2020年11月，中國人民銀行正式發(fā)布并實(shí)施《金融行業(yè)網(wǎng)絡(luò )安全等級保護測評指南》（JRT 0072-2020）和《金融行業(yè)網(wǎng)絡(luò )安全等級保護實(shí)施指引》（JRT 0071-2020）。本文介紹了金融行業(yè)等級保護中漏洞管理相關(guān)要求：

1、金融行業(yè)等級保護標準基本介紹

本標準規定了金融行業(yè)對第二級、第三級和第四級的等級保護對象的安全測評通用要求和安全測評擴展要求，適用于指導金融機構、測評機構和金融行業(yè)網(wǎng)絡(luò )安全等級保護主管部門(mén)對等級保護對象的安全狀況進(jìn)行安全測評。

每個(gè)級別測評要求都包括安全測評通用要求、云計算安全測評擴展要求、移動(dòng)互聯(lián)安全測評擴展要求和物聯(lián)網(wǎng)安全測評擴展要求4個(gè)部分。

其中安全測評通用要求包括了安全物理環(huán)境、安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理。

2、漏洞管理要求

本標準涉及漏洞管理的安全測評通用要求主要是安全計算環(huán)境、安全管理機構和安全運維管理3個(gè)部分，并且每個(gè)級別測評要求有個(gè)別差異。

1. 安全計算環(huán)境要求

本標準對安全計算環(huán)境的入侵防范中漏洞管理要求如下：

▲圖2-1 安全計算環(huán)境-入侵防范-測評要求

要求不同級別的等級保護對象要能通過(guò)漏洞掃描工具、人工滲透排查分析等漏洞檢查手段，及時(shí)發(fā)現可能存在的已知漏洞，并在經(jīng)過(guò)充分測試評估后，及時(shí)修補漏洞。測試對象要求覆蓋終端和服務(wù)器等設備中的操作系統、網(wǎng)絡(luò )設備、安全設備移動(dòng)終端等所有IT化資產(chǎn)。

這不僅要求等級保護對象需要摸清家底，清晰掌握IT資產(chǎn)臺賬，還需要通過(guò)多種漏洞檢測手段進(jìn)行全面漏洞掃描評估，并持續跟蹤漏洞修復進(jìn)度。

2. 安全管理機構要求

本標準對安全管理機構的審核和檢查中漏洞管理要求如下：

▲圖2-2 安全管理機構-審核和檢查-測評要求

要求不同級別的等級保護對象要定期進(jìn)行常規安全檢查，檢查內容包括系統日志運行、系統漏洞和數據備份等情況。測評對象要求涉及信息/網(wǎng)絡(luò )安全主管和記錄表單類(lèi)文檔。

可以看到，在安全管理機構的日常安全工作中，需要定期安全安全檢查并且能夠留存安全檢查歷史記錄。

3. 安全運維管理要求

本標準對安全運維管理的漏洞和風(fēng)險管理、網(wǎng)絡(luò )和系統安全管理中漏洞管理要求如下：

▲圖2-3 安全運維管理-漏洞和風(fēng)險管理/網(wǎng)絡(luò )和系統安全管理-測評要求

a) 漏洞和風(fēng)險管理要求

漏洞和風(fēng)險管理要求不同等級保護對象應采取必要的措施識別安全漏洞和隱患，對發(fā)現的安全漏洞和隱患及時(shí)進(jìn)行修補或評估可能影響后進(jìn)行修補。測評對象要求是記錄表單類(lèi)文檔。

這不僅要求留存漏洞掃描報告、滲透測試報告和安全通報等記錄，還要求留存和跟蹤漏洞修補記錄。

通常，可能大部分情況下等級保護對象會(huì )留存漏洞掃描記錄，但是若沒(méi)有充分落實(shí)和跟蹤漏洞修補工作，很難留存漏洞修補記錄。

b) 網(wǎng)絡(luò )和系統安全管理要求

網(wǎng)絡(luò )和系統安全管理要求明確提出針對不同等級保護對象有不同的漏洞掃描和修補要求。二級要求每年至少進(jìn)行一次漏洞掃描，三級要求每半年至少進(jìn)行一次漏洞掃描，四級要求每季度至少進(jìn)行一次漏洞掃描，并且三級以上要求上報漏洞掃描結果。測評對象要求覆蓋了管理制度類(lèi)文檔和記錄表單列文檔。

可以看到，該測評單元重點(diǎn)要求網(wǎng)絡(luò )安全管理規定中要包含對應的漏洞管理制度，同時(shí)在核查記錄表單類(lèi)文檔中是否與管理制度要求一致。

3、總結

總體來(lái)說(shuō)，金融行業(yè)等級保護標準中漏洞管理要求，從管理制度建設、漏洞發(fā)現和漏洞修補跟蹤等進(jìn)行多方面覆蓋，幫助等級保護對象開(kāi)展漏洞管理工作。