2020年11月，中国人民银行正式发布并实施《金融行业网络安全等级保护测评指南》（JRT 0072-2020）和《金融行业网络安全等级保护实施指引》（JRT 0071-2020）。本文介绍了金融行业等级保护中漏洞管理相关要求：

1、金融行业等级保护标准基本介绍

本标准规定了金融行业对第二级、第三级和第四级的等级保护对象的安全测评通用要求和安全测评扩展要求，适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门对等级保护对象的安全状况进行安全测评。

每个级别测评要求都包括安全测评通用要求、云计算安全测评扩展要求、移动互联安全测评扩展要求和物联网安全测评扩展要求4个部分。

其中安全测评通用要求包括了安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理。

2、漏洞管理要求

本标准涉及漏洞管理的安全测评通用要求主要是安全计算环境、安全管理机构和安全运维管理3个部分，并且每个级别测评要求有个别差异。

1. 安全计算环境要求

本标准对安全计算环境的入侵防范中漏洞管理要求如下：

▲图2-1 安全计算环境-入侵防范-测评要求

要求不同级别的等级保护对象要能通过漏洞扫描工具、人工渗透排查分析等漏洞检查手段，及时发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。测试对象要求覆盖终端和服务器等设备中的操作系统、网络设备、安全设备移动终端等所有IT化资产。

这不仅要求等级保护对象需要摸清家底，清晰掌握IT资产台账，还需要通过多种漏洞检测手段进行全面漏洞扫描评估，并持续跟踪漏洞修复进度。

2. 安全管理机构要求

本标准对安全管理机构的审核和检查中漏洞管理要求如下：

▲图2-2 安全管理机构-审核和检查-测评要求

要求不同级别的等级保护对象要定期进行常规安全检查，检查内容包括系统日志运行、系统漏洞和数据备份等情况。测评对象要求涉及信息/网络安全主管和记录表单类文档。

可以看到，在安全管理机构的日常安全工作中，需要定期安全安全检查并且能够留存安全检查历史记录。

3. 安全运维管理要求

本标准对安全运维管理的漏洞和风险管理、网络和系统安全管理中漏洞管理要求如下：

▲图2-3 安全运维管理-漏洞和风险管理/网络和系统安全管理-测评要求

a) 漏洞和风险管理要求

漏洞和风险管理要求不同等级保护对象应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能影响后进行修补。测评对象要求是记录表单类文档。

这不仅要求留存漏洞扫描报告、渗透测试报告和安全通报等记录，还要求留存和跟踪漏洞修补记录。

通常，可能大部分情况下等级保护对象会留存漏洞扫描记录，但是若没有充分落实和跟踪漏洞修补工作，很难留存漏洞修补记录。

b) 网络和系统安全管理要求

网络和系统安全管理要求明确提出针对不同等级保护对象有不同的漏洞扫描和修补要求。二级要求每年至少进行一次漏洞扫描，三级要求每半年至少进行一次漏洞扫描，四级要求每季度至少进行一次漏洞扫描，并且三级以上要求上报漏洞扫描结果。测评对象要求覆盖了管理制度类文档和记录表单列文档。

可以看到，该测评单元重点要求网络安全管理规定中要包含对应的漏洞管理制度，同时在核查记录表单类文档中是否与管理制度要求一致。

3、总结

总体来说，金融行业等级保护标准中漏洞管理要求，从管理制度建设、漏洞发现和漏洞修补跟踪等进行多方面覆盖，帮助等级保护对象开展漏洞管理工作。