金融机构漏洞管理实践探索

张军

[太平洋保险集团（股份）有限公司，上海 200233]

1 引言

随着金融科技蓬勃发展，新技术不断地被引入到支撑金融业务的基础设施中，为金融单位实现数字化战略转型提供了有利的帮助。与此同时，伴随新技术的出现，网络和信息安全形势日益严峻，不断有各种新型安全威胁爆发、新的威胁利用工具层出不穷[1]。据国家互联网应急中心（CNCERT）权威数据统计，近几年网络安全漏洞整体态势呈现出漏洞总数总体维持增长趋势，且0day漏洞大幅度增长更是加剧了企业网络安全运营压力[2]，如图1所示。

自网络安全强国战略实施以来，为了有效地应对网络安全威胁和风险，保障网络运行安全，国家层面相继发布了《国家网络空间安全战略》《中华人民共和国网络安全法》《网络安全等级保护条例》（征求意见稿）等相关法律和规定，要求网络安全运营者应能采取各类安全措施发现、识别、处置漏洞。同时，随着行业监管范围与深度的不断扩大，金融科技监管进入深水区，各类行政处罚层出不穷，惩罚力度超前。各类常态化的网络安全检查要求建立责任追究机制，对发生重大网络安全漏洞的责任单位和责任人进行严肃问责。

图1 2013-2018年CNCERT收录安全漏洞数量变化趋势图

事实上，大多数金融机构已将网络安全纳入公司全局战略和总体规划统筹考虑，通过完善网络安全组织、技术和管理，来构建动态、立体、高效、敏捷的安全保障体系。漏洞管理是企业必须做好的网络安全基础工作，它的目的是通过管理和技术手段尽可能在最短时间内发现IT运行环境中的漏洞，并在第一时间组织修复，从而降低被黑客利用进行网络攻击的风险[3]。但是，在企业实践过程中由于各种原因，导致漏洞管理策略落地难、资产识别不全、漏洞发现能力差、漏洞修复时效低以及修复处置方案不适合业务场景等问题。在吸收最新的漏洞管理理念的基础上，文章结合金融机构的实际，在Gartner模型基础上，提出了一种行之有效的金融机构漏洞管理架构和方法。

2 漏洞管理相关概念

在2015年Gartner所发布的《A Guidance Framework for Developing and Implementing Vulnerability Management》中定义的漏洞管理包括：定义计划和目标、漏洞评估、漏洞修补三个阶段。随着多年的发展和完善，又于2019年更新发布了漏洞管理指导框架的新版本[4]，其中对漏洞及漏洞管理做了通用定义，具体表述如下。

2.1 漏洞

漏洞一词包含在“易受攻击”或“可被攻击”的概念之内。Gartner定义的“漏洞”是指可能受到攻击的缺陷，利用漏洞的威胁可引发一连串安全事件，从而对组织产生影响。漏洞可存在于系统或平台、固件、应用软件和设备中，具体包括配置缺陷、未修补的操作系统组件和应用程序、一些其他技术安全缺陷，或不符合组织IT策略的情况等风险。

2.2 漏洞管理

Gartner将漏洞管理定义为收集、评估、修补和缓解信息系统安全漏洞的过程。该过程包括漏洞管理策略和范围定义、漏洞收集、漏洞评估、漏洞修补、漏洞缓解和漏洞监测。我们必须认识到，传统意义上的漏洞管理主要是发现和修复运行环境中存在的漏洞，如何防止应用软件漏洞是软件开发生命周期（SDLC）安全管理需要考虑的，两者属于同一个风险管理保护框架，但它们通常是分开的，由不同团队运营。近些年，一些先进的企业将漏洞评估工具集成到持续集成/交付（CI/CD）中，作为软件开发生命周期（SDLC）的一部分，使得安全能力以持续集成的方式融入到了软件开发生命周期中。

3 企业漏洞管理总体框架

面对安全形势的变化，早在2014年Gartner便提出了自适应安全。而随着时间推移，到2017年Gartner将自适应安全升级为持续自适应风险与信任评估（Continuous Adaptive Risk and Trust Assessment，CARTA），CARTA是企业构筑安全体系全新的战略性方法。

C A R T A安全框架提出，风险是必然存在的，企业应该拥抱风险，换言之不存在绝对地安全，投入过度的防御措施往往并不有效，难以应对诸如APT攻击。因而，CARTA强调应该持续地和自适应地对风险和信任两个要素进行评估。

金融机构要遵从和实施Gartner CARTA的战略方法，如图2所示，建立零信任网络已然是关键，而对风险持续性管理则强调了安全动态性，这种动态性是取决于上下文的情景数据，以数据驱动的持续性风险评估。举例来说，在CARTA框架下，对一个网络访问活动的发起将会动态决定是否放行，甚至是发起挑战性的验证，而不是像传统架构下的静态策略，这种动态性最大限度的减少了攻击的可能性。

Gartner CARTA是网络安全架构整体模型，对风险（包括了漏洞）的持续性识别和响应是其中的部分关键。以CARTA模型为实践指导，建立漏洞全过程闭环管理，就需要覆盖漏洞发现、快速评估、修复、跟踪的漏洞管理全流程，并且要充分利用漏洞情报数据，触发流程运转，帮助企业建立快速响应机制，及时有效完成漏洞修补工作，并量化跟踪漏洞管理的全过程和分析流程的执行情况，促进管理流程持续优化，漏洞管理流程总体框架如图3所示。

漏洞管理流程总体框架分为六个阶段。

图2 Gartner CARTA模型

图3 漏洞管理流程总体框架

（1）定义漏洞管理计划和目标：该阶段是漏洞管理的准备阶段，主要包含定义范围、角色和职责、创建和优化策略及评估工具选择等。

（2）漏洞收集：漏洞管理的第一步，通过主动、被动方式收集内外部漏洞情报信息，为漏洞评估阶段提供信息参考。

（3）漏洞评估：依据收集过来的漏洞信息评估其技术风险，通常需要引入威胁情报、参考风险评估规范要求开展综合分析，分析完成后利用漏洞检测平台（工具）自动化检测，以确认受影响范围。

（4）漏洞修复：对纳入漏洞修复计划的漏洞制定漏洞修复方案，各相关部门开展漏洞修复，并在漏洞修复完毕后，由专业技术人员开展跟踪复测，确认漏洞是否真正被修复。

（5）持续监控：通过对范围内的资产和系统进行周期性的扫描、测试、检查，及时发现和处置复发漏洞。

（6）持续改进：针对漏洞管理的各环节开展度量评价，发现影响流程的潜在问题，制定改进方案并监督执行。

4 企业漏洞管理实践

漏洞管理是企业安全运营的基础性工作，互联网安全中心（Center for Internet Security，CIS)发布的Controls是一个有优先级的纵深防御安全建设活动清单，在其CIS Controls 7.1版本[5]中将持续性漏洞管理列为基础级，这无疑体现了漏洞管理的重要性。然而，正如前文所述，漏洞呈现的新形势越来越严峻，这造成了漏洞管理工作的复杂性，使用一套成熟、适合金融架构业务特点的漏洞管理流程，将显著降低漏洞管理复杂性，并使得企业安全风险控制在可接受水平上。

4.1 漏洞管理计划和目标

4.1.1 定义目标和范围

为确保网络安全工作的有效落地及实施，结合日常漏洞管理实践经验，将漏洞管理的总体目标确立为：降低漏洞检测和修复时间，提升漏洞管理效率和效果。

具体目标为快速响应、有序修补、优化管理。快速响应，是网络安全工作最核心的要素，网络安全本身就是不对等的，我们无法获悉攻击者从何时、何地采取何种方式进行攻击，因此只有在发生事件时以最快的速度进行响应，将影响度、危害度降至最低，才能有效确保企业的网络安全；有序修补，强调漏洞修补需有张有弛，有紧有松，根据既定的策略有序开展；优化管理，漏洞管理工作需符合PDCA可持续性发展思路，不断地提升漏洞管理工作的效率，优化流程，规范行为，以确保整体质量可靠。

漏洞管理范围，即根据资产管理范围明确漏洞管理范围，并将资产、漏洞关系进行入库对应。包括两方面内容。

（1）应用安全漏洞：开发团队在应用系统开发过程中交付或使用的开发组件框架、通用及其他软件、信息系统代码中产生的漏洞。

（2）基础设施安全漏洞：基础设施团队交付的操作系统、数据库、中间件、网络设备、安全设备、通用及其他软件中产生的漏洞。

4.1.2 定义角色和职责

按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，企业应根据自身的实际业务情况，正确定义漏洞评估、漏洞优先级划分、修补、缓解和例外相关的必要角色和责任，如表1所示。

表1 漏洞管理角色和职责

4.1.3 选择漏洞评估方法与工具

选择部署合适的漏洞自动化检测工具是提高漏洞管理的必要条件之一，企业可根据自身漏洞管理实践来选择漏洞评估方法和工具。大多数企业依赖的传统漏洞评估工具有绿盟RSAS远程安全评估系统、Tenable Nessus和Rapid7。除传统漏洞评估工具以外，企业还可选择IT服务管理和补丁管理工具、渗透测试、网络流量监控、云扫描、攻击模拟工具。

常见的漏洞评估方法有未授权的网络远程评估、授权的网络远程评估、基于代理的评估、网络监控或被动扫描、通过API或外部工具集成的间接评估。

4.1.4 创建和优化漏洞管理策略和SLA

漏洞管理需要根据公司合规要求，对标行业监管、等级保护、ISO/IEC 27001标准等要求，定义漏洞管理策略和基线。明确不同级别漏洞的处理策略和漏洞修复基准，并制定相应的SLA。例如，当遇到无法修复的漏洞时，如何选择合适的方式规避风险；当低于漏洞修复基线时需要分析原因，调整策略。

4.2 漏洞收集

企业应建立统一的漏洞管理平台，对漏洞情报进行实时监控，关注漏洞情报的披露情况、漏洞利用进展、漏洞热度。漏洞情报包括外部通报漏洞和内部发现漏洞。外部通报漏洞来源于监管机构、第三方漏洞平台、用户反馈等途径，存在此类漏洞的IP地址等系统信息已经被外部知悉、可被攻击利用。内部发现漏洞来源于安全团队的漏洞监测和自查以及各部门在漏洞预警排查中发现的漏洞。通常外部通报漏洞危害性更高，修复时效要求高于内部发现漏洞。

4.2.1 外部通报漏洞

通过专门团队借助统一的漏洞管理平台持续收集来自于各渠道的威胁情报，包括通用漏洞披露(CVE)、国家信息安全漏洞共享平台（CNVD）、国家信息安全漏洞库(CNNVD)、厂商补丁、攻防实验室、合作伙伴、漏洞平台、微信公众号、知名博客、行业通报、企业SRC等，并分析和过滤，获取有用情报。例如，Microsoft、Oracle等厂商的每月安全公告和安全更新、CNVD、CNNVD的信息安全漏洞周报和月报以及不定期的热点漏洞、重大预警、通用型漏洞等。

4.2.2 内部发现漏洞

通过系统和应用扫描、渗透测试、基线检查、代码审计等手段，对系统上线前开展安全评估、上线后定期的安全运维以及在事件处置、问题跟踪等环节发现的安全漏洞和威胁，统一纳入漏洞管理平台进行管理。

为了提升企业漏洞发现的能力，建议采购不同厂商的扫描器，针对同一资产进行异构扫描；由传统单一厂商的渗透测试转变为背靠背的多厂商同时服务，也可尝试众测模式来开展服务。

4.3 漏洞评估

4.3.1 资产识别

资产识别是漏洞管理过程的关键活动，漏洞是附加在资产之上，掌握资产信息是做好漏洞管理的前提条件。在传统漏洞评估模型中，漏洞评估主要使用漏洞本身为视角，评价其严重性，比如CVSS就将漏洞分成紧急、高危、中危和低危四个严重性等级。然后，以漏洞视角带来大量实践性问题，由于企业资产数量庞大、资产运行情况复杂、且漏洞数量日积月累导致的欠账太多，如果不引入更加全面的评价体系，这就导致了实际漏洞闭环管理将变得十分困难。而在实践中，通过引入以资产为视角的漏洞评估，如资产暴露面、资产价值、资产保护措施等可用来作为漏洞评估的依据，显著改善这一情况。

通常，漏洞管理工具要具备不同的资产发现能力，从简单的网络扫描到云服务商的API集成。任何情况下，企业都应考虑业务不断发展带来的IT环境的变化，必须为漏洞管理计划范围内的所有技术环境实施资产发现，包括不限于云环境、移动和物联网设备，同时也应将资产发现与企业的变更管理连接起来。

实际工作中，资产识别一般通过各类技术手段对全部资产进行识别和监控，重点发现影子资产、未登记的资产等，通常需要手工加自动识别相结合的方式进行管理，包括不限于主动的扫描探测、云端的情报识别、主机Agent采集、第三方CMDB平台对接、被动的流量、日志识别和手工梳理。资产识别后应统一盘点入库，发生变更时能够自动识别更新，对稽核后的错误资产信息进行修正。对识别到的全量资产，明确网络安全责任人，并做到资产安全状态可控。

另一方面，以资产IP或URL作为一个基本标识，不断完善资产属性标签，对资产属性信息做到全面收集和管理，这一工作企业可以自主开发，也可以借助第三方商用资产管理平台，对从业务系统获取的各种数据进行采集和关联分析，以最大限度的获得资产信息。

4.3.2 验证评估

验证评估主要是对已发现的漏洞进行风险等级评估、预警评估和漏洞验证，为后续的漏洞修复提供决策。

首先，漏洞评估工作主要包括漏洞风险级别评估和漏洞修复级别评估，以确定漏洞的实际影响程度及修复级别。

漏洞风险级别评估是指参考通用的或企业自有漏洞风险评估标准，结合漏洞的暴露程度和已知的漏洞利用工具等因素对已发现的系统漏洞风险进行分析的过程。常见的参考有CVSS评分法[6]和GB/T 30279-2013《信息安全技术 安全漏洞等级划分指南》[7]，参考如表2所示。

漏洞修复优先级比较成熟的做法是借助外部平台从云端威胁情报获取外部漏洞利用活跃度的情报，结合本地业务系统重要程度，资产防护度等多种因素，综合评估，给出漏洞修复的优先级建议，使修补工作效果达到最大程度降低安全风险的目的。同时企业修复团队应根据一定处置原则进行漏洞修复风险处置，例如：

表2 漏洞危害等级划分表

“极高危”等级的漏洞，必须进行风险处置；

“高危”等级的漏洞，必须进行风险处置；

“中危”等级的漏洞，必须进行风险处置；

“低危”等级的漏洞，选择“风险接受”的处置策略，不做进一步处置。

另外针对收集到的通用型漏洞，应进行评估定级后，预警相关部门进行排查修复。预警原则可参考下列等级。

“极高”等级的漏洞，应包含上级监管部门、CNCERT发布的通用型漏洞公告，并在全网范围内进行预警。

“高”等级的漏洞， CNVD漏洞中进行评估确认，针对操作系统、数据库、中间件、网络设备、安全设备、开发组件框架、通用及其他软件中涉及的高危通用型漏洞进行定期预警。

“中”等级的漏洞， CNVD漏洞中进行评估确认，针对操作系统、数据库、中间件、网络设备、安全设备、开发组件框架、通用及其他软件中涉及的中危通用型漏洞进行定期预警。

“低”等级的漏洞，选择“风险接受”的处置策略，不做进一步处置。

最后，漏洞评估及资产范围明确之后，应通过部署的自动化漏洞检测工具或平台，对明确范围内的IT资产开展漏洞检测、验证，以确认漏洞真实性及归属信息系统，为下一步漏洞修复阶段提供明确的目标。

4.4 漏洞修复

4.4.1 漏洞修复

漏洞修复工作应讲究一定的原则。漏洞修复团队应根据安全团队的修复建议，从整个应用系统层面对漏洞修补方案的影响和可行性进行评估，在确定漏洞修复优先级的基础上，按照优先解决业务系统的高、中风险漏洞，其次解决低风险漏洞的原则，制定漏洞修补的整体实施方案。在制定漏洞修补方案过程中，应确保方案能够有效降低漏洞的风险，确保充分测试，不会对业务产生负面影响。漏洞修复的目标是领先漏洞被利用，将漏洞影响降到最低，这也就要求我们的漏洞修复工作时间要降低、效率要提升、质量要提高。

在日常漏洞修复中，应遵循如下流程对漏洞开展修复工作，流程如图4所示。

如图4所示，在进行修复方式选择时，理想情况下，修补是对漏洞最直接最彻底的响应，如果无法应用修复程序，则应考虑其他选项，包括缓解控制、甚至接受来自漏洞的风险。

（1）修补

修补不是漏洞修复的唯一方法，但是最常见的方法。修补工作往往会带来修复团队和安全团队的摩擦，在修补过程中引入自动化的补救措施正在缓解这一矛盾。另外，定期开展修复工作会议、关注补丁管理、确定修补SLAs、制定可操作可执行的修补政策、适合的修补基线等也是赢得修复所必须考虑的。

（2）缓解

缓解措施有时候也可能成为企业漏洞修复的唯一方案，例如厂商不再维护的Windows版本、已经倒闭的软件外包商等。缓解措施又称为“虚拟补丁”，一定程度上也是比较优化的方案。例如，一个WAF虚拟补丁可减轻成百上千台服务器打补丁的困境。最重要的是，与修补措施不同，缓解控制可能完全由安全团队使用安全工具完成，而不再对修复和业务团队产生依赖。常见的缓解措施包括隔离缓解（FW、NAC、无线屏蔽等）、网络防护缓解（IDPS、WAF、DAP等）、主机防护缓解（HIPS、应用白名单、EDR、EPP、IptableFW等）。

（3）接受

图4 漏洞修复工作流程

有时，针对特定漏洞或系统的修补或缓解措施不可用或在操作上不可行，亦或副作用风险太大，企业无法接受，亦可批准例外。批准例外接受风险，也意味着你可以承受被黑客攻击的损失，所以例外一定要谨慎，必须有严格的审批流程。例外的批准应该是业务部门提出，需要高级管理者签字确认，不允许任何人批准超出其控制和责任范围的例外。最后，所有例外都必须有一个到期日，不允许无限期例外。

接下来谈漏洞修复时效。外部通告漏洞及内部发现漏洞原则上需要第一时间进行修复,经评估无法按时效要求修复的极高危和高危等级漏洞，应临时关停或下线相关业务功能或采取其他有效措施进行控制风险，原则上漏洞修复时效不能超过参考时间。

针对外部通报漏洞，依据评估的漏洞等级，漏洞修复时效要求如表3所示。

表3 内网漏洞修复时效要求

针对内部发现漏洞，依据评估的漏洞等级，原则上修复时效不能超过如表4所示参考时间。

表4 外网漏洞修复时效要求

4.4.2 复测跟踪

复测跟踪的主要工作是安全技术人员利用自动化工具、自研工具或其他方式进行自动化或手工复测，并与业务确认，验证修复是否成功，业务风险是否已确实降低，即需要进行修复有效性的验证。通常的复测方法包括漏洞扫描、配置核查、渗透测试等传统风险评估手段。对复测未通过的，需先完成回退操作，后续转移到测试环境进行进一步分析、测试，获得解决办法后再到生产环境修复。

4.5 持续监控

基于漏洞管理平台或工具支撑，对范围内的资产开展周期性的扫描、监测、检查，以及时发现和处置复发漏洞或新漏洞，同时通过持续性监控措施，促使漏洞管理工作不断得到提升、优化。

监控指标包括资产态势、有效漏洞情报数、资产漏洞数量、漏洞等级分布、已修复漏洞数、未修复漏洞数、超期未修复漏洞、平均漏洞修复耗时及其他监控指标。

4.6 持续改进

漏洞修复完毕后应总结评价每一次漏洞修复的成果及处理过程，过程中产生的文档需要存档，建立知识库，过程中存在的问题需要制定改进计划，暂缓处置的漏洞需要做好持续跟进，在发生重大安全事件或组织内外部环境发生重大变化时，需增加评审。

4.6.1 度量评价

漏洞修复后，在评估是否实现了适当的风险降低时，我们必须不断衡量漏洞管理实践的有效性，包括衡量所有的评估、缓解和修补活动。

如表5所示，提供了用于跟踪漏洞管理工作有效性的度量主要抽样指标，这些指标大多数可以按企业部门、团队或系统类型进行分配。

4.6.2 分析预测

持续的漏洞管理工作往往会由于各种原因，而陷入瓶颈期。已知重复漏洞如何防止再次发生，供应商不再支持的产品漏洞如何决策，能否预测出有助于漏洞管理工作的资源投入。

漏洞数据可视化、漏洞修复可量化、漏洞管理流程化是漏洞管理工作的最佳实践。借助漏洞管理平台或工具，通过漏洞和资产两个维度展示企业中TOP10高危漏洞和TOP10高危资产，给漏洞管理工作提供可控的目标及参考意义。以企业中以部门为单位，对漏洞的修复情况进行量化。例如，修复漏洞数（已修复/未修复）、修复漏洞耗时、修复漏洞成功率等，使企业管理者能清楚的了解当前漏洞管理状况，为漏洞管理的决策工作提供更好的依据。另外，漏洞管理过程中，应逐步建立漏洞修复知识库，一方面可为处置人员提供一个全面、权威和有效的漏洞修复知道方案库，另一方面也是保证漏洞修复工作能更有效地进行，减少漏洞修复的失败率。

表5 漏洞管理指标

此外，日常的漏洞管理工作下积累的经验和方法，同样可以为企业的IT项目提供决策参考。实际工作中我们往往关注那些有着高收益的漏洞修复方法，例如发现数量最多类型的漏洞，多数原因是组件版本过低而导致的，因此项目在规划和实现阶段，就应该主动要求使用最新版本的组件，而对于那些经常爆发高危漏洞的组件，应建议逐步替换；而对于那些漏洞数量明显较多的资产，我们更应该投入精力和资源去主动分析，因为这些漏洞的修复，往往会给我们带来更高的收益。每次扫描工作按系统和应用维度给出修复建议，每年提供相关操作系统、Web框架和中间件的漏洞统计修复情况的总结，从而反向推动在需求以及设计阶段规避相关风险，从源头减少漏洞的产生。

漏洞管理是一个持续的过程，日常的漏洞管理需要不断重复各个环节，这样漏洞管理工作才能切实有效。依托平台（工具）对漏洞管理的整个生命周期开展持续性监控，包括漏洞管理计划和目标、漏洞收集和评估、漏洞修复，监控整个生命周期数据的输入输出，实现企业漏洞管理体系的可持续运行。

4.7 实践评价

以C A R T A框架为代表的未来企业安全架构，正在如火如荼开展实践，结合实际工作，在漏洞管理工作中积极落地上述管理框架，将漏洞管理的目标、策略、职责分工、方法和要求作为公司安全策略在全辖发布，实施上述管理流程和工作方法，极大地提升了漏洞管理效果和效率，显著降低企业安全风险。

4.7.1 资产管理更加全面

过去单位的资产信息分散于多个部门之中，管理权限和责任不清晰，且存在资产数据不完善、资产变动更新不及时，并且与安全漏洞相关信息统计不全面等问题，往往在重大漏洞被披露后，无法定位漏洞可能影响范围，协同排查资产责任人条件限制导致漏洞处置的不及时等，管理不善必然造成风险存在。

在新的管理框架下，首先，对资产进行梳理，进一步明确了所有资产的归属责任人，并将资产信息纳入平台管理；其次，通过技术手段和情报信息主动检测发现未登记的互联网资产，2019年全辖发现并及时加固了139个未登记资产；同时，采用主机Agent采集的方式识别数据中心基础设施资产类型，实施以来已主动发现新增了11个通用资产类型，并第一时间将新增资产的漏洞情报纳入日常漏洞通报，如图5所示。

4.7.2 漏洞收集更加全面

图5 通用组件漏洞情报

在实践中，改变了过去漏洞收集全部借助扫描工具和黑盒测试来的单一性，加入了漏洞情报结合资产信息的漏洞静态扫描、软件安全开发管控（SDL，包括代码审计、安全测试、开源软件安全性评估等漏洞检测方式）、外部漏洞应急收集平台等漏洞收集手段，消除了可能因为资产范围不全、扫描器漏报和误报的突出问题，同时在漏洞预警方面通过主动的收集漏洞威胁情报数据，关联资产信息，做到对突发和新型漏洞及时预警，以及SDL实施成果对整体系统安全性的提升，图6展示了辖内等保应用系统在全面实施应用发布前安全检测策略前后的生产环境漏洞的变化趋势。

4.7.3 漏洞管理效率提升

过去，漏洞修复时间往往需要十几天到几个月，在新的管理框架下，通过优化漏洞修复流程，明确修复时效SLA要求，以及完善漏洞缓解措施和自动化修补技术等措施，漏洞修复实现了最快小时级闭环，修复最长时间不断收敛。这里以漏洞修复时效、漏洞修复超时率作为漏洞管理效率提升的主要衡量指标举例说明，图7展示了管理框架优化前后应用系统漏洞修复时效的变化，体现出漏洞修复时效在不断收敛并达标的效果；图8展示了超时修复漏洞数以及漏洞修复超时率的变化趋势，体现了超时修复漏洞数逐步减少，以及漏洞修复超时率持续降低的效果。

5 结束语

漏洞管理工作是个体系化、复杂性的工作，存在诸多的挑战。未来，我们可在六个方向持续改进和优化。

（1）利用先进的漏洞优先级划分技术和自动化的工作流程工具来简化漏洞修复工作。

（2）采用DevOps实践的企业应考虑采用集成到持续集成/连续交付（CI / CD）工具链中的漏洞处理方法。

图6 SDL实施对比变化

图7 最长漏洞处置时间趋势

图8 漏洞修复超时率变化

（3）资产管理的覆盖度应更广、更深，如影子资产、云、OT资产等。

（4）适度的高层支持，建立漏洞管理沟通机制，定期或不定期组织跨部门漏洞修复专项会议。

（5）增加针对新技术、开源系统的漏洞关注，以及重点跟进个人信息或敏感数据相关的漏洞。

（6）优化改进修复策略，如所有例外都必须具有到期日期，不允许无限期例外；漏洞缓解最终仍需要修复。