0%

漏洞管理体系

09. 漏洞管理体系

智能安全事件可观测性 · 漏洞管理参考


一、漏洞管理概述

1.1 基本概念

漏洞(Vulnerability):

  • 系统或应用程序中的缺陷或弱点
  • 可被攻击者利用以获取未授权访问
  • 影响 confidentiality、integrity、availability

漏洞管理(Vulnerability Management):

  • 持续发现、评估、优先级排序、修复、监控组织漏洞的系统性方法

CVE(Common Vulnerabilities and Exposures):

  • 公开漏洞的唯一标识符
  • 由 MITRE 维护
  • 格式:CVE-YYYY-NNNNN

CVSS(Common Vulnerability Scoring System):

  • 漏洞严重性评分标准
  • 0.0-10.0 评分
  • 由 FIRST 维护

1.2 漏洞生命周期

graph LR D[发现 Discover] --> A[评估 Assess] A --> P[优先级 Priority] P --> R[修复 Remediate] R --> V[验证 Verify] V --> M[监控 Monitor] M --> D style D fill:#e3f2fd,stroke:#1565c0 style A fill:#e8f5e9,stroke:#2e7d32 style P fill:#fff3e0,stroke:#e65100 style R fill:#fce4ec,stroke:#c62828 style V fill:#f3e5f5,stroke:#7b1fa2 style M fill:#e1f5fe,stroke:#01579b

生命周期详解:

阶段 主要活动 产出 频率
发现 漏洞扫描、渗透测试、情报收集 漏洞列表 持续
评估 CVSS 评分、业务影响、资产价值 风险评级 实时
优先级 基于风险的优先级排序 处理清单 每日
修复 补丁安装、配置修复、缓解措施 修复记录 按计划
验证 复扫确认、修复验证 验证报告 修复后
监控 新增漏洞监控、趋势分析 态势报告 持续

二、漏洞发现与检测

2.1 发现方法对比

方法 覆盖范围 深度 自动化 频率
漏洞扫描 ⭐⭐⭐⭐⭐ ⭐⭐⭐ ⭐⭐⭐⭐⭐ 可每日
渗透测试 ⭐⭐⭐ ⭐⭐⭐⭐⭐ 季度/半年
代码审计 ⭐⭐ ⭐⭐⭐⭐⭐ ⭐⭐ 每次发布
威胁狩猎 ⭐⭐ ⭐⭐⭐⭐ ⭐⭐ 持续
情报监控 ⭐⭐ ⭐⭐⭐ ⭐⭐⭐⭐ 实时
红队评估 ⭐⭐⭐ ⭐⭐⭐⭐⭐ 半年/年度

2.2 漏洞扫描工具

网络漏洞扫描:

工具 厂商 特点 适用场景
Nessus Tenable 全面、插件丰富 企业网络
Qualys Qualys 云原生、SaaS 云环境
OpenVAS Greenbone 开源、免费 中小企业
Nexpose Rapid7 风险分析强 企业安全
Nmap 开源 端口发现、脚本 快速扫描

Web 应用扫描:

工具 类型 特点
Burp Suite 商业 综合 Web 测试
Acunetix 商业 DAST、自动化
OWASP ZAP 开源 免费、插件丰富
Netsparker 商业 准确性高
AppScan IBM 企业级

容器/云扫描:

工具 覆盖范围
Trivy 容器镜像、IaC
Clair 容器漏洞
Snyk 代码+容器
Qualys CloudView 云安全姿态

2.3 扫描策略

扫描频率矩阵:

资产类型 全量扫描 增量扫描 持续监控
互联网暴露 月度 每周 实时
内部核心系统 季度 月度 持续
一般服务器 半年 季度 持续
工作站 年度 季度 端点
云工作负载 月度 每周 实时

三、漏洞评估与评分

3.1 CVSS 评分体系

基本度量组(Base):

度量 选项 说明
Attack Vector (AV) Network 远程网络
Adjacent 局部网络
Local 本地访问
Physical 物理接触
Attack Complexity (AC) Low 无特殊条件
High 需特殊条件
Privileges Required (PR) None 无需权限
Low 普通用户
High 管理员
User Interaction (UI) None 无需用户
Required 需要用户配合
Scope (S) Unchanged 不影响其他组件
Changed 影响其他组件
Confidentiality (C) High/Low/None 机密性影响
Integrity (I) High/Low/None 完整性影响
Availability (A) High/Low/None 可用性影响

环境度量组(Environmental):

度量 说明
Collateral Damage Potential (CDP) 潜在损害
Target Distribution (TD) 目标分布
Security Requirements (CR/IR/AR) 机密/完整/可用需求

评分等级:

分数 等级 颜色 响应时限 说明
0.0 - - 无漏洞
0.1-3.9 🟢 90天 低风险
4.0-6.9 🟡 45天 中风险
7.0-8.9 🟠 30天 高风险
9.0-10.0 严重 🔴 7天 紧急风险

3.2 风险评估模型

VPR(Vulnerability Priority Rating):

级别 颜色 说明
Critical 🔴 立即修复
High 🟠 优先修复
Medium 🟡 计划修复
Low 🟢 择机修复

EPSS(Exploitation Prediction Scoring System):

  • 预测漏洞被利用的可能性
  • 0.00-1.00 评分
  • 用于优先级排序

3.3 基于风险的优先级

风险计算公式:

风险 = 漏洞严重性 × 资产重要性 × 利用可能性 × 当前暴露程度

优先级矩阵:

严重性 高资产价值 中资产价值 低资产价值
Critical 🔴 P0 🔴 P1 🟠 P2
High 🔴 P1 🟠 P2 🟡 P3
Medium 🟠 P2 🟡 P3 🟢 P4
Low 🟡 P3 🟢 P4 🟢 P5

四、漏洞修复与缓解

4.1 修复方法

方法 说明 适用场景
补丁安装 官方安全更新 有可用补丁
配置修复 安全配置加固 配置问题
版本升级 升级到安全版本 旧版本
网络隔离 隔离受影响系统 暂时无法修复
访问控制 限制暴露面 无法修复
虚拟补丁 WAF/IPS 防护 紧急缓解
卸载禁用 移除问题组件 非必要功能

4.2 修复流程

graph LR P1[漏洞确认] --> P2[影响评估] P2 --> P3[修复方案制定] P3 --> P4[测试环境验证] P4 --> P5[生产环境部署] P5 --> P6[复扫确认] P6 --> P7[记录关闭] P4 --失败--> P3 P6 --失败--> P3

4.3 修复时效要求

级别 定义 修复时限 审批级别
Critical RCE、无认证即可利用 7天 CISO
High 认证后 RCE、敏感数据 30天 安全经理
Medium 拒绝服务、信息泄露 90天 安全工程师
Low 低风险、需用户交互 180天 安全分析师
Informational 最佳实践建议 1年 -

五、漏洞管理自动化

5.1 VM 平台功能

核心功能:

graph TB subgraph VM 平台功能 C1[漏洞发现] C2[自动评估] C3[优先级排序] C4[修复跟踪] C5[工单派发] C6[验证确认] end subgraph 集成 I1[CMDB 资产] I2[EDR 终端] I3[补丁系统] I4[工单系统] I5[威胁情报] end C1 --> I1 C2 --> I5 C3 --> I2 C4 --> I4 C5 --> I4 C6 --> I3

5.2 集成工具

集成 说明 自动化程度
ServiceNow ITOM、工单管理 ⭐⭐⭐⭐⭐
Jira 问题跟踪 ⭐⭐⭐⭐
SCCM Windows 补丁 ⭐⭐⭐⭐⭐
WSUS Windows 更新 ⭐⭐⭐⭐
Landesk 终端管理 ⭐⭐⭐⭐
Qualys 漏洞管理 ⭐⭐⭐⭐⭐
Tenable 漏洞管理 ⭐⭐⭐⭐⭐

5.3 漏洞管理 SLA

漏洞级别 检测 SLA 评估 SLA 修复 SLA
Critical 1天 1天 7天
High 3天 3天 30天
Medium 7天 7天 90天
Low 14天 14天 180天

六、漏洞情报与响应

6.1 漏洞情报来源

来源 类型 更新频率 URL
NVD CVE 数据库 实时 https://nvd.nist.gov
CNVD 中国漏洞数据库 实时 https://www.cnvd.org.cn
CNNVD 中国国家漏洞库 实时 https://www.cnnvd.org.cn
Vulners 聚合漏洞数据库 实时 https://vulners.com
CISA KEVS 已知利用漏洞 更新 https://www.cisa.gov/known-exploited-vulnerabilities-catalog
VulnCheck PoC/EXP 情报 实时 https://vulncheck.com

6.2 零日漏洞响应

零日响应流程:

graph LR R1[情报确认] --> R2[影响评估] R2 --> R3[临时缓解] R3 --> R4[补丁开发/采购] R4 --> R5[全面部署] R5 --> R6[持续监控] style R1 fill:#fce4ec,stroke:#c62828 style R2 fill:#fff3e0,stroke:#e65100 style R3 fill:#fff9c4,stroke:#f57f17 style R5 fill:#e8f5e9,stroke:#2e7d32

临时缓解措施:

措施 说明 有效性
网络隔离 隔离受影响系统
WAF 规则 虚拟补丁
IPS 签名 特征阻断
访问限制 最小权限
监控加强 异常检测

七、漏洞管理成熟度

7.1 成熟度模型

级别 名称 特征 KPI
L1 初始级 被动响应、无流程 漏洞发现率 < 50%
L2 基础级 周期性扫描 漏洞发现率 50-70%
L3 规范级 流程标准化、自动化 漏洞发现率 70-90%
L4 量化级 数据驱动、持续优化 漏洞发现率 > 90%
L5 优化级 预测防御、自进化 漏洞预防

7.2 评估检查清单

类别 检查项 要求
发现 资产覆盖率 > 95%
发现 扫描频率 互联网暴露周扫描
发现 新漏洞时间 < 48小时
评估 CVSS 评分 100% 覆盖
评估 业务影响 高危关联业务
优先级 优先级准确率 > 90%
修复 高危修复率 > 90% (30天)
修复 平均修复时间 < 30天
验证 复扫确认 100%
监控 新增漏洞监控 实时

八、参考链接

资源 链接
NVD (国家漏洞数据库) https://nvd.nist.gov/
CVSS 4.0 规范 https://www.first.org/cvss/
CISA KEV 目录 https://www.cisa.gov/known-exploited-vulnerabilities-catalog
OWASP Top 10 https://owasp.org/Top10/
CVE 规范 https://cve.mitre.org/

Last updated: 2026-06-02