脆弱性生命周期管控平台

脆弱性全生命周期管控平台解决方案

1. 系统架构

  脆弱性统一管控平台分为展示层、数据层和采集层组成。

展示层：展示层负责信息系统全生命周期脆弱性管控的效果呈现，包括分析结果的呈现、大屏展示和查询监控等。

数据层：数据层以后台服务的方式对于各类脆弱性填报的数据统一的综合分析处理功能。

采集层：采集层完成了脆弱性安全信息的采集、标准化、过滤、解析等功能。

 

2. 系统部署架构

硬件部署如下：

l  WEB服务器由两台服务器构成集群，向外提供WEB服务

l  应用服务器由两台服务器构成集群，用于提供系统的整体功能实现

l  数据库集群服务器由四台服务器构成集群，用于提供分布式大数据数据库存储，用于高性能计算

l  文件服务器由两台服务器构成集群，用于文件格式数据存储

        脆弱性全生命周期管控平台应用架构涵盖脆弱性展现、脆弱性分析、脆弱性管控、脆弱性提取、分布式存储、系统管理部分，具体内容如下：

l  信息系统生命周期，脆弱性来源于信息系统生命周期范围内安全管理制度、规范、控制措施的缺失。

l  脆弱性提取层，利用脆弱性管控模板、数据校验引擎、脆弱性管控矩阵实现脆弱性提取层包括对脆弱性的提取、数据校验、脆弱性数据识别、脆弱性数据分类。

l  脆弱性管控层，涵盖脆弱性矩阵的管控，包括预制脆弱性管控矩阵，以及矩阵的自定义、脆弱性分类的自定义功能；脆弱性管控模板，包括预制脆弱性管控模板、模板属性自定义、管控模板自定义功能；脆弱性管控维度，包括脆弱性生命周期状态与类别识别、信息系统生命周期维度脆弱性识别、脆弱性全生命周期自定义。

l  脆弱性分析层，涵盖脆弱性生命周期分析、信息系统生命周期阶段维度分析、脆弱性全生命周期分析以及数据检索分析引擎功能

l  脆弱性展现层，涵盖脆弱性生命周期整体态势、信息系统生命周期脆弱性态势、脆弱性排行、脆弱性预警、自定义展示功能

l  分布式存储中心，涵盖数据库集群、文件服务器集群功能

l  系统管理，涵盖系统角色管理、权限管理、日志审计、报表报告管理、数据备份管理功能。

3. 产品核心功能

3.1 预制管控模板管理与自定义功能

平台预制模版为平台根据信息系统全生命周期脆弱性类型、脆弱性所处阶段预先设立好的脆弱性管控模版，并预先对模版内容进行格式化规范定义。预制模板参考交通行业最佳实践、最佳标准规范、行内安全管理制度规范形成。预制模板的设立需在平台建设初期安排熟悉交通行业安全管理制度规范及要求的咨询顾问根据行内安全管理制度要求情况、安全管理规范情况进行现场开发定义。

同时平台管控模版具备灵活的扩展的特性，信用卡中心可根据实际需要对预制模版属性进行调整，对脆弱性管控模板进行自定义以便能够适应行内的安全管理发展的需要。

弱性模板管理包括脆弱性模型管理和脆弱性模板维护两部分。

脆弱性模型管理，负责创建脆弱性模型，脆弱性模型主要包括脆弱性属性、脆弱性类型、脆弱性控制点。

l  脆弱性属性

脆弱性管控平台按照信息系统生命周期维度梳理其不同阶段安全需要开展的工作与管控内容，根据不同阶段所面临的脆弱性要素定义脆弱性属性。

脆弱性属性分为预置固定属性和扩展属性。在脆弱性管控平台中，能支持脆弱性属性的扩展功能，以满足脆弱性模型管理需要。

l  脆弱性类型

从脆弱性实际管控需求或逻辑特征进行分类，类型定义依据一般包括以下脆弱性属性，即关联信息系统所在阶段、信息系统脆弱性管理控制项、关键控制点等。

3.2 脆弱性数据丰富化处理功能

脆弱性数据本身会涉及多种形态与演变，包括同类脆弱性在自身生命周期范围内的状态演变与存在形态、脆弱性在不同信息系统的演变存在的形态等，因而脆弱性的形态与演变需要通过系统进行预处理才能够被分析与利用。

数据丰富化是指对原始脆弱性数据补齐已知与该数据相关的属性数据，平台能够对脆弱性数据丰富化处理，通过关联补齐后形成完整数据，能够丰富数据本身，用于后续数据的统计分析。

3.3 脆弱性全生命周期状态监测功能

脆弱性本身的生命周期状态包括脆弱性在信息系统生命周期不同阶段的产生、修复、验证状态、在信息系统的生命周期不同阶段的演进状态、不同信息系统的脆弱性状态。

平台按脆弱性自身的生命周期维度进行呈现与监测，脆弱性生命周期包括从脆弱性被发现、指派责任人修复、整改、验证完成完整的状态。及时发现未修复的脆弱性、长期未整改脆弱性等情况、脆弱性过多的信息系统、脆弱性过多的项目开发团队以及整体、长期的脆弱性生命周期趋势呈现与监测。

脆弱性状态按信息系统生命周期阶段脆弱性查询是用户通过分析条件可以查询信息系统在脆弱性生命周期各个阶段中的基础信息和状态信息，以便可以了解信息系统在各个阶段的情况。支持对历史数据和当前数据的查询。

脆弱性状态按信息系统生命周期阶段脆弱性生命周期信统计是系统基于统计分析策略按计划生成统计信息和人工基于策略规则的配置生成统计信息。统计维度包含信息系统各个阶段的脆弱性数量百分比、脆弱性风险等级、脆弱性整改百分比、脆弱性验证百分比、脆弱性影响事物信息等。

3.4 信息系统生命周期维度脆弱性状态监测功能

平台按信息系统生命周期维度进行脆弱性的关联统计、呈现、监测。信息系统生命周期包括从立项到下线不同阶段的完整生命周期在信息系统不同生命阶段，统计监测与呈现内容包括不同阶段的脆弱性类型、数量、严重程度、状态、责任人。

信息系统维度脆弱性查询功能是以脆弱性为基准点查看其所影响的信息系统的脆弱性概况。支持基于脆弱性多属性作为条件查询，条件包含脆弱性名称、脆弱性等级、脆弱性分类、脆弱性时间等属行作为查询条件筛选符合条件的信息系统。通过此功能模块的查询可以查看各个脆弱性点在全局的信息系统中的情况。查询结果的展示采用二维表格分页形式呈现。

3.5 信息系统生命周期脆维度弱性趋势分析功能

平台提供以信息系统生命周期维度的的脆弱性统计与趋势分析能力，可根据统计属性以图形方式进行趋势呈现。

以时间为横轴（维度）的脆弱性待整改项趋势图，查看脆弱性管控进度（修复状况）是否正常。

以长周期时间（跨月、跨年）为横轴（维度）的脆弱性待整改趋势图，查看粗粒度时间跨度的脆弱性走势情况。

3.6 脆弱性态势展现功能

平台提供对脆弱性数据的态势以图形化方式进行直观展现功能，展示内容包括：

Ø  以信息系统生命周期维度展现各个环节脆弱性数量、严重级别、类型、修复数量，并自动更新

Ø  展现脆弱性生命周期管控平台当前卡中心整体脆弱性全生命周期管控态势。

Ø  脆弱性趋势展示，通过综合比对一段历史时期维度的数据，对比脆弱性管理成效

3.7 资产管理功能

对业务系统运行所在的资产环境，以资产视角从另一个维度展示资产脆弱性，分析供应链资产存在的脆弱点，并从管理者角度出发，展示目前线上运行系统所存在的安全问题，从根本上对企业内部所有资产安全性进行评估。

3.8 脆弱性存储管理功能

脆弱性数据能利用平台分布式存储功能，提供高性能关联计算，实现数据的高可靠保证，平台预留足够存储空间保证脆弱性数据存储周期保持5年，利用长周期的脆弱性数据进行趋势跟踪、统计、关联分析。

此外利用分布式存储管理功能，实现对脆弱性分析任意组分析条件，系统收到分析条件后，将分析任务分解到各个分布式计算存储节点进行分布式查询检索，借助于分布式文件索引技术，平台可快速汇总各存储索引节点发送来的查询结果，并将汇总的详细信息展示给分析人员。

4. 产品优势

Ø    全面的供应链安全管理

目前大多数厂家供应链安全部分只针对软件层面，分析提取软件使用到的中间件、数据库、开源组件等部分，缺乏对硬件供应链安全管理，棱镜供应链管理平台除软件部分外，对硬件供应链同样进行全流程监控，全面的管理企业内部供应链安全问题。

Ø    先进设计理念

对业务系统上游供应厂商（供应链）提供系统做全生命周期管理，从需求分析阶段开始加入安全防护需求，系统设计、编码、测试、上线过程对系统存在脆弱性进行持续监控及管理，保障业务系统全生命周期安全性；

Ø    丰富的报告解析模板

系统集成多种安全报告解析模板，可实现对各种安全厂家的安全报告，提取报告涉及业务系统脆弱性，自动填充、关联业务系统，提供智能化的系统脆弱性识别。

Ø    强大的兼容性，集成多种安全工具

能够灵活、方便地与其它工具进行集成，系统提供多种接口，可与各厂家漏洞扫描、代码审计等安全工具集成，调用各类工具对业务系统脆弱性进行识别。

Ø    智能化的系统脆弱性识别

对各类业务系统脆弱性报告提供丰富的报告解析模板，自动识别报告内容，提取有效的系统脆弱性，通过智能化关联引擎自动识别业务系统脆弱性。