探索安全之道 | 企业漏洞管理:从理念到行动

news2024/11/16 15:41:09

如今,网络安全已经成为了企业管理中不可或缺的一部分,而漏洞管理则是网络安全的重中之重。那么企业应该如何做好漏洞管理呢?不妨从业界标准到企业实践来一探究竟!通过对业界标准的深入了解,企业可以建立起完善的漏洞管理体系,提高企业的网络安全水平。而在实践中,企业需要注重漏洞管理的全过程,包括漏洞的发现、评估、修复和验证。只有这样,才能让企业的网络安全更加可靠,让客户和用户放心使用企业的产品和服务。

1. 为什么组织需要漏洞管理

几乎所有的企业都在做漏洞管理,主要原因无外乎以下几点:

  • 在漏洞被攻击者利用之前识别并解决漏洞,从而提高产品或服务的安全性和质量;
  • 通过展示积极负责的漏洞管理方法,提高客户、合作伙伴和监管机构的信任度;
  • 通过最大限度地减少漏洞的影响和暴露,降低处理安全事件、漏洞和诉讼的成本和风险;
  • 遵守有关安全的法律法规要求,如《中华人民共和国网络安全法》、《信息安全技术 网络安全漏洞管理规范》;
  • 与安全和风险管理的最佳实践和框架保持一致,如 ISO/IEC 27001 或 NIST SP 800-53。

网络安全漏洞管理流程,来源:《信息安全技术 网络安全漏洞管理规范》

若对法律法规细节感兴趣,可以参阅如下法律法则文件(访问密码: 6277):

  • 信息安全技术 网络安全漏洞管理规范(GB/T 30276-2020).docx
  • 中华人民共和国网络安全法.docx
  • ISO IEC 27001-2022(共26页).pdf
  • ISO IEC 27001-2022中文版(共32页).pdf
  • NIST.SP.800-53r4(共563页).pdf

2. 业界标准

ISO/IEC 29147涉及组织和报告者之间的接口,而 ISO/IEC 30111 则涉及组织内部流程,包括漏洞的分类、调查和修复。ISO/IEC 29147应与ISO/IEC 30111结合使用。因此,两项标准需一并认证。

2.1. ISO/IEC 29147 漏洞披露

ISO/IEC 29147 是一项国际标准,为组织提供有关披露产品和服务漏洞的要求和建议。漏洞披露可帮助用户保护其系统和数据、优先考虑防御性投资并更好地评估风险。漏洞披露的目标是降低与利用漏洞相关的风险。当多个供应商受到影响时,协调一致的漏洞披露尤其重要。

2.2. ISO/IEC 30111 漏洞处理流程

ISO/IEC 30111是一项国际标准,提供了有关如何处理和修复产品或服务中报告的潜在漏洞的要求和建议,涉及报告的调查并确定优先级、开发、测试和部署补救措施以及改进安全开发等活动。

ISO/IEC 29147 VS ISO/IEC 30111

3. 企业实践

华为公司致力于提升华为产品的安全性,全力支持客户网络和业务的安全运营。华为公司重视产品开发和维护的漏洞管理,并遵循ISO/IEC 30111、ISO/IEC 29147等标准建立完整的漏洞处理流程,以提升产品安全性,确保在发现漏洞时及时响应。

在这里插入图片描述

  • 1、漏洞感知:接受和收集产品的疑似漏洞;
  • 2、验证&评估:确认疑似漏洞的有效性和影响范围;
  • 3、漏洞修补:制定并落实漏洞修补方案;
  • 4、漏洞修补信息发布:面向客户发布漏洞修补信息;
  • 5、闭环改进:结合客户意见和实践持续改进。

华为PSIRT全称为华为安全应急响应团队(Huawei Product Security Incident Response Team)。华为PSIRT是专职的团队,负责华为产品相关漏洞的接收、核查和披露。华为公司对外发布漏洞信息及修补方案采用如下三种形式:

  • 安全通告:SA(Security Advisory),安全通告包含漏洞严重等级、业务影响和修补方案等信息,用以传递漏洞修补方案。安全通告(SA)用于发布华为产品直接相关的严重(Critical)和高(High)等级的漏洞信息及修补方案。安全通告(SA)提供下载通用漏洞报告框架(CVRF)内容的选项,旨在以机器可读格式(XML文件)描述漏洞信息,以支持受影响客户的工具使用;

    若想了解更多关于CVRF的信息,可以参阅博主文章《「 网络安全常用术语解读 」通用漏洞报告框架CVRF详解》

  • 安全公告:SN(Security Notice),安全公告包含对产品公开安全话题的回应(含漏洞和非漏洞相关话题)。安全公告(SN)用于发布SSR评估为信息类(Informational)的问题相关信息,如公共论坛(如博客或讨论列表)中讨论的信息。同时,对有可能引起公众对华为产品版本中漏洞的广泛关注或华为公司已经观察到漏洞活跃利用等特殊场景下,安全公告(SN)也作为一种回应方式,以便相关客户了解华为公司对此漏洞的响应进展。【用以快速回应公众即曝光或已经曝光的疑似漏洞或产品安全话题,通常类似于媒体发言稿,可以不包含修补计划】;

  • 版本/补丁说明书:RN(Release Note),版本/补丁说明书包含已修补的漏洞信息。作为产品版本/补丁发布的配套交付件的一部分,用于说明SSR评估为中(Medium)和低(Low)等级的漏洞。为方便客户从版本/补丁视角,综合评估版本/补丁的漏洞风险,版本/补丁说明书(RN)中也包含通过安全通告(SA)发布的漏洞信息及修补方案。对于私有云场景,华为公司在云服务产品的版本文档包含。对于终端场景,华为公司在例行补丁公告中包含。

4. 标准认证

若企业通过了ISO/IEC 29147 与 ISO/IEC 30111认证,则可说明企业:

  • 意味着组织已实施了标准化的漏洞披露与处理流程。该流程涵盖软件产品或系统漏洞的识别、分析、解决和披露。通过遵循这一流程,组织可以证明其对安全、质量和客户满意度的承诺。
  • 可以降低网络攻击、法律责任和声誉受损的风险。此外,通过ISO/IEC 29147及 ISO/IEC 30111 认证还能帮助组织改善内部沟通、协作以及参与漏洞处理的不同利益相关者之间的协调。它还能促进与外部各方(如供应商、研究人员和客户)的信息和最佳实践交流。

5. 参考链接

  • https://www.dnv.com/cn/services/page-248653
  • https://www.huawei.com/cn/psirt/vul-response-process?from=groupmessage

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1792896.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Java+SVNCloud+Mysql课程设计

文章目录 1、主要内容2、所需准备3、与sql访问的中间类:SqlMessage4、窗口界面5、main方法 1、主要内容 课程设计,主要通过Javas wing创建窗口,jdbc连接云端mysql数据库进行基本操作,支持随机生成数据并用动态展示数据结果。 先…

重生之 SpringBoot3 入门保姆级学习(16、函数式 Web 编程)

重生之 SpringBoot3 入门保姆级学习(16、函数式 Web 编程) 3.4 函数式 Web 3.4 函数式 Web 个人写过 go 类似于 go gin 框架 1、场景 场景: User RESTful - CRUD GET/user/1 获取1号用户GET/users 获取所有用户POST/user 清求体携带JSON,新…

Java注解使用与自定义

一、什么是注解 注解是元数据的一种形式,它提供有关程序的数据,该数据不属于程序本身。注解对其注释的代码操作没有直接影响。换句话说,注解携带元数据,并且会引入一些和元数据相关的操作,但不会影响被注解的代码的逻…

程序员自我修养

目录 一、技术能力二、持续学习三、问题解决能力四、代码质量五、团队合作六、责任心七、时间与任务管理八、适应变化九、客户导向十、安全性意识十一、文档撰写十二、伦理与法律意识十三、健康生活 程序员作为现代技术行业的核心成员,不仅需要掌握扎实的技术技能&…

在 Java 项目中扫描识别图片中的文字(详细教程)

目录 需求: 步骤: 1、maven配置(pom.xml): 2、下载依赖文件: 3、代码: post进行测试: 测试图片: 测试结果: 需求: 上传图片文件进行扫描…

MongoDB CRUD操作:地理位置应用——通过地理空间查询查找餐厅

MongoDB CRUD操作:地理位置应用——通过地理空间查询查找餐厅 文章目录 MongoDB CRUD操作:地理位置应用——通过地理空间查询查找餐厅地图的扭曲搜索餐厅浏览数据查找当前邻居查找附近所有餐厅查找一定距离内的餐厅使用$geoWithin,不排序使用…

Windows 2000 Server:安全配置终极指南

"远古技术,仅供娱乐" 💭 前言:Windows 2000 服务器在当时的市场中占据了很大的比例,主要原因包括操作简单和易于管理,但也经常因为安全性问题受到谴责,Windows 2000 的安全性真的那么差吗&#x…

kube-promethesu调整coredns监控

K8s集群版本是二进制部署的1.20.4,kube-prometheus对应选择的版本是kube-prometheus-0.8.0 Coredns是在安装集群的时候部署的,采用的也是该版本的官方文档,kube-prometheus中也有coredns的监控配置信息,但是在prometheus的监控页…

主流 RTOS 实时操作系统介绍

主流 RTOS 实时操作系统介绍 1 介绍1.1 概述1.2 RTOS 应用领域1.3 知名实时系统VRTXpSOSOS-9embOSAzure RTOS 【ThreadX 】OpenWrt 【路由】Mbed OS 【ARM 公司开发】VxWorks 【KUKA、ABB、etc】LynxOSQNXNucleusTHREADXuC/OS –II/III 【Silicon Labs 收购,更新频率…

Qt CAN总线发送和接收案例

文章目录 设置比特率类设置比特率类实现 发送数据帧类发送数据帧类的实现m_ui 发送帧界面 连接类连接类实现连接类UI设计 主窗口类主窗口类实现主界面UI 整体UIQT案例 设置比特率类 // 文件: BitRateBox.h // 作用: 定义了一个用于选择比特率的组合框类 BitRateBox&#xff0c…

冯喜运:6.6周四汇市行情怎么看?黄金原油日内短线布局操作

【黄金消息面分析】:周三(6月5日)美市盘初,现货黄金震荡走高,目前交投于2342美元/盎司附近。黄金价格周二下跌超过1%,原因是美元在本周晚些时候美国就业数据公布前趋于稳定,该数据可能为美联储的…

敦煌网、ebay、速卖通等平台一直被差评怎么办?

在电商行业里一直都有一句话,有评行走天下,无评寸步难行 而没有review打造爆款的案例是少之甚少,众所周知,review已经成为用户衡量一件商品的标尺,目前我也是看到一个文章上面写到,一个卖家表示自己平时运…

CSRF+XSS组合

环境&#xff1a;dvwa靶场low等级CSRFXSS payload1 将如下代码 1.html 放置攻击者web服务器中&#xff08;dvwa靶场搭建的网站根目录&#xff09; <html> <body onload"javascript:fireForms()"> <script language"JavaScript"> var …

5.透明效果

实时渲染中要实现透明效果&#xff0c;通常会在渲染模型时控制它的透明通道&#xff08;Alpha channel&#xff09;。 当一个物体被渲染到屏幕上时&#xff0c;每个片元除了颜色和深度值之外&#xff0c;它还有另一个属性—透明度。 当透明度为1时&#xff0c;表示该像素是完…

php质量工具系列之phpmd

PHPMD PHP Mess Detector 它是PHP Depend的一个衍生项目&#xff0c;用于测量的原始指标。 PHPMD所做的是&#xff0c;扫描项目中可能出现的问题如&#xff1a; 可能的bug次优码过于复杂的表达式未使用的参数、方法、属性 PHPMD是一个成熟的项目&#xff0c;它提供了一组不同的…

网站安全小白也能搞定的SSL证书安装免费方法

大家都知道&#xff0c;部署一个网站&#xff0c;除了购买域名&#xff0c;现在基本标配SSL证书。 我们以aliyun为例 大家看到这个&#xff0c;收费的SSL证书几千-几万1年不等。这时候&#xff0c;你就会想有没有免费的可以搞。linux老鸟都知道&#xff0c; Let’s Encrypt 、…

痛风患者饮食指南

文章目录 &#x1f4d6; 介绍 &#x1f4d6;&#x1f4d2; 饮食指南 &#x1f4d2;&#x1f957; 可食用食品&#x1f966; 蔬菜类&#x1f34e; 水果类&#x1f33e; 全谷物&#x1f95b; 低脂奶制品&#x1f330; 坚果类&#xff08;适量&#xff09;&#x1fad8; 豆制品&am…

RunLoop小白入门

核心概念 什么是 RunLoop ? RunLoop 是 iOS 和 macOS 应用程序框架中的一个核心概念&#xff0c;用于管理线程的事件处理。它可以看作是一个循环&#xff0c;用于持续接收和处理各种事件&#xff0c;如用户输入、定时器、网络事件等。RunLoop 在保持应用程序响应用户交互和系…

docker create rm export exec命令详解

容器生命周期管理命令教程-3 1. 创建容器 docker create&#xff1a;创建一个新的容器但不启动它。 docker create -it --name mycontainer ubuntu bash通常使用 docker run(详细可看上一篇关于run命令的详细介绍) 2. 删除容器 docker rm&#xff1a;删除一个或多个容器。 d…

T-Pot多功能蜜罐实践@debian12@FreeBSD

T-Pot介绍 T-Pot是一个集所有功能于一身的、可选择分布式的多构架&#xff08;amd64&#xff0c;arm64&#xff09;蜜罐平台&#xff0c;支持20多个蜜罐和很多可视化选项&#xff0c;使用弹性堆栈、动画实时攻击地图和许多安全工具来进一步改善欺骗体验。GitHub - telekom-sec…