管理环节

说明

工具

1

网络信息系统资产确认

对网络信息系统资产进行摸底调查，建立信息资产档案

利用Qualys Guard进行资产管理

2

网络安全漏洞信息采集

利用安全漏洞工具或人工方法收集整理信息系统资产安全漏洞信息，包括安全漏洞类型、当前补丁级别、所影响资产

3

网络安全漏洞评估

对漏洞进行安全评估，如对组织业务影响、被利用可能性（是否有公开工具、远程是否可利用）、修补级别，形成网络安全漏洞分析报告，给出威胁排序和解决方案

使用CVSS进行网络安全漏洞安全威胁量化评估，漏洞计分最高为10分

4

网络安全漏洞消除和控制

安装补丁包、升级系统、更新IPS或IDS的特征库、变更管理流程

5

网络安全漏洞变化跟踪

网络信息系统漏洞数量、类型及分布都在动态演变。安全管理员必须设法跟踪漏洞状态，持续修补系统漏洞