漏洞发生时,企业应该怎么做?

news2024/11/15 12:13:13

2021年,相关法律法规的完善极大促进了中国网络安全行业的发展,基于企业稳定运营、安全运营的原则,越来越多的领域投入到企业安全合规的建设中来。但现状是,随着安全建设的不断深入,各项出台的法规、政策并不一定能充分执行到位,这往往为企业和行业的安全发展埋下了隐患。

同年,媒体就报道了有关「阿里云被暂停工信部网络安全威胁信息共享平台合作单位」的消息。事件的起因在于,阿里云作为工信部网络安全威胁信息共享平台合作单位,在发现阿帕奇Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。因此,阿里云最终被工信部暂停作为合作单位6个月。

事实上,有关安全漏洞事件,国家有一套详细的法律法规,约束相关企业“尽早申报”,协助相关行业的企事业单位即时“补漏”。 那么,对于网络安全漏洞管理,企业还有哪些硬性要求?

漏洞防范,有规可依

早在2019年,国家工业和信息化部会同有关部门成立专项起草组,研究分析国内外漏洞管理现状,梳理相关漏洞管理需求,形成了初期的《网络产品安全漏洞管理规定》送审稿。几经优化后,终于在2021年9月,正式出台《网络产品安全漏洞管理规定》正式稿,第一次对我国漏洞发现、报告、修补和发布行为进行明确的流程和责任划分,让漏洞防范,有法可循、有规可依。

《网络产品安全漏洞管理规定》源于《网络安全法》,由工业和信息化部、国家互联网信息办公室、公安部联合制定,维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行;在规范相关漏洞申报的同时,明确了网络产品提供者、网络产品运营者以及漏洞事件中涉及到发现、收集、发布的组织或个人的责任及义务。

网络产品提供者运营者:早申报早知道

《网络产品安全漏洞管理规定》提出,网络产品提供者和运营者应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。

当发现或者获知所提供网络产品存在安全漏洞后,网络产品提供者应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。同时应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

《规定》同时也明确了在收到漏洞通报后,网络产品提供者和运营者的应对措施。相关产品的提供者和运营者应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。

值得一提的是,当发现或者获知其网络、信息系统及其设备存在安全漏洞后,网络运营者应当立即采取措施,及时对安全漏洞进行验证并完成修补。

除去网络产品提供者和运营者外,相关漏洞挖掘组织或个人也应同时遵守《网络产品安全漏洞管理规定》。在《规定》中明确指出,任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。

同时,鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。

此外,在漏洞发布也有相应的要求,如下:

1. 不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况

2. 不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息。

3. 不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。

4. 不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。

5. 在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。

6. 在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。

7. 不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

8. 法律法规的其他相关规定。

切莫踩在违规的红线上

近年来,网络安全漏洞威胁日益严峻,每一次重量级漏洞的爆发往往会在社会上快速传播,不断威胁企业和用户的安全。

《网络产品安全漏洞管理规定》的出台进一步规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务;使得漏洞管理工作变的更加制度化、规范化、法治化,对于提升漏洞管理水平,促进网络安全有着重要的作用。而作为企业、组织和个人,也要认真了解《网络产品安全漏洞管理规定》的具体要求,并参照执行,切莫踩在红线上。


在过去,人们十分避讳“与漏洞风险共存”,每个人都将漏洞管理视为一个无足轻重的话题。但很少有组织能够真正达到全部漏洞都已修复的状态,因为这一目标的实现往往意味着大量人力、财力和物力资源的无意义消耗,大量的时间都会被浪费在修补那些构不成真正威胁的漏洞上。

根据研究所发现,当前23%的已报告漏洞均发布了漏洞利用代码,但只有2% 的漏洞已在野外观察到漏洞利用的情况,因此,假设组织基于风险情报集中力量优先补救关键漏洞,那将大大减少安全人员的工作压力。

那么漏洞危机爆发时,企业该做什么?如何有效应对和预防企业的安全漏洞?

企业的安全漏洞是指可能导致企业信息或资源受到威胁的弱点或漏洞。在当前信息时代,企业面临着越来越多的安全风险和威胁,因此,有效应对和预防企业的安全漏洞是极为重要的。

一、建立健全的安全策略和管理体系

要想有效应对和预防企业的安全漏洞,首先需要建立一个健全的安全策略和管理体系。这涉及到明确的安全政策、规范和制度,并确保组织内的每个员工都能够理解和遵守这些规定。管理体系应包括明确的责任分工、风险评估与管理、安全培训与宣传等环节

二、加强网络安全防护

在网络化的环境下,企业的信息系统和网络架构容易成为攻击的目标。因此,加强网络安全防护是非常关键的。企业应当采取多种防护措施,如安装防火墙、入侵检测系统、网络加密等,同时定期进行安全审计,并及时更新和修补系统漏洞。

三、定期进行安全漏洞扫描和漏洞修复

企业的信息系统和网络环境都需要定期进行安全漏洞扫描和漏洞修复。通过使用专业的安全漏洞扫描工具,企业可以快速准确地找出存在的安全漏洞,并及时进行修复措施。同时,还应建立安全补丁管理机制,对软件和系统进行及时的更新和升级。比如说漏洞扫描服务。

漏洞扫描服务(Vulnerability Scan Service)集Web漏洞扫描、操作系统漏洞扫描、资产内容合规检测、配置基线扫描、弱密码检测五大核心功能,自动发现网站或服务器在网络中的安全风险,为云上业务提供多维度的安全检测服务,满足合规要求,让安全弱点无所遁形。主要的优势在于:

一、扫描全面

涵盖多种类型资产扫描,支持云内外网站和主机扫描,支持内网扫描、智能关联各资产之间的联系,自动发现资产指纹信息,避免扫描盲区。

二、高效精准

采用web2.0智能爬虫技术,内部验证机制不断自测和优化,提高检测准确率,时刻关注业界紧急CVE爆发漏洞情况,自动扫描,最快速了解资产安全风险。

三、简单易用

配置简单,一键全网扫描。可自定义扫描事件,分类管理资产安全,让运维工作更简单,风险状况更清晰了然。

四、报告全面

清晰简洁的扫描报告,多角度分析资产安全风险,多元化数据呈现,将安全数据智能分析和整合,使安全现状清晰明了。


漏洞扫描服务能提供的服务内容:

一、针对Web漏洞扫描--网站的漏洞与弱点易于被黑客利用,形成攻击,带来不良影响,造成经济损失。

1.常规漏洞扫描

丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的扫描报告。

2.最紧急漏洞扫描

针对最紧急爆发的VCE漏洞,安全专家第一时间分析漏洞、更新规则、提供最快速专业的VCE漏洞扫描。

二、针对弱密码扫描--主机或中间件等资产一般使用密码进行远程登录,攻击者往往使用扫描技术来探测其用户名和弱口令。

1.多场景可用

全方位的OS连接,涵盖90%的中间件,支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。

2.丰富的弱密码库

丰富的弱密码匹配库,模拟黑客对各场景进行弱口令探测,同时支持自定义字典进行密码检测。

三、针对中间件扫描--中间件可帮助用户灵活、高效地开发和集成复杂的应用软件,一旦被黑客发现漏洞并利用,将影响上下层安全。

1.丰富的扫描场景

支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。

2.多扫描方式可选

支持通过标准包或者自定义安装等多种方式识别服务器中的中间件及其版本,全方位发现服务器中的漏洞风险。

四、针对内容合规检测--网站被发现有不合规言论时,会给企业造成品牌和经济上的多重损失。

1.精准识别

同步更新时政热点和舆情事件的样本数据,准确定位各种涉黄、涉暴涉恐、涉政等敏感内容。

2.智能高效

对文本、图片内容进行上下文语义分析,智能识别复杂变种文本。

安全漏洞对于企业的稳定运营和发展都具有重要影响,因此,应对和预防企业的安全漏洞必须引起企业高度重视。建立健全的安全策略和管理体系,加强网络安全防护,定期扫描和修复安全漏洞等措施都是提高企业安全防护能力的有效手段。通过不断完善和强化安全措施,企业可以有效应对和预防安全漏洞的发生,保护企业的利益和信息资产安全。
 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1617034.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

nodejs切换

1.卸载nodejs 2.下载nvm工具 3.检查nvm安装情况 nvm -v3.nvm 安装命令 nvm install 10.16.34.查询nodejs版本 nvm list5.切换nodejs版本 nvm use 10.16.3

【Node.js】03 —— HTTP 模块探索

🌟Node.js之HTTP模块探索✨ 🌟引言 在网络编程中,HTTP协议无处不在。在Node.js的世界里,我们可以通过内置的http模块来轻松创建HTTP服务器和客户端,实现数据的接收和发送。今天就让我们一起打开这扇门,探索…

Redis入门到通关之Redis数据结构-ZSet篇

文章目录 欢迎来到 请回答1024 的博客 🍓🍓🍓欢迎来到 请回答1024的博客 关于博主: 我是 请回答1024,一个追求数学与计算的边界、时间与空间的平衡,0与1的延伸的后端开发者。 博客特色: 在我的…

Springboot+Vue项目-基于Java+MySQL的海滨体育馆管理系统(附源码+演示视频+LW)

大家好!我是程序猿老A,感谢您阅读本文,欢迎一键三连哦。 💞当前专栏:Java毕业设计 精彩专栏推荐👇🏻👇🏻👇🏻 🎀 Python毕业设计 &…

WebGL绘制和变换三角形

1、绘制多个点 构建三维模型的基本单位是三角形。不管三维模型的形状多么复杂,其基本组成部分都是三角形,只不过复杂的模型由更多的三角形构成而已。 gl.vertexAttrib3f()一次只能向顶点着色器传入一个顶点,而绘制三角形、矩形和立方体等&am…

UTONMOS:用区块链技术拓展商业边界在哪里?

引言 大约从 2021 年Web 3 这个新概念开始受到风险基金和科技圈的普遍关注。但如果你对过去几年区块链的发展历史足够了解,就应该已经意识到现在的 Web 3 并不是什么新技术,甚至不是旧技术的进步,它只是一个基于区块链技术的宏大构想。 我是…

总结一期Jvm

Jvm 数据结构 内存/结构 JVM内存结构主要有三大块:堆内存、方法区和栈。堆内存是JVM中最大的一块内存地址,它主要由年轻代和老年代还有持久代组成,所有new出来的对象都存储在该区域. 栈就是暂存数据的地方,每个线程包含一个栈区,栈存放在一级缓存中&a…

软考 - 系统架构设计师 - 架构风格例题

问题一: 什么是软件架构风格? 软件架构风格指特定软件系统组织方式的惯用模式。组织方式描述了系统的组成构件和这些构件的组织方式。惯用模式反映了众多系统所共有的结构和语义。 集成开发环境与用户的交互方式 (实际上询问在交互方面&am…

Qt gsl库配置踩坑记录

想求解非线性方程组,之前使用拟牛顿法写过相关的matlab代码,这次想移植到C代码,网上说gsl库挺好用的,于是我也想试一下。相关参考: 【C】GSL(GNU Scientific Library) 的安装及在 Visual Studio 2017 中的使用 QT5使用…

在matplotlib中控制colorbar的长度

在matplotlib中控制colorbar的长度 使用matplotlib绘制带颜色的箭头图,有时想直接把颜色条拿来当比例尺条,就需要控制颜色条的长度。 1. pyplot.colorbar()参数说明 pyplot.colorbar(mappable, ax, cax, **kwargs) mappable是一个ScalarMappble类型的…

C# 图像旋转一定角度后,对应坐标怎么计算?

原理分析 要计算图像内坐标在旋转一定角度后的新坐标,可以使用二维空间中的点旋转公式。假设图像的中心点(即旋转中心)为 (Cx, Cy),通常对于正方形图像而言,中心点坐标为 (Width / 2, Height / 2)。给定原坐标点 (X, …

【Linux学习】使用 git 命令行

🌂文章目录 🌂git的介绍🌂gitte与github是什么?🌂git的安装与使用🌂git三板斧🌂git其他命令 🌂git的介绍 Git是一个版本管理控制系统(Version ControlSystem,VCS)&#…

Linux内核驱动开发-001字符设备开发-003独立按键杂项驱动

1驱动程序 /*************************************************************************> File Name: key_misc.c> Author: yas> Mail: rage_yashotmail.com> Created Time: 2024年04月22日 星期一 17时20分42秒**********************************************…

【MATLAB源码-第193期】基于matlab的网络覆盖率NOA优化算法仿真对比VFINOA,VFPSO,VFNGO,VFWOA等算法。

操作环境: MATLAB 2022a 1、算法描述 NOA(Network Optimization Algorithm,网络优化算法)是一个针对网络覆盖率优化的算法,它主要通过优化网络中节点的分布和配置来提高网络的整体覆盖性能。网络覆盖率是衡量一个无…

【三维地图无人机路径规划】基于标准A星算法+平滑度优化

课题名称: 基于标准A星算法平滑度优化的无人机三维地图路径规划 版本时间: 2024-04-22 程序运行: 直接运行AStar.m 文件即可 代码获取方式: QQ:491052175 VX:Matlab_Lover 特殊说明: …

zabbix“专家坐诊”第237期问答

问题一 Q:在一台虚拟机安装了mysql数据库服务器上安装了agent,将MySQL by Zabbix agent模板联接上去了,但增加的mysql监控项,全部显示为不支持的,这是什么原因? A:这个是自定义脚本的形式&#…

Java中使用Graphics2D实现字符串- 竖直并居中排序显示算法

效果: 代码: public static void drawMyString(Graphics textGraphics, String text) {// 每列显示的汉字数量int columnSize 7;// 文字之间的垂直间距int verticalSpacing 75;// 获取字体渲染上下文FontMetrics fm textGraphics.getFontMetrics();//…

STC15L2K60S2-28I-LQFP44 单片机芯片 STC宏晶

STC15L2K60S2-28I-LQFP44 规格信息: 产品类型STC(宏晶) UART/USART2 额定特性- SPI1 USB Device0 USB Host/OTG0 PWM3 I2C(SMBUS/PMBUS)0 LCD0 工作电压2.4V ~ 3.6V EEPROM 尺度1KB Ethernet0 A/D8x10bit CAN0 D/A3x10bit CPU…

网站被SmartScreen标记为不安全怎么办?

在互联网时代,网站的安全性和可信度是用户选择是否继续访问的重要因素之一,然而,网站运营者偶尔会发现使用Edge浏览器访问网站时,会出现Microsoft Defender SmartScreen(以下简称SmartScreen)提示网站不安全…

代理设置方法 ubuntu git

目录 ubuntu设置代理方法 git 中 ubuntu设置代理方法 (1) .bashrc中写 或者 (2) 当自己的 虚拟机选择default switch,保持了虚拟机与本机的联通性(host模式好像),这时&#xff0…