2020年11月，中國人民銀行正式發(fā)布并實施《金融行業(yè)網絡安全等級保護測評指南》（JRT 0072-2020）和《金融行業(yè)網絡安全等級保護實施指引》（JRT 0071-2020）。本文介紹了金融行業(yè)等級保護中漏洞管理相關要求：

1、金融行業(yè)等級保護標準基本介紹

本標準規(guī)定了金融行業(yè)對第二級、第三級和第四級的等級保護對象的安全測評通用要求和安全測評擴展要求，適用于指導金融機構、測評機構和金融行業(yè)網絡安全等級保護主管部門對等級保護對象的安全狀況進行安全測評。

每個級別測評要求都包括安全測評通用要求、云計算安全測評擴展要求、移動互聯(lián)安全測評擴展要求和物聯(lián)網安全測評擴展要求4個部分。

其中安全測評通用要求包括了安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理。

2、漏洞管理要求

本標準涉及漏洞管理的安全測評通用要求主要是安全計算環(huán)境、安全管理機構和安全運維管理3個部分，并且每個級別測評要求有個別差異。

1. 安全計算環(huán)境要求

本標準對安全計算環(huán)境的入侵防范中漏洞管理要求如下：

▲圖2-1 安全計算環(huán)境-入侵防范-測評要求

要求不同級別的等級保護對象要能通過漏洞掃描工具、人工滲透排查分析等漏洞檢查手段，及時發(fā)現(xiàn)可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞。測試對象要求覆蓋終端和服務器等設備中的操作系統(tǒng)、網絡設備、安全設備移動終端等所有IT化資產。

這不僅要求等級保護對象需要摸清家底，清晰掌握IT資產臺賬，還需要通過多種漏洞檢測手段進行全面漏洞掃描評估，并持續(xù)跟蹤漏洞修復進度。

2. 安全管理機構要求

本標準對安全管理機構的審核和檢查中漏洞管理要求如下：

▲圖2-2 安全管理機構-審核和檢查-測評要求

要求不同級別的等級保護對象要定期進行常規(guī)安全檢查，檢查內容包括系統(tǒng)日志運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。測評對象要求涉及信息/網絡安全主管和記錄表單類文檔。

可以看到，在安全管理機構的日常安全工作中，需要定期安全安全檢查并且能夠留存安全檢查歷史記錄。

3. 安全運維管理要求

本標準對安全運維管理的漏洞和風險管理、網絡和系統(tǒng)安全管理中漏洞管理要求如下：

▲圖2-3 安全運維管理-漏洞和風險管理/網絡和系統(tǒng)安全管理-測評要求

a) 漏洞和風險管理要求

漏洞和風險管理要求不同等級保護對象應采取必要的措施識別安全漏洞和隱患，對發(fā)現(xiàn)的安全漏洞和隱患及時進行修補或評估可能影響后進行修補。測評對象要求是記錄表單類文檔。

這不僅要求留存漏洞掃描報告、滲透測試報告和安全通報等記錄，還要求留存和跟蹤漏洞修補記錄。

通常，可能大部分情況下等級保護對象會留存漏洞掃描記錄，但是若沒有充分落實和跟蹤漏洞修補工作，很難留存漏洞修補記錄。

b) 網絡和系統(tǒng)安全管理要求

網絡和系統(tǒng)安全管理要求明確提出針對不同等級保護對象有不同的漏洞掃描和修補要求。二級要求每年至少進行一次漏洞掃描，三級要求每半年至少進行一次漏洞掃描，四級要求每季度至少進行一次漏洞掃描，并且三級以上要求上報漏洞掃描結果。測評對象要求覆蓋了管理制度類文檔和記錄表單列文檔。

可以看到，該測評單元重點要求網絡安全管理規(guī)定中要包含對應的漏洞管理制度，同時在核查記錄表單類文檔中是否與管理制度要求一致。

3、總結

總體來說，金融行業(yè)等級保護標準中漏洞管理要求，從管理制度建設、漏洞發(fā)現(xiàn)和漏洞修補跟蹤等進行多方面覆蓋，幫助等級保護對象開展漏洞管理工作。