目 录
修订状况 2
1 概述 6
2 漏洞管理的重要性 6
3 需求分析 6
3.1 漏洞管理现状 6
3.2 问题与挑战分析 7
3.2.1 缺少集中管理自动漏洞情报 7
3.2.2 资产类的基础数据不完善 7
3.2.3 缺少线上统一运营平台 7
4 漏洞管理建设思路 7
4.1 以漏洞情报为驱动的漏洞管理 7
4.2 漏洞生命周期全过程管理 8
4.3 资产漏洞持续监控 8
4.4 满足合规管理要求基准 9
5 漏洞管理应用场景 9
5.1 漏洞应急响应 9
5.2 入网上线检查 9
5.3 满足日常运维 9
5.4 满足安全检查 9
6 漏洞管理详细方案 10
6.1 总体方案架构 10
6.2 定义计划和目标 11
6.2.1 资产管理数据准备 11
6.2.2 漏洞自动化运营工具 11
6.2.3 漏洞管理范围 14
6.2.4 定义漏洞管理组织 15
6.2.5 定义漏洞管理流程 18
6.2.6 定义漏洞管理策略和基线 18
6.3 漏洞情报监控 19
6.4 漏洞评估 20
6.4.1 漏洞情报评估 20
6.4.2 执行漏洞检测 20
6.5 漏洞修复 20
6.5.1 修复优先级定义 20
6.5.2 漏洞验证 22
6.6 持续监控 22
6.7 过程度量 22
6.7.1 技术度量 22
6.7.2 管理度量 23
6.8 持续改进 23
7 安全应急响应中心(SRC)建设和运营 23
7.1 模式评估 23
7.1.1 建立SRC(自建模式) 26
7.1.2 SRC风险控制 26
8 实施路线 27
8.1 运营人员保障 27
8.2 具体实施路线 28
8.2.1 第一阶段 28
8.2.2 第二阶段 29
8.2.3 第三阶段 29
8.3 平台研发 30
8.3.1 漏洞管理运营平台 30
9 附录 30
9.1 引用文档/参考资料 30