近一段時間，中央多次強調(diào)加快推進新型基礎(chǔ)設(shè)施建設(shè)。國家發(fā)改委明確了新基建包括信息基礎(chǔ)設(shè)施、融合基礎(chǔ)設(shè)施、創(chuàng)新基礎(chǔ)設(shè)施三個方面內(nèi)容，以5G、人工智能、云計算、工業(yè)互聯(lián)網(wǎng)等為代表的新型基礎(chǔ)設(shè)施建設(shè)成為我國下一個階段的重要發(fā)展內(nèi)容。我們通過新基建涵蓋的應(yīng)用領(lǐng)域發(fā)現(xiàn)，新基建相比傳統(tǒng)基礎(chǔ)設(shè)施建設(shè)具有數(shù)字化、網(wǎng)絡(luò)化、智能化的新特點。

其中以傳感終端、5G網(wǎng)絡(luò)、大數(shù)據(jù)中心、工業(yè)互聯(lián)網(wǎng)等、物聯(lián)網(wǎng)、邊緣計算、人工智能等新一代信息技術(shù)為代表的新型數(shù)字基礎(chǔ)設(shè)施，代表了新技術(shù)的前沿水平，也成為新型產(chǎn)業(yè)應(yīng)用的技術(shù)依托。

新形勢下的問題和挑戰(zhàn)

與以往基礎(chǔ)設(shè)施建設(shè)不同，新型基礎(chǔ)設(shè)施大量采用了新的支撐技術(shù)，如軟件定義網(wǎng)絡(luò)、網(wǎng)絡(luò)功能虛擬化、云原生等，提供了敏捷、彈性的資源編排能力，極大加快了業(yè)務(wù)調(diào)整的速度，為下一代運營商網(wǎng)絡(luò)、互聯(lián)網(wǎng)應(yīng)用提供了堅實的支撐。但是同時，新型基礎(chǔ)設(shè)施建設(shè)引入的新技術(shù)，為安全漏洞管理也代入了新的風(fēng)險和挑戰(zhàn)。

一、 新的暴露面。新基建的各領(lǐng)域尚在建設(shè)和成熟過程中，如5G網(wǎng)絡(luò)通過邊緣計算支撐工業(yè)互聯(lián)網(wǎng)、遠(yuǎn)程醫(yī)療和車聯(lián)網(wǎng)等第三方應(yīng)用的同時，也潛在地向攻擊者開放了運營商核心網(wǎng)絡(luò)和服務(wù)的某些接口。另外，疫情發(fā)展也帶來遠(yuǎn)程辦公的常態(tài)化，軟件定義廣域網(wǎng)和SaaS服務(wù)發(fā)展將進一步加快，業(yè)務(wù)系統(tǒng)的邊界迅速外延和模糊化。

二、 業(yè)務(wù)模式變化。隨著云、邊緣計算等技術(shù)的應(yīng)用，業(yè)務(wù)應(yīng)用將向資源化、管道化轉(zhuǎn)變，通常計算、存儲和網(wǎng)絡(luò)等組件可跟隨業(yè)務(wù)快速變更，如果安全運營依然被動、低效，依賴人工處置，必然給新型基礎(chǔ)設(shè)施的運營帶來了更大的安全挑戰(zhàn);攻防轉(zhuǎn)換速度加快，需要更敏捷的安全防護、檢測和響應(yīng)機制。

三、 多種技術(shù)強依賴。新基建的各領(lǐng)域大量借助虛擬化云、容器云、大數(shù)據(jù)、人工智能、傳感終端等底層技術(shù)，實現(xiàn)了復(fù)雜的技術(shù)架構(gòu)設(shè)計，在業(yè)務(wù)系統(tǒng)中這些技術(shù)組件之間存在大量交互，互相依賴，或者隨著業(yè)務(wù)編排彈性變更相互關(guān)系。業(yè)務(wù)的復(fù)雜性給安全管理和評估帶來挑戰(zhàn)，對單點做出的風(fēng)險判斷不再可靠。

對各類漏洞管理方案的思考

網(wǎng)絡(luò)信息技術(shù)在持續(xù)變化，歷史上咨詢機構(gòu)、安全廠商給出的漏洞管理方案也在迭代，安全漏洞管理工作的思路和方法也在應(yīng)對挑戰(zhàn)過程中不斷的演化。漏洞管理方案可以分為三個類型。

最初的管理屬于被動管理方案類，安全運維人員等待掃描工具定期升級，進行定期漏洞掃描發(fā)現(xiàn)，排查分析問題，并完成修復(fù)加固，后來一些企事業(yè)單位有了完善的漏洞管理制度，有了漏洞管理平臺的技術(shù)支撐，解決了漏洞處置流程的問題，但也都可以歸屬于被動管理方案類型;

實時響應(yīng)管理的方案類，也是目前比較先進的漏洞管理實踐，安全漏洞運維開始與情報結(jié)合，在第一時間感知和初步排查受影響的主機，采取預(yù)防措施，再等待進一步驗證和修補，達到對高危險漏洞快速響應(yīng)的目的，國內(nèi)綠盟科技等安全廠商已經(jīng)推出此類方案;

左移管理方案類，也是未來漏洞管理工作的新趨勢，在新基建各類數(shù)字基礎(chǔ)設(shè)施建設(shè)中，容器云和邊緣計算技術(shù)帶來的業(yè)務(wù)管道化的趨勢，需要把漏洞管理工作提前到業(yè)務(wù)部署、開發(fā)測試階段。

三種方案的演進，其本質(zhì)區(qū)別可以從漏洞管理生命周期的起始、結(jié)束兩端——漏洞發(fā)現(xiàn)和漏洞修復(fù)——分別來看。被動管理類型的方案，也在不斷優(yōu)化流程、優(yōu)化工具，但能夠做到的是提前末端的漏洞修復(fù)環(huán)節(jié)的時間，縮短漏洞存在的生命周期，對起始的漏洞發(fā)現(xiàn)環(huán)節(jié)作用不大。

實時響應(yīng)類方案，通過引入威脅情報，在高危漏洞出現(xiàn)的第一時間進入漏洞發(fā)現(xiàn)環(huán)節(jié)，給出快速預(yù)防或者處置辦法，做到漏洞提前發(fā)現(xiàn)提前解決，極大的提高了管理效率，綠盟科技的TVM漏洞管理方案在這方面表現(xiàn)優(yōu)秀。

在新基建的大環(huán)境下，5G、工業(yè)互聯(lián)網(wǎng)，或者其它業(yè)務(wù)互聯(lián)網(wǎng)，使用容器云和邊緣計算技術(shù)，把包含業(yè)務(wù)組件的模塊彈性、自動化的部署到需要的位置，上線后的安全檢查成本高、難度大，在某些領(lǐng)域的應(yīng)用，會變成不可能完成的任務(wù)，在業(yè)務(wù)系統(tǒng)組件的上線前，代碼或者鏡像的階段進行安全檢查，避免安全問題擴散，是切實有效的辦法，從時間線上看安全檢查工作的介入更早，更靠左，稱之為左移類型的方案。

漏洞管理三種方案的演進

對漏洞掃描產(chǎn)品的新要求

首先，漏洞掃描產(chǎn)品作為做基礎(chǔ)的檢測工具，需要盡快支持左移安全管理類型的方案。隨著國家對新基建各領(lǐng)域的快速推進，尤其是5G通信已經(jīng)開始逐步應(yīng)用，新型管道化的業(yè)務(wù)也會很快出現(xiàn)，漏洞管理工作，也需要盡快具備相應(yīng)的技術(shù)手段。目前看到，綠盟科技已經(jīng)在這方面開始轉(zhuǎn)變，其遠(yuǎn)程安全評估系統(tǒng)已經(jīng)具備了容器鏡像漏洞掃描和配置核查能力，可以融入自動化的流程管理方案，能夠?qū)}庫中的鏡像進行檢查。

其次，漏洞掃描產(chǎn)品的能力需要多元化、集成化。隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，工業(yè)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，也從封閉變得越來越開放，開始采用以太網(wǎng)協(xié)議、更通用的協(xié)議，5G、工業(yè)互聯(lián)網(wǎng)，及其它數(shù)字化、智能化的新基建領(lǐng)域，更多的依托于人工智能、大數(shù)據(jù)、云計算等新技術(shù)，新技術(shù)之間互相依賴，對業(yè)務(wù)系統(tǒng)的漏洞評估，需要具備多元、集成能力的漏洞掃描產(chǎn)品，對技術(shù)組件進行完整的掃描檢查才能實現(xiàn)。

最后，漏洞掃描產(chǎn)品自身也需要完成資源化、管道化的轉(zhuǎn)變。這點要求不只是漏洞掃描類產(chǎn)品，傳統(tǒng)的安全產(chǎn)品也同樣需要轉(zhuǎn)變。5G技術(shù)的出現(xiàn)，將會催生新業(yè)態(tài)，傳統(tǒng)業(yè)務(wù)也會加快數(shù)字化轉(zhuǎn)型，數(shù)字化業(yè)務(wù)會隨著管道化能力快速部署在需要的位置。但在一定程度上，新型業(yè)務(wù)會面臨傳統(tǒng)業(yè)務(wù)同樣的安全問題，而且會面對橫向越權(quán)逃逸、更多組件暴露等新問題。由于安全能力本身的基礎(chǔ)性、重要性，安全能力也會成為業(yè)務(wù)的一個組成部分，安全能力需要變成一種資源，在業(yè)務(wù)組件快速部署的同時，隨時可用。

綠盟科技遠(yuǎn)程安全評估系統(tǒng)、TVM漏洞管理平臺，在產(chǎn)品和方案上給出了可行的實踐案例，隨著新基建領(lǐng)域的不斷推進，將會走的更遠(yuǎn)。可以預(yù)見，新基建將會帶來指數(shù)效應(yīng)，激活新模式新創(chuàng)造的動力，帶來更多創(chuàng)新業(yè)務(wù)的機會。網(wǎng)絡(luò)安全法、等級保護2.0等政策法規(guī)的陸續(xù)出臺，使安全成為新基建領(lǐng)域建設(shè)中必備的基本能力要求。安全產(chǎn)品擁抱新基建帶來的發(fā)展變化，實現(xiàn)快速轉(zhuǎn)型，將會成為必然的趨勢。