基础电信企业漏洞管理面临的挑战与应对之策

文 | 中国移动通信集团有限公司首席专家 张峰；中国移动通信集团有限公司 徐一 崔庆虎 张智韦

为应对日趋严峻的全球网络安全形势，我国积极构建现代化网络安全治理体系，相继出台了《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等一系列法律法规。在此背景下，基础电信企业作为数字社会的重要基石，其漏洞管理能力直接关系国家网络安全防线的稳固性。然而，数字业务的空前繁荣与技术架构的日益复杂，导致面临的网络攻击面急剧扩大，漏洞数量持续攀升。漏洞管理作为落实国家安全战略、筑牢网络安全防线的关键环节，其重要性与紧迫性愈发凸显。加强漏洞治理不仅是企业的内在需求，更是贯彻落实总体国家安全观、统筹发展和安全的必然要求。

一、漏洞威胁态势日趋复杂，网络安全风险持续升级

漏洞是网络安全的薄弱环节之一，严重的漏洞如同网络空间中的致命裂痕，不仅对用户隐私和企业安全构成严峻挑战，更可能危及国家安全。在能源、交通、金融、通信等关键信息基础设施领域，漏洞一旦被利用，极易导致系统瘫痪、服务中断，甚至引发连锁反应，威胁到国家关键领域的稳定运行。

（一）漏洞威胁全面升级，新型风险与技术演进带来双重挑战

当前，全球漏洞数量呈爆发式增长，网络安全领域正面临漏洞威胁规模与复杂度双重攀升的严峻态势。360数字安全集团发布的《2024年度网络安全漏洞分析报告》与奇安信威胁情报中心发布的《2025年中网络安全漏洞威胁态势研究报告》显示，2024年，漏洞总量较前一年增长超过50%，2025年上半年，高危漏洞占比已达43.5%。与此同时，漏洞利用效率显著提升，近三分之一的高危漏洞在披露当日即遭攻击，零日漏洞的产业化趋势日益明显。在技术层面，5G、云计算、物联网等新技术的融合应用在推动数字化转型的同时，也带来了安全挑战。例如，云原生架构的微服务化与虚拟化技术虽然提升了资源效率，但大幅扩展了攻击面；物联网设备的固有缺陷可能成为内网渗透的跳板；而软件供应链中开源组件与第三方服务的深度依赖，使得潜在威胁得以长期潜伏于核心系统。随着人工智能驱动的自动化攻击技术以及供应链攻击等新型威胁不断演进，企业防御体系正面临多维度的压力。

（二）漏洞利用向高端化演进，高级持续性威胁攻击实现高效静默渗透

高级持续性威胁（APT）攻击组织将漏洞利用工具武器化，使其成为网络攻击的重要手段，这一趋势愈发明显。一方面，借助自动化攻击框架和漏洞利用链（Exploit Chain）技术，攻击者能在极短时间内完成从初始渗透到核心目标突破的全过程，大幅提升攻击效率；另一方面，通过采用无文件攻击、内存驻留、合法工具滥用等高级技战术，攻击行为深度融入正常系统活动，极大降低了被检测发现的概率，实现“静默渗透”。根据中国网络安全协会发布的《2023年网络安全态势研判分析年度综合报告》，2023年针对我国的APT攻击超过1200起，其中绝大多数攻击利用了未及时修复的已知漏洞或极具隐蔽性的零日漏洞。

（三）监管体系转向主动防御，构建全生命周期漏洞治理新范式

面对漏洞数量激增、攻击手段智能化的新威胁态势，我国网络安全监管体系正加速从“事后处置”向“事前防控”转型，构建覆盖全生命周期的主动防御机制。一是监管机制日趋主动，推动风险前置发现与处置。监管单位正从“事件通报”转向“风险预警”和“常态排查”，强化事前干预能力。中央网络安全和信息化委员办公室、工业和信息化部等国家级监管机构联合建立漏洞信息共享与通报机制，实现跨行业威胁协同处置；在工业和信息化部等主管部门的指导下，中国信息通信研究院联合各地通信管理局等单位，定期对基础电信企业开展远程漏洞扫描、攻防演练和风险评估，推动隐患早发现、早整改。二是构建以“防”为核心的漏洞治理体系。监管重点正从“应急响应”转向“风险预防”，强调资产可视、漏洞可管、风险可测、行为可溯，推动企业建立集“发现—评估—修复—验证”于一体的漏洞全生命周期管理能力。

二、传统漏洞治理面临多重挑战，系统性瓶颈亟待突破

随着数字化转型深入推进，网络安全威胁持续升级，漏洞治理面临前所未有的复杂挑战。基础电信企业因新旧系统交织而导致资产底数不清，传统防护技术难以应对分钟级武器化的新型攻击，人工智能赋能下的自动化攻击进一步压缩防御窗口，而专业人才缺口持续扩大更制约着整体防护能力，构建系统化的漏洞治理体系已成为保障数字经济发展的关键任务。

（一）资产底数不清，漏洞治理遭遇基础性瓶颈

基础电信企业的网络是数十年演进的结果，新旧系统交织，物理与虚拟资源并存，这使得建立一份实时、准确、全面的资产清单变得异常困难。大量的老旧设备、临时测试系统、虚拟化后快速创删的实例，都成为资产管理盲区。未知资产即意味着未被纳入管理范围的潜在漏洞风险，攻击者常利用这些未被纳入监管的边缘资产作为跳板向内网渗透。同时，传统依赖周期性人工盘点的资产管理方式无法跟上资产动态变化的节奏，导致企业的真实攻击面始终处于模糊的状态，漏洞治理的第一步面临着巨大挑战。

（二）传统防护技术迭代滞后，难以应对新型漏洞快速利用

传统入侵检测和防病毒软件主要依赖已知攻击特征库进行威胁识别，其检测能力严重依赖特征库的及时更新，整体防护效能存在明显滞后性。派拓网络（Palo Alto Networks）调研显示，新型高危漏洞公开后，攻击者平均仅需15分钟即可启动全网扫描，48小时内便能完成漏洞利用工具的武器化开发与自动化部署，实现对脆弱系统的规模化入侵。与此同时，在人工智能技术的深度赋能下，网络攻击正加速迈向自动化、智能化新阶段。攻击者利用机器学习算法构建智能攻击引擎，能够自动扫描目标资产，快速识别技术栈和潜在脆弱点，并通过分析历史漏洞数据，预测和挖掘未知漏洞。一旦发现可利用目标，人工智能系统可自动匹配或生成最优攻击载荷，精准实施渗透，整个过程无需人工干预，攻击速度从“小时级”缩短至“分钟级”。相比之下，据美国身份盗窃资源中心（ITRC）统计，企业针对最新漏洞的应急响应平均需要15天才能完成全面排查，这一时间差主要消耗在漏洞信息传递、资产识别定位、影响范围评估、修复方案制定及实施验证等多个环节，导致未及时修复的系统持续暴露在攻击威胁之下，传统防护体系面临严峻挑战。

（三）漏洞专业人才匮乏加大漏洞治理难度

当前，网络安全人才市场面临严峻的供需矛盾。2025年9月16日，《AI时代网络安全产业人才发展报告（2025）》（以下简称《报告》）在2025年国家网络安全宣传周上发布。《报告》由工业和信息化部教育与考试中心等部门联合编制。《报告》显示，2025年全球网络安全人才缺口升至480万，同比增长19%。此外，人才结构性失衡成为制约企业漏洞治理能力提升的主要障碍。现代漏洞人才的角色已从传统意义上掌握基础渗透测试技能的技术员，演变为需要具备攻防对抗、漏洞挖掘、威胁分析、应急响应及系统架构理解等多维度能力的复合型安全专家。然而，当前漏洞分析领域的初级人才相对过剩，而具备实战经验、能够独立承担复杂漏洞分析与应急响应的中高级人才却十分匮乏。

三、创新漏洞管理应对思路

面对网络安全漏洞的严峻态势以及传统漏洞治理存在的诸多问题，中国移动通信集团有限公司（以下简称“中国移动”）积极探索创新，从技术、管理和人才培养等多个维度入手，构建全方位、多层次的漏洞管理体系，将传统漏洞管理转变为持续漏洞运营管理。

（一）完善管理流程，构建协同治理框架

构建从漏洞发现到修复的全生命周期闭环管理流程，制定覆盖漏洞全生命周期的漏洞管理制度和应急预案，提升漏洞管理效率和效果。一是内部构建责任链条，实现漏洞有效治理。在内部，安全部门、开发部门和运维部门等加强沟通与协作，形成“谁主管谁负责、谁运营谁负责”的责任链条。二是外部建立紧密合作，共同应对漏洞挑战。中国移动与安全厂商、设备供应商、科研机构等建立紧密的合作关系，积极参与行业内的安全协作组织，共享漏洞情报和最佳实践，共同提高行业的整体安全防御能力。

（二）推动技术融合，构建智能驱动的漏洞治理新范式

以人工智能技术为核心，构建覆盖资产管理、漏洞评估和响应处置的智能治理体系。在资产管理方面，通过多源数据融合构建资产动态画像，实现对资产安全状态的立体感知与精准刻画；在漏洞评估方面，建立基于机器学习的风险评估模型，结合业务影响、威胁情报等要素，实现漏洞修复的精准分级；在响应处置方面，通过自然语言处理技术自动解析漏洞情报，并结合自动化响应平台实现高风险工单的快速闭环，形成“感知—评估—决策—响应”的智能治理闭环。

（三）以实战为导向，培养复合型漏洞安全专业人才

在集团级网络安全靶场建设的坚实基础上，深度引入人工智能技术，通过系统性地同步储备高质量的攻击对抗样本与多维度漏洞库，构建高度仿真、动态演进的自动化安全攻防场景。在此环境中，安全团队可开展常态化、高强度的红蓝对抗、渗透测试和应急响应演练。同时，系统能自动评估攻防双方的表现，提供实时反馈与优化建议，提高了演练的实战价值。这种“以战代训”的模式，为技术人员提供了接触前沿攻击技术和复杂漏洞场景的机会，加快了其从理论到实战的能力转化。通过反复在人工智能构建的动态威胁环境中磨砺技能，中国移动得以系统性地培养出一批既懂漏洞原理又精攻防实战，还能驾驭人工智能工具的复合型安全人才，为中国移动构建可持续、自适应的网络安全防御体系提供了坚实的人才支撑和技术保障。

四、漏洞管理的具体实践与成效

中国移动作为基础电信运营商，深刻认识到漏洞管理的重要性，在实践中探索出一条具有自身特色的治理之路并取得了显著成效。

（一）制度先行，构建完善的治理体系

2018年，中国移动发布《网络安全责任制管理办法》，明确了各级单位和人员在网络安全工作中的责任，其中特别强调了漏洞管理的责任归属。随后，陆续出台了《网络安全事件应急预案》《漏洞管理实施细则》等一系列规章制度，构建了覆盖“发现、报告、评估、处置、验证、通报”全链条的管理制度体系。中国移动网络与信息安全领导小组办公室下设专门的漏洞管理团队，负责统筹协调全集团的漏洞管理工作，确保了组织保障到位。

（二）技术创新，应用人工智能实现漏洞风险精准画像与预测

在技术赋能方面，中国移动积极探索人工智能在漏洞管理中的应用，研发了漏洞风险智能评估模型，不仅考虑漏洞自身特征，还结合资产所属业务系统、承载客户数据敏感性、网络位置等多个因子，为每个漏洞生成精准的风险画像，并自动划定“紧急、高、中、低”四个漏洞修复优先级。对于部分标准化程度高的网络设备，试点实现了漏洞修复脚本的自动下发与验证，显著提高了修复效率。同时，利用自然语言处理（NLP）技术，自动解析海量漏洞公告与威胁情报，快速提取关键信息，生成处置建议。

（三）以战代训，打造实战型安全骨干

自2022年起，中国移动创新构建网信安全领域实战人才培养体系，以“以战代训”为核心路径，推动人才在真实攻防对抗、重大保障任务和应急响应中锻炼能力。截至目前，已认证网络安全人才超万人，入库重点骨干千余人，覆盖集团50余家单位，形成涵盖集团级首席专家、“十百千”技术专家、“卓越工程师”等多层次人才梯队。在实战淬炼下，中国移动150余人具备深度漏洞挖掘与APT攻击模拟能力，入选国家级、行业级网络安全实战人才库，多次参与国家级攻防演练，展现出“攻得出、防得住、控得准”的综合素养，逐步打造一支政治可靠、技术专精、来之能战、战之必胜的网络安全实战人才“铁军”。

（四）激励驱动，打造漏洞众测与人才共育新生态

以激励为牵引，构建卓越高效的网络安全人才培养体系，依托与国家网络安全权威机构的战略合作，统筹协调中国移动科学技术协会安全学部，共同组建漏洞评审委员会。同时，研究并发布了《中国移动网信安全领域网络安全漏洞监测专项激励实施细则（2025年版）》，按照“一报、一核、一评、一定”四个环节制定了完善的工作流程。截至目前，已激励超过200名网络安全专家，切实提高了安全专家的积极性和漏洞发现能力，有效提高了中国移动网络安全防护水平。

五、未来展望

随着信息技术的飞速发展和网络安全形势的日益严峻，基础电信企业的漏洞管理面临新的挑战与机遇。未来需要在巩固现有治理成果的基础上，从持续创新与行业协作两个维度共同发力，全面提高漏洞治理水平。

在持续创新方面，企业应在夯实资产管理、人才培养等基础能力的同时，积极布局前沿安全技术研究。一方面，持续推进资产动态画像、漏洞智能评估等技术的深化应用，着力解决资产底数不清、专业人才不足等现实问题；另一方面，重点关注量子计算对传统加密体系的潜在冲击，积极推进量子加密等新技术的应用实践。同时，针对物联网、人工智能、区块链等新兴技术带来的新型漏洞风险，需研发专项检测与防护手段，例如，智能设备漏洞检测、智能合约安全分析等技术，构建面向未来的主动防御体系。

在行业协作方面，应进一步完善漏洞信息共享与协同处置机制，积极参与漏洞信息共享平台的建设与运营，通过及时交换漏洞情报，全面掌握漏洞分布态势与发展趋势，实现风险早发现、早预警。同时，充分借鉴行业先进经验，取长补短，持续完善自身漏洞管理机制，凝聚行业合力筑牢网络安全防线。

（本文刊登于《中国信息安全》杂志2025年第11期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。