2020年11月，中國(guó)人民銀行正式發(fā)布并實(shí)施《金融行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)指南》（JRT 0072-2020）和《金融行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指引》（JRT 0071-2020）。本文介紹了金融行業(yè)等級(jí)保護(hù)中漏洞管理相關(guān)要求：

1、金融行業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn)基本介紹

本標(biāo)準(zhǔn)規(guī)定了金融行業(yè)對(duì)第二級(jí)、第三級(jí)和第四級(jí)的等級(jí)保護(hù)對(duì)象的安全測(cè)評(píng)通用要求和安全測(cè)評(píng)擴(kuò)展要求，適用于指導(dǎo)金融機(jī)構(gòu)、測(cè)評(píng)機(jī)構(gòu)和金融行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)主管部門(mén)對(duì)等級(jí)保護(hù)對(duì)象的安全狀況進(jìn)行安全測(cè)評(píng)。

每個(gè)級(jí)別測(cè)評(píng)要求都包括安全測(cè)評(píng)通用要求、云計(jì)算安全測(cè)評(píng)擴(kuò)展要求、移動(dòng)互聯(lián)安全測(cè)評(píng)擴(kuò)展要求和物聯(lián)網(wǎng)安全測(cè)評(píng)擴(kuò)展要求4個(gè)部分。

其中安全測(cè)評(píng)通用要求包括了安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理。

2、漏洞管理要求

本標(biāo)準(zhǔn)涉及漏洞管理的安全測(cè)評(píng)通用要求主要是安全計(jì)算環(huán)境、安全管理機(jī)構(gòu)和安全運(yùn)維管理3個(gè)部分，并且每個(gè)級(jí)別測(cè)評(píng)要求有個(gè)別差異。

1. 安全計(jì)算環(huán)境要求

本標(biāo)準(zhǔn)對(duì)安全計(jì)算環(huán)境的入侵防范中漏洞管理要求如下：

▲圖2-1 安全計(jì)算環(huán)境-入侵防范-測(cè)評(píng)要求

要求不同級(jí)別的等級(jí)保護(hù)對(duì)象要能通過(guò)漏洞掃描工具、人工滲透排查分析等漏洞檢查手段，及時(shí)發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過(guò)充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞。測(cè)試對(duì)象要求覆蓋終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備移動(dòng)終端等所有IT化資產(chǎn)。

這不僅要求等級(jí)保護(hù)對(duì)象需要摸清家底，清晰掌握IT資產(chǎn)臺(tái)賬，還需要通過(guò)多種漏洞檢測(cè)手段進(jìn)行全面漏洞掃描評(píng)估，并持續(xù)跟蹤漏洞修復(fù)進(jìn)度。

2. 安全管理機(jī)構(gòu)要求

本標(biāo)準(zhǔn)對(duì)安全管理機(jī)構(gòu)的審核和檢查中漏洞管理要求如下：

▲圖2-2 安全管理機(jī)構(gòu)-審核和檢查-測(cè)評(píng)要求

要求不同級(jí)別的等級(jí)保護(hù)對(duì)象要定期進(jìn)行常規(guī)安全檢查，檢查內(nèi)容包括系統(tǒng)日志運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。測(cè)評(píng)對(duì)象要求涉及信息/網(wǎng)絡(luò)安全主管和記錄表單類(lèi)文檔。

可以看到，在安全管理機(jī)構(gòu)的日常安全工作中，需要定期安全安全檢查并且能夠留存安全檢查歷史記錄。

3. 安全運(yùn)維管理要求

本標(biāo)準(zhǔn)對(duì)安全運(yùn)維管理的漏洞和風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)和系統(tǒng)安全管理中漏洞管理要求如下：

▲圖2-3 安全運(yùn)維管理-漏洞和風(fēng)險(xiǎn)管理/網(wǎng)絡(luò)和系統(tǒng)安全管理-測(cè)評(píng)要求

a) 漏洞和風(fēng)險(xiǎn)管理要求

漏洞和風(fēng)險(xiǎn)管理要求不同等級(jí)保護(hù)對(duì)象應(yīng)采取必要的措施識(shí)別安全漏洞和隱患，對(duì)發(fā)現(xiàn)的安全漏洞和隱患及時(shí)進(jìn)行修補(bǔ)或評(píng)估可能影響后進(jìn)行修補(bǔ)。測(cè)評(píng)對(duì)象要求是記錄表單類(lèi)文檔。

這不僅要求留存漏洞掃描報(bào)告、滲透測(cè)試報(bào)告和安全通報(bào)等記錄，還要求留存和跟蹤漏洞修補(bǔ)記錄。

通常，可能大部分情況下等級(jí)保護(hù)對(duì)象會(huì)留存漏洞掃描記錄，但是若沒(méi)有充分落實(shí)和跟蹤漏洞修補(bǔ)工作，很難留存漏洞修補(bǔ)記錄。

b) 網(wǎng)絡(luò)和系統(tǒng)安全管理要求

網(wǎng)絡(luò)和系統(tǒng)安全管理要求明確提出針對(duì)不同等級(jí)保護(hù)對(duì)象有不同的漏洞掃描和修補(bǔ)要求。二級(jí)要求每年至少進(jìn)行一次漏洞掃描，三級(jí)要求每半年至少進(jìn)行一次漏洞掃描，四級(jí)要求每季度至少進(jìn)行一次漏洞掃描，并且三級(jí)以上要求上報(bào)漏洞掃描結(jié)果。測(cè)評(píng)對(duì)象要求覆蓋了管理制度類(lèi)文檔和記錄表單列文檔。

可以看到，該測(cè)評(píng)單元重點(diǎn)要求網(wǎng)絡(luò)安全管理規(guī)定中要包含對(duì)應(yīng)的漏洞管理制度，同時(shí)在核查記錄表單類(lèi)文檔中是否與管理制度要求一致。

3、總結(jié)

總體來(lái)說(shuō)，金融行業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn)中漏洞管理要求，從管理制度建設(shè)、漏洞發(fā)現(xiàn)和漏洞修補(bǔ)跟蹤等進(jìn)行多方面覆蓋，幫助等級(jí)保護(hù)對(duì)象開(kāi)展漏洞管理工作。