数世咨询Digital World Consulting10110101010110101010101010101010101010101011010010100101010101010101101001011010漏洞情报选型指南101010©北京数字世界咨询有限公司数世咨询漏洞情报选型指南©北京数字世界咨询有限公司数字安全是指，在全球数字化背景下，合理控制个人、组织、国家在各种活动中面临的数字风险，保障数字社会可持续发展的政策法规、管理措施、技术方法等安全手段的总和。这里的风险，不再局限于围绕数字化资产的攻防对抗，还包括了数字资产所承载业务的稳定性、连续性和健康性。这里的安全不再特指有意还是无意，天灾还是人祸，保安还是保险，而是更为广义的安全状态(SecSafe)。*“世界环境与发展委员会出版的《我们共同的未来》报告中，将可持续发展定义为：“既能满足当代人的需要，又不对后代人满足其需要的能力构成危害的发展。“数世咨询，2023年11月数字活动服务服务数据安全数字资产安全能力保障基础以安全能力、数字资产和数字活动为三元素，以数据安全为核心目标，即三元一核的”数字安全三元论”。“数字安全三元论”由“网络安全三元论”（数世咨询于2020年提出）更新迭代而来，旨在匹配数字中国建设的进程，保障数字基础设施稳定、可持续运行，保障数据有效流动、激发数据要素价值。数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构，网安企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。报告编委报告类别：选型报告报告名称：漏洞情报选型指南主笔分析师：刘宸宇数世咨询·高级分析师分析团队：数世咨询·数字安全研究院报告审核：李少鹏数世咨询首席分析师闫志坤数世咨询市场分析师版权声明本报告版权属于北京数字世界咨询有限公司（以下简称数世咨询）任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。违反上述声明者，数世咨询将保留依法追究其相关责任的权利。漏洞情报选型指南目录目录1漏洞情报相关概念…1.1威胁情报、漏洞、漏洞情报1.2漏洞情报的组成213漏洞情报的披露、传递途径漏洞情报需求场景.2.1国家安全2.2应急响应2.3漏洞通报2.4攻防演练漏洞情报选购要点，3.1情报及时性53.2信息完整度3.3与资产的匹配度漏洞优先级技术VPT.83.5漏洞验证PoC83.69四、4.1需要的是漏洞扫描器还是漏洞情报？942资产管理工作是否做到位？11五、5.1360数字安全5.2安恒信息135.31454盛邦安全5.6摄星科技5.7腾讯安全17漏洞情报选型指南5.8微步在线175.9知道创宇18六、附录：漏洞情报应用案例案例背景19解决方案20用户价值21运运动运营动运动运动·漏洞情报选型指南报告(2025年11月)·一、漏洞情报相关概念1.1威胁情报、漏洞、漏洞情报◆威胁情报(Threat Intelligence)威胁情报是一种基于证据的知识体系，描述已存在或潜在的威胁来源、攻击意图、手法(TTPs)、目标及应对建议，用于指导安全决策和响应行动。◆漏洞（脆弱性ulnerability)漏洞是指计算机、应用程序或网络设备等信息系统中由于自身代码缺陷、配置不当或业务逻辑等原因导致的安全脆弱性，可能存在被攻击者潜在利用的风险。◆漏洞情报漏洞情报是通过威胁情报技术对漏洞数据进行采集、深度分析和结构化处理后形成的知识体系，聚焦漏洞的利用方式(POC/EXP)、影响范围及修复方案。◆三者的关系首先，漏洞是原始数据，漏洞情报是漏洞的深度延伸，是漏洞数据加工后的知识。其次，威胁情报包含漏洞情报，但漏洞情报不等同于威胁情报。漏洞情报聚焦的是自身“脆弱性”，而威胁情报聚焦的是外部“攻击者”。但漏洞情报结合威胁情报（例如分析漏洞的可利用性与在野利用情况），知己知彼，攻防协同，可以发挥更大价值。1/22。漏洞情报选型指南报告(2025年11月)·漏洞（脆弱性漏洞情报威胁情报1.2漏洞情报的组成不同的漏洞情报发布平台，漏洞情报的组成项目不尽相同，各有优先与侧重，但主要的项目由以下内容组成：项目说明漏洞名称一般由产品名称、大版本号、漏洞类型、CVE编号（若有）构成的简短组合发布时间一般包括公开日期、更新日期漏洞类型漏洞利用的类型，例如远程命令执行(RCE)、注入攻击、信息泄露、拒绝服务攻击等漏洞编号漏洞发布平台的编号，或是CVE/CNVD/CNNVD等共享平台的漏洞编号，帮助多个不同平台漏洞信息归一化的重要指标影响产品与版本详细的受影响产品与版本号，最严重的是“所有版本均受影响”漏洞评级/评分CVSS、EPSS等参考评分，或是情报发布方参考CVSS评分、在野利用、可利用性等维度后给出的综合评分技术细节对漏洞细节的描述POC/EXPPOC即漏洞证明，用于检测证明漏洞的存在；EXP即漏洞利用，使用代码或脚本利用漏洞的整个过程。仅有少部分2/22·漏洞情报选型指南报告(2025年11月)·漏洞有POC/EXP,且往往不直接公开，避免被恶意攻击者利用修复建议临时补丁、安全更新包、版本升级等相关链接包括官网地址、披露地址示例：Evertz SDVN3080ipx-10G命令执行漏洞(CVE-2025-10364)0331:1.3漏洞情报的披露、传递途径大部分未公开漏洞，在alpha、beta以及灰度测试等阶段，已经由软件供应链上游厂商发现并修复。正式上线运行后的公开/半公开漏洞信息，则由个人白帽子、安全厂商的漏洞挖掘团队（安全实验室）、商业化漏洞情报社区（众测平台）等主体发现后，通过原厂安全响应中心(SC)、漏洞上报平台、社区、群组等形式进行提交。常见的漏洞情报披露、传递途径有：漏洞情报披露、传递途径举例各国家级漏洞信息共享平如NVD、CNVD、CNNVD、工业和信息化部网络安全台威胁和漏洞信息共享平台(NVDB)、车联网产品安全漏洞专业库(CAVD)开源技术社区&安全社区如GitHub、vulhub.org、Stack Overflow、看雪、itpub.net、CSDN、掘金、threatbook-x社交软件群组如Facebook、Telegram、QQ群、微信群匿名/隐秘传播途径如暗网3/22。漏洞情报选型指南报告（2025年11月)·二、漏洞情报需求场景2.1国家安全在面对国家级安全威胁的自检自查场景中，漏洞情报是构建主动防御能力的重要数据来源之一。场景标签：特种行业、Oday漏洞、APT攻击、主动防御特种行业所面临的国家级持续高级威胁(APT),多利用未公开的Oday漏洞实现攻击渗透。威胁的隐蔽性高，潜伏时间长。针对这一场景，特种行业用户可利用漏洞情报，为关键单位和部门，针对关键设备、关键系统，实现主动防御性质的自检自查，先“敌”发现，先“敌”修复。2.2应急响应在通用型漏洞应急响应场景中，漏洞情报是团队得以第一时间做出响应的最重要安全数据要素之一。场景标签：头部用户、1day漏洞、应急响应、安全能力成熟度较高面对影响范围广泛的通用型漏洞，应急响应团队与潜在攻击者之间打响“抢时间”战斗，谁能先掌握漏洞的详细信息，利用PoC/Exp定位、控制漏洞资产，谁就能赢得这场战斗的制高点。巧合的是，近十年来，影响范围巨大的通用型漏洞(WannaCry、Struts2:、Log4j等)，都是在周五晚上爆出来的，这相当于给刚刚进入周末放松状态的安全团队，来了一场“偷袭战”，因此，只有安全能力成熟度较高的头部用户，才能较为从容地应对，相应的，这对漏洞情报的及时性、准确性、完整性要求也会更高。2.3漏洞通报在漏洞通报场景中，漏洞情报是行业监管、软件开发商通知重要用户尽快缓解、修复的重要依据之一。4/22·漏洞情报选型指南报告(2025年11月)·场景标签：行业监管、软件开发商、Ndoy漏洞、重要用户关键信息基础设施行业中的重要用户，其业务的正常平稳运行关系国计民生，行业监管需要以漏洞情报为抓手，发现、通报关基行业T环境中的漏洞并加以通报，落实安全责任：从软件供应链的角度，关基行业T环境中被广泛使用的操作系统、软件、应用、中间件等一旦出现漏洞，直接、间接影响数百万乃至数亿台设备，其软件开发商也需要漏洞情报作为依据，为重要用户提供及时的漏洞通报与修复建议服务。2.4攻防演练在攻防演练场景中，漏洞情报是自建“武器库”、锻炼安全团队、为自有安全产品赋能的重要组成部分。场景标签：攻防演练、团队能力提升、NdOy漏洞用户通过网络靶场、实训平台等方式搭建攻防演练环境，多用于安全技能培训、漏洞细节研究，实网攻防模拟等场景。该场景下，漏洞情报（特别是与用户自身资产特征相匹配的漏洞情报)的持续引入与更新，用于增加攻防演练环境的仿真度与对抗烈度，为安全团队提供有针对性的能力提升，同时也为用户的安全运营体系提供赋能。三、漏洞情报选购要点3.1情报及时性合规角度2025年9月11日，国家互联网信息办公室发布了《国家网络安全事件报告管理办法》1，对网络安全事件报告的最短时限提出了明确要求，根据网络安全事件的不同级别，最短上报时限不得超过半小时至4小时不等。《办法》将于2025年《国家网络安全事件报告情理办法》全文详见https:/小vww.cac.0vcn/2025-09/15水_1759583017717009.htm5/22·漏洞情报选型指南报告(2025年11月)·11月1日起施行。05问：网络安全事件报告的流程和时限要求是什么？涉及关键信息基础设施的，网络运营者应当第一时间向保护工作部门、公安机关报告，最迟不得超过1小时。属于重大、特别重大网络安全事件的，保护工作部门在收到报告后，应当第一时间向国家网信部门、国务院公安部门报告，最迟不得超过半小时。网络运营者属于中央和国家机关各部门及其直属单位的，应当及时向本部门网信工作机构报告，最迟不得超过2小时，属于重大、特别重大网络安全事件的，各部门网信工作机构在收到报告后，应当第一时间向国家网信部门报告，最迟不得超过1小时.国家网信部门收到报告后及时向有关部门通报。其他网络运营者应当及时向属地省级网信部门报告，最迟不得超过4小时，属于重大、特别重大网络安全事件的，省级网信部门在收到报告后，应当第一时间向国家网信部门报告，最迟不得超过1小时，并同时向同级有关部门通报。由此，如果网络安全事件的主要构成因素包含漏洞，漏洞情报是否及时，就成为网络运营者是否能第一时间向相关主管部门上报事件的核心标准。·实战角度在漏洞技术细节逐渐被披露的过程中，网络运营者与潜在攻击者的对抗，关键就在于“谁更快”。漏洞情报更早传递到安全团队手中，就越能帮助安全团队先于攻击者定位漏洞资产、缓解漏洞影响。3.2信息完整度前文“漏洞情报相关概念”中提到的漏洞信息组成内容中，除了漏洞名称等基本信息外，很多项目若包含以下更为丰富的关键信息，可视为具备较全面的信息完整度，帮助用户改善关注优先级：·漏洞的可利用性漏洞的危险等级并不直接代表漏洞对用户带来的危害，漏洞信息应当告诉用户，漏洞是否轻易可被攻击者利用。若是需要高权限执行、特殊身份交互、或者物理接触等条件才能利用的漏洞，对大部分用户来说，哪怕漏洞定级评分再高，也不6/22。漏洞情报选型指南报告（2025年11月)·是需要优先关注的漏洞。因此，漏洞的可利用性，是基础漏洞信息之外要优先包含的内容。·漏洞的在野利用情况漏洞信息中若包含了在野利用的情况，如目前在某行业、某区域中已经被利用的大致数量、已被公开或通报的安全事件，这对于同行业、同区域的用户，将具有很高的参考价值，可以增加其优先进行处置的权重。·有针对性的修复建议在官方修复方案出来之前，漏洞情报若能够针对用户的业务优先级、T环境，提供有针对性的缓解措施，将为用户在最短时间内找到相对最优解一一特别是供安全团队与业务、产研、网络运维等部门沟通协调下一步的动作一一提供更具可操作性的选项。3.3与资产的匹配度通用的漏洞情报作为全集，直接推送给用户的效果并不直观。海量情报的告警，等同于没有告警。因此，针对用户的业务优先级对应的资产环境，要有针对性的漏洞情报。即资产指纹与漏洞情报相匹配，具体来说，建议以用户订阅+情报商补充两者结合：◆用户订阅一方面用户可以“订阅”方式，主动获取与自身T资产相关的漏洞情报，此时需要情报提供方对资产的描述、定义、格式等进行标准化、归一化（如CPE),保证资产指纹与用户的实际资产匹配度相一致。情报商补充另一方面，由于用户的行业属性与业务场景在实施层面也需要落在具体的系统、软件、应用等T资产，所以情报提供方也可以基于用户所在的行业属性、业务场景、软件供应链，为用户提供订阅之外的、间接匹配的情报。这种间接的漏洞情报，也可以为用户有效提供额外的情报补充。7/22·漏洞情报选型指南报告(2025年11月)·3.4漏洞优先级技术VPT以漏洞优先级技术VPT为优先采购立项的用户，建议重点关注前文提到的漏洞可利用性、漏洞在野利用情况、与资产的匹配度，除此之外，还建议考察漏洞情报的行业/合规、外部威胁两个方面。漏洞可利用性见前文漏洞在野利用情况见前文与资产的匹配度见前文行业/合规漏洞情报是否具备行业/合规属性。例如用户行业属于金融行业，有着“安全事件一票否决”这样的合规要求，又例如近期用户所在地区正在进行“两高一弱”的专项排查。诸如此类需求，漏洞情报商应当有针对性的提供专项情报，增加情报数量，或进行专项增量推送。当国际局势持续动荡，地缘冲突此起彼伏时，“关基”行业用户面临的潜在外部威胁风险增加，因此漏洞情报供应商若具备能力，可从“威胁”角度，以相关国家、地区的APT组织及其TTPs为研究目标，针对其习惯利用的漏洞与恶意软件家族，为“关基”用户提供专项情报。3.5漏洞验证PoCExp本报告不涉及，这里只讨论漏洞验证PoC,建议用户采购时关注两个方面：高质量PoC的数量8/22◆漏洞情报选型指南报告(2025年11月)◆用户采购漏洞情报时，请勿简单以PC绝对数量为比较标准，要在去重、保留高危、去掉简单版本比对、与用户资产不匹配等低质量的P0C之后，综合以高质量PoC的数量为情报采购时的参考依据。非破坏性漏洞验证PC的执行，不应当对业务或T环境有任何不良影响。当然，漏洞安全事件爆发的第一时间，为了“抢时间“，仓促编写好的PoC无法在模拟仿真环境中充分验证其对各种业务环境的影响，但在正式采购中，至少对批量交付的存量PoC,应当有较为严格的非破坏性要求。3.6交付格式、接口标准化漏洞情报应当兼容CNVD、CNNVD等国内主要的漏洞共享平台信息格式，具备标准化的AP1接口，能够与主流的攻击面管理、漏洞管理平台等产品对接。支持多种交付形式漏洞情报的交付应当支持Web在线查询订阅、API接口、SDK等多种交付形式，且针对重大安全漏洞，或应用户要求，能够提供专项分析报告。此外，漏洞情报的预警通知渠道，也应当支持多种渠道，例如AP、邮箱、微信、Web在线订阅查询等。四、选购前的问题4.1需要的是漏洞扫描器还是漏洞情报？漏洞扫描器是工具型产品，而漏洞情报属于数据型产品。数世咨询9/22◆漏洞情报选型指南报告(2025年11月)◆漏扫并非漏洞情报的消费场景。若团队已经建立起漏洞管理平台或攻击面管理平台，漏洞情报是一个必要且有力的数据补充。但倘若尚未具备此类平台，而是希望通过基于漏洞扫描器的方式引入漏洞情报，很可能事与愿违。漏洞扫描器中的漏洞信息与本报告中的漏洞情报主要区别在于：时效性不同漏洞情报时效性更快，所谓0day、1day漏洞，才算漏洞情报；但漏扫中更新的漏洞信息，则要慢得多，一般最快更新也要在漏洞披露一个月以后。大部分的漏扫信息库更新都在三个月到半年。流通范围不同漏洞情报的流通仅在极小范围，由商用情报商付费提供，或是技术小圈子内私密流通。在漏洞情报逐渐大范围传播后，漏洞技术细节逐步补充完整，各大漏洞库也均已收录，此时漏洞情报属性已转为公开的漏洞信息。应用场景不同漏洞情报的应用场景如前文所述，一般用于商业客户对受漏洞影响资产的快速定位，或是特种行业Oday漏洞的自检自查：而漏洞信息作为存量数据，批量存在于漏洞扫描器或漏洞管理平台中，使用方式也以版本匹配为主，不像漏洞情报多以PoC方式进行漏洞验证。使用条件不同漏洞情报的使用条件较为苛刻，例如特种行业安全优先于业务，使用0dy漏洞情报自检自查时，甚至可以接受短期的工作业务中断：又例如头部超大型互联网企业，有超强的应急处置能力，在1dy漏洞情报定位风险资产后，可以组织多个不同部门的自有技术团队协同处置：相比之下，漏扫厂商定期更新的漏洞信息，已经在模拟仿真或真实的主流T环境中进行了适配，以保证漏洞信息的准确、稳定、适配性强，因此，漏扫的使用条件会低很多，初、中级的安全工程师即可胜任。10/22