2020年11月，中國人民銀行正式發(fā)布并實(shí)施《金融行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)指南》（JRT 0072-2020）和《金融行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指引》（JRT 0071-2020）。本文介紹了金融行業(yè)等級(jí)保護(hù)中漏洞管理相關(guān)要求：

1、金融行業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn)基本介紹

本標(biāo)準(zhǔn)規(guī)定了金融行業(yè)對第二級(jí)、第三級(jí)和第四級(jí)的等級(jí)保護(hù)對象的安全測評(píng)通用要求和安全測評(píng)擴(kuò)展要求，適用于指導(dǎo)金融機(jī)構(gòu)、測評(píng)機(jī)構(gòu)和金融行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)主管部門對等級(jí)保護(hù)對象的安全狀況進(jìn)行安全測評(píng)。

每個(gè)級(jí)別測評(píng)要求都包括安全測評(píng)通用要求、云計(jì)算安全測評(píng)擴(kuò)展要求、移動(dòng)互聯(lián)安全測評(píng)擴(kuò)展要求和物聯(lián)網(wǎng)安全測評(píng)擴(kuò)展要求4個(gè)部分。

其中安全測評(píng)通用要求包括了安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理。

2、漏洞管理要求

本標(biāo)準(zhǔn)涉及漏洞管理的安全測評(píng)通用要求主要是安全計(jì)算環(huán)境、安全管理機(jī)構(gòu)和安全運(yùn)維管理3個(gè)部分，并且每個(gè)級(jí)別測評(píng)要求有個(gè)別差異。

1. 安全計(jì)算環(huán)境要求

本標(biāo)準(zhǔn)對安全計(jì)算環(huán)境的入侵防范中漏洞管理要求如下：

▲圖2-1 安全計(jì)算環(huán)境-入侵防范-測評(píng)要求

要求不同級(jí)別的等級(jí)保護(hù)對象要能通過漏洞掃描工具、人工滲透排查分析等漏洞檢查手段，及時(shí)發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評(píng)估后，及時(shí)修補(bǔ)漏洞。測試對象要求覆蓋終端和服務(wù)器等設(shè)備中的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備移動(dòng)終端等所有IT化資產(chǎn)。

這不僅要求等級(jí)保護(hù)對象需要摸清家底，清晰掌握IT資產(chǎn)臺(tái)賬，還需要通過多種漏洞檢測手段進(jìn)行全面漏洞掃描評(píng)估，并持續(xù)跟蹤漏洞修復(fù)進(jìn)度。

2. 安全管理機(jī)構(gòu)要求

本標(biāo)準(zhǔn)對安全管理機(jī)構(gòu)的審核和檢查中漏洞管理要求如下：

▲圖2-2 安全管理機(jī)構(gòu)-審核和檢查-測評(píng)要求

要求不同級(jí)別的等級(jí)保護(hù)對象要定期進(jìn)行常規(guī)安全檢查，檢查內(nèi)容包括系統(tǒng)日志運(yùn)行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況。測評(píng)對象要求涉及信息/網(wǎng)絡(luò)安全主管和記錄表單類文檔。

可以看到，在安全管理機(jī)構(gòu)的日常安全工作中，需要定期安全安全檢查并且能夠留存安全檢查歷史記錄。

3. 安全運(yùn)維管理要求

本標(biāo)準(zhǔn)對安全運(yùn)維管理的漏洞和風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)和系統(tǒng)安全管理中漏洞管理要求如下：

▲圖2-3 安全運(yùn)維管理-漏洞和風(fēng)險(xiǎn)管理/網(wǎng)絡(luò)和系統(tǒng)安全管理-測評(píng)要求

a) 漏洞和風(fēng)險(xiǎn)管理要求

漏洞和風(fēng)險(xiǎn)管理要求不同等級(jí)保護(hù)對象應(yīng)采取必要的措施識(shí)別安全漏洞和隱患，對發(fā)現(xiàn)的安全漏洞和隱患及時(shí)進(jìn)行修補(bǔ)或評(píng)估可能影響后進(jìn)行修補(bǔ)。測評(píng)對象要求是記錄表單類文檔。

這不僅要求留存漏洞掃描報(bào)告、滲透測試報(bào)告和安全通報(bào)等記錄，還要求留存和跟蹤漏洞修補(bǔ)記錄。

通常，可能大部分情況下等級(jí)保護(hù)對象會(huì)留存漏洞掃描記錄，但是若沒有充分落實(shí)和跟蹤漏洞修補(bǔ)工作，很難留存漏洞修補(bǔ)記錄。

b) 網(wǎng)絡(luò)和系統(tǒng)安全管理要求

網(wǎng)絡(luò)和系統(tǒng)安全管理要求明確提出針對不同等級(jí)保護(hù)對象有不同的漏洞掃描和修補(bǔ)要求。二級(jí)要求每年至少進(jìn)行一次漏洞掃描，三級(jí)要求每半年至少進(jìn)行一次漏洞掃描，四級(jí)要求每季度至少進(jìn)行一次漏洞掃描，并且三級(jí)以上要求上報(bào)漏洞掃描結(jié)果。測評(píng)對象要求覆蓋了管理制度類文檔和記錄表單列文檔。

可以看到，該測評(píng)單元重點(diǎn)要求網(wǎng)絡(luò)安全管理規(guī)定中要包含對應(yīng)的漏洞管理制度，同時(shí)在核查記錄表單類文檔中是否與管理制度要求一致。

3、總結(jié)

總體來說，金融行業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn)中漏洞管理要求，從管理制度建設(shè)、漏洞發(fā)現(xiàn)和漏洞修補(bǔ)跟蹤等進(jìn)行多方面覆蓋，幫助等級(jí)保護(hù)對象開展漏洞管理工作。