。

其他搜集方式

建立协同或者整合任务，由安管部门和安服人员对已经发现的脆弱性建立报表，并进行消冗、去重、合并和补全。

政企单位可以根据脆弱性采集成果，梳理形成“两高一弱”台帐清单，为后续建立脆弱性管理机制奠定坚实的基础。

第三步

 脆弱性分析管理 

通过资产探测与发现、脆弱性采集工作开展，政企单位已经可以充分识别自身资产及其脆弱性，在此基础之上开展分析和管理工作。

 脆弱性分析

政企单位结合自身情况，可以通过优先级评估算法模型对脆弱性进行加权评分。对于带有多个漏洞实例的资产，方案支持同时对多个脆弱性风险值进行加权计算，客观反映资产脆弱性风险情况。方案从漏洞危害等级分布、高危漏洞类型占比、高危主机漏洞影响资产以及漏洞趋势等方面，针对政企单位网络范围内的所有脆弱性问题进行集中分析。

 脆弱性管理

脆弱性通报预警管理

向安全管理部门上报平台资产和脆弱性情况，同时对接安全管理部门下发的工单指令和任务指令等，对上报数据传输进行记录，对上报状态进行展示和反馈。

漏洞全生命周期管理

关联资产漏洞和漏洞预警等信息，历经研判、整改、复测、审核等具体阶段，对每个阶段指定责任人进行分段分权管理，形成漏洞处置闭环。

脆弱性整改考核管理

根据政企单位自身的情况制定考核规则，从脆弱的接收数量、脆弱性处置数量、脆弱性处置率、处置及时率和告警修复率等多维度，对脆弱性处置情况进行统计分析及考核管理。

在《GB/T 20984-2022 信息安全技术 信息安全风险评估方法》中，将“安全措施”列为除资产、威胁、脆弱性之外的第四大风险要素。“安全措施”失效、无效，本身就是一种极大的安全风险，政企单位需要定期对当前安全措施的有效性开展验证工作。

天融信提出两种针对安全措施的有效性验证机制：一是采用入侵和攻击模拟系统，针对“两高一弱”制定的安全策略有效性进行验证；二是采用自动化渗透测试系统，针对网络资产进行安全加固整改后的效果进行验证。

脆弱性态势管理

对各项脆弱性指标、资产数据、安全告警以及高危漏洞、高危端口、弱口令、安全基线等数据的负责人和处置情况进行实时追踪，对资产的总体状况和脆弱性情况进行集中管理，充分明确漏洞的影响范围，对政企单位内脆弱性影响资产、告警资产、受影响的资产和受影响的业务系统，做到“心中有数”。

TOPSEC

“两高一弱”的专项问题整治，不应只是为了应付检查、应对重要时期保障的临时性工作，政企单位应从组织机构、人员素养、制度流程和技术工具四个维度不断建设完善自身网络安全能力，要将偶尔的“百米短跑”变成持久的“马拉松”，实现网络安全的实战化、体系化、常态化。

“谋长远之策，行固本之举”，天融信推出针对“两高一弱”的“三步走”综合整治方案，包含产品工具、规划咨询和技术服务，以资产发现管理为起点，以脆弱性全生命周期管理为终点，形成动态循环。各政企单位可根据自身实际情况选择适合的解决方案，构建针对“两高一弱”专项问题的闭环管理长效机制。

未来，天融信将持续监控并关注最新的安全风险和攻击手段，并根据这些信息不断优化、迭代产品和服务，确保能够帮助各政企单位有效应对不断变化的安全挑战，携手“建久安之势，成长治之业”！