网络安全漏洞管理十大度量指标

当前，网络安全漏洞所带来的风险及产生的后果，影响到网络空间乃至现实世界的方方面面，通信、金融、能源、电力、铁路、医院、水务、航空、制造业等行业各类勒索、数据泄露、供应链、钓鱼等网络安全攻击事件层出不穷。因此，加强对漏洞管理的迫切性、重要性日趋突出。

国家层面已经出台相关法律法规、标准规范，通信、金融等行业层面出台监管规定、管理规范，企业层面也正在逐步形成漏洞管理相关制度。同时，各类网络安全技术和产品，如漏洞扫描、资产安全、漏洞管理、暴露面管理、攻击面管理、态势感知、SOC、威胁管理等等系统都包含有漏洞管理相关能力。但实际作用和效果仍有很大进步空间。

运营者层面漏洞管理的理想效果是“所有系统漏洞均应得到及时发现、及时处置”，其底线目标是“系统漏洞不被攻击者利用并产生危害影响”。那么，是否有章可循去达到漏洞管理目标呢？目前全球尚未有成熟的标准或度量体系可供借鉴。 星河安全多年来一直在帮助客户建立漏洞管理能力、输出情报和数据、提供漏洞管理服务，在客户需求、运营管理方面具有深厚积累，根据当前网络安全形势，结合未来最新的技术发展，提出漏洞管理十大度量指标，以期在设计、建设、评价、优化漏洞管理能力方面提供价值。

漏洞管理十大度量指标

漏洞管理十大度量指标分为资产覆盖率、风险资产识别粒度、检测能力完备程度、漏洞数据管理分析能力、优先级（VPT）应用程度、整改措施完备性、关闭漏洞百分比、漏洞重现率、响应时效性、运营管理完备程度等十个指标。

01资产覆盖率

此度量指标主要考察漏洞管理计划中资产覆盖面有无短板。 管理覆盖面：应该确定漏洞管理计划是否覆盖网络空间所有联网资产。除传统IT资产外，行业特有的如工控、物联网等专有资产，新兴技术如云、微服务、容器等，以及开发团队依赖的多个层面的开源组件等。

资产数据标准：资产库并非资产数据堆积，应建立资产数据标准，形成有标准的资产数据库，利于数据交换、数据共享，盘活资产数据。

SBOM技术：应形成软件物料清单SBOM，目前SBOM的主要安全用例是识别软件供应链中的已知漏洞和风险。可通过供应商申报、SAST、SCA等多种功能方式形成清单。SBOM可大幅度避免扫描，提升响应能力。

扫描技术覆盖面：扫描应覆盖所有资产类型和范围，避免形成扫描孤岛，可供选择的扫描技术有DAST、SAST、IAST、SCA等。重要资产可使用多品牌工具交叉扫描。

02 风险资产识别粒度

此度量指标考察对风险资产的识别能力和管理粒度。

已不受厂家支持产品：应识别并重点关注已经结束寿命的老旧系统、组件等。此类产品造成的隐患往往很大，原因或是厂家消失，或是厂家已不再针对该产品发布漏洞补丁、更新程序。 P2P软件：应识别网内运行的P2P软件。P2P软件往往会带来恶意代码安装、数据泄露、易受攻击、拒绝服务、感染病毒等风险。

远程桌面共享：识别并形成远程桌面共享资产清单。避免允许NetBIOS的传入流量（UDP 137和138、TCP 135-139和445）。监测TCP 3389(RDP)服务等。

高危端口和服务：应定义高危端口和服务列表，尤其是对互联网开放的端口和服务，重点关注其关联漏洞。监测允许远程会话的协议的所有公共端口，例如TCP 22(SSH)、TCP 23(Telnet)、TCP 3389(RDP)以及TCP 20和21(FTP)等。

互联网暴露：互联网暴露资产受攻击机率较大，应充分识别互联网暴露资产，建立暴露面资产清单。

03 检测能力完备程度

此度量指标考察漏洞检测能力。以此反映掌握漏洞态势的时效性能力。

检测周期和频率：应针对资产重要程度形成不同的周期性检测的机制，并可用自动化手段落实。

检测场景：应针对不同的检测场景，如资产存活、资产指纹、端口服务、漏洞等场景，或DevSecOps、暴露面监测等场景细化检测手段、检测策略、检测机制等。

时效指标：应形成每个场景的时效性量化指标。如单位资产（如100IP）的漏洞检测时间要在30分钟内完成，全网暴露面资产检测要在2个小时内完成。

04 漏洞数据管理分析能力

此度量考察漏洞数据质量管理、漏洞跟踪分析能力。

多源异构漏洞归一化：应具备漏洞数据标准，在标准化的基础上对多来源数据进归一化，方便统一分析管理，压缩减少漏洞数量。

原始扫描数据清洗过滤：应对扫描原始数据中的非风险、干扰性数据进行清洗过滤，筛选出有价值的漏洞数据，再次减少需要分析处置的漏洞数量。

随时间变化平均漏洞数：统计分析资产、系统、部门、组织整体的漏洞数量（级别、POC/EXP漏洞、关键漏洞）在生命周期过程中变化趋势，体现漏洞处置效果，掌握风险的态势，优化处置措施。

随时间变化新增漏洞数：统计分析新披露漏洞（级别、POC/EXP漏洞、关键漏洞）、增加新资产带来漏洞，优化新增漏洞处置措施。

05 优先级（VPT）应用程度

此度量考察对海量漏洞、关键漏洞风险管理能力。不同组织根据自身能力和管理要求选择不同的优先级方案。

基于漏洞级别：制定基于超危、高、中、低等不同级别的优先级措施，如超危、高危级别漏洞要优先处置。

基于威胁情报关联的可利用漏洞：通过威胁情报关联漏洞，查看漏洞当时是否有POC/EXP。有POC/EXP漏洞可作为高优先级漏洞处置。

基于实战化的关键漏洞列表：基于CISA KEV、VKB关键漏洞列表的实战化漏洞，作为优先处置对象。大型组织中，经过数据清洗过滤、关联POC/EXP后，待处理漏洞仍然是海量的，可把此类漏洞作为关键风险优先处置。

基于多属性决策算法：多属性包括了资产各类属性、漏洞各类属性、情报各类属性、生命周期管理各类属性，可作为 VPT风险计算因子。

06 整改措施完备性

此度量考察漏洞处置、风险控制手段的丰富性及管理能力。

补丁数量：在给定时间范围内应用补丁数量，帮助改进补丁管理策略。

缓解措施数量：使用缓解措施的漏洞数量，条件满足时升级设备或应用更新补丁。

网关防御措施数量或虚拟补丁数量：无法升级或无法及时升级补丁、使用缓解措施情况下，使用IPS、WAF等网关防御措施进行风险缓解的漏洞数量。

07 关闭漏洞百分比

此度量考察成功处置漏洞的结果，体现阶段性漏洞处置成果。

基于漏洞总数：以漏洞总数作为基数，关闭状态漏洞占漏洞总数的百分比。某些行业或企业会以漏洞总数修复率为考核管理要求。

基于漏洞级别：已关闭漏洞级别数量占该漏洞级别总数的百分比。某些行业以超危、高危漏洞的修复率作为漏洞管理人员的考核指标。

基于资产权重：以资产权重作为漏洞修复的前置条件，资产权重作为优先级VPT的计算因子。

SLA或考核指标：基于行业、企业监管或管理要求而关闭的漏洞数量。根据可用的时间和资源评估修复的有效性。

08 响应时效性

此度量考察漏洞响应的及时性。

漏洞捕获时间：从情报、爬虫中获取漏洞信息的时间。

预警时间：组织内发布预警信息的时间。

网内排查时间：漏洞的影响范围，受影响资产定位所需时间。风险越长，受攻击几率越大，风险越高。方式有人工排查、扫描工具扫描、SBOM清单关联等。

处置时间：受影响资产上漏洞的处置的时间，或处置的时间要求。

09 漏洞复现率

此度量考察漏洞修复的成功率。

漏洞复现率：加固措施不到位、补丁没有完全修复等导致漏洞在关闭后重新被检测到。复现率为复现漏洞数量占关闭漏洞数量百分比。

10 运营管理完备程度

此度量考察漏洞管理体系的健全程度，漏洞运营管理能力成熟度。

闭环流程：是否具备生命周期闭环流程管理能力。 专职人员：是否配置专门的人员。 部门协同度：闭环流程中涉及部门的参与、配合程度。包括与上级监管单位、外部漏洞收录组织、情报组织、服务单位的协同。 系统协同度：闭环流程中涉及到的工具、系统、平台间API接口打通、数据共享程度。 运营制度：是否有健全的漏洞管理运营制度。 考核办法：是否有可落实的考核指标和管理办法。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

• 2023届全国高校毕业生预计达到1158万人，就业形势严峻；
• 国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

 “没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。 

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

 2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

 行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

 

 （都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。 

 因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

 最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取