2025年电信行业信息安全部安全专员漏洞扫描手册.docx

2025年电信行业信息安全部安全专员漏洞扫描手册

第1章漏洞扫描基础与环境配置

1.1扫描策略制定与风险评估

在制定扫描策略时，必须首先依据行业规范（如NISTSP800-53）和业务连续性需求，明确扫描的范围、频率及目标资产清单。例如，针对2025年即将上线的“智慧医疗云”项目，需将策略细化为：对核心数据库服务器实施每日全量扫描，对Web应用服务器实施每周变更窗口内的增量扫描，且必须将扫描间隔设定为不超过24小时，以确保高危漏洞能在72小时内被修复。风险评估需结合资产价值进行分级，将资产分为“高价值”、“中价值”和“低价值”三类。对于高价值资产（如承载用户支