网站建设公司深圳,服装效果图网站,wordpress vip付费插件,上海网站开发建如今#xff0c;网络安全已经成为了企业管理中不可或缺的一部分#xff0c;而漏洞管理则是网络安全的重中之重。那么企业应该如何做好漏洞管理呢#xff1f;不妨从业界标准到企业实践来一探究竟#xff01;通过对业界标准的深入了解#xff0c;企业可以建立起完善的漏洞管… 如今网络安全已经成为了企业管理中不可或缺的一部分而漏洞管理则是网络安全的重中之重。那么企业应该如何做好漏洞管理呢不妨从业界标准到企业实践来一探究竟通过对业界标准的深入了解企业可以建立起完善的漏洞管理体系提高企业的网络安全水平。而在实践中企业需要注重漏洞管理的全过程包括漏洞的发现、评估、修复和验证。只有这样才能让企业的网络安全更加可靠让客户和用户放心使用企业的产品和服务。 1. 为什么组织需要漏洞管理
几乎所有的企业都在做漏洞管理主要原因无外乎以下几点
在漏洞被攻击者利用之前识别并解决漏洞从而提高产品或服务的安全性和质量通过展示积极负责的漏洞管理方法提高客户、合作伙伴和监管机构的信任度通过最大限度地减少漏洞的影响和暴露降低处理安全事件、漏洞和诉讼的成本和风险遵守有关安全的法律法规要求如《中华人民共和国网络安全法》、《信息安全技术 网络安全漏洞管理规范》与安全和风险管理的最佳实践和框架保持一致如 ISO/IEC 27001 或 NIST SP 800-53。 若对法律法规细节感兴趣可以参阅如下法律法则文件(访问密码: 6277)
信息安全技术 网络安全漏洞管理规范GB/T 30276-2020.docx中华人民共和国网络安全法.docxISO IEC 27001-2022(共26页).pdfISO IEC 27001-2022中文版(共32页).pdfNIST.SP.800-53r4(共563页).pdf
2. 业界标准
ISO/IEC 29147涉及组织和报告者之间的接口而 ISO/IEC 30111 则涉及组织内部流程包括漏洞的分类、调查和修复。ISO/IEC 29147应与ISO/IEC 30111结合使用。因此两项标准需一并认证。
2.1. ISO/IEC 29147 漏洞披露
ISO/IEC 29147 是一项国际标准为组织提供有关披露产品和服务漏洞的要求和建议。漏洞披露可帮助用户保护其系统和数据、优先考虑防御性投资并更好地评估风险。漏洞披露的目标是降低与利用漏洞相关的风险。当多个供应商受到影响时协调一致的漏洞披露尤其重要。
2.2. ISO/IEC 30111 漏洞处理流程
ISO/IEC 30111是一项国际标准提供了有关如何处理和修复产品或服务中报告的潜在漏洞的要求和建议涉及报告的调查并确定优先级、开发、测试和部署补救措施以及改进安全开发等活动。 3. 企业实践
华为公司致力于提升华为产品的安全性全力支持客户网络和业务的安全运营。华为公司重视产品开发和维护的漏洞管理并遵循ISO/IEC 30111、ISO/IEC 29147等标准建立完整的漏洞处理流程以提升产品安全性确保在发现漏洞时及时响应。 1、漏洞感知接受和收集产品的疑似漏洞2、验证评估确认疑似漏洞的有效性和影响范围3、漏洞修补制定并落实漏洞修补方案4、漏洞修补信息发布面向客户发布漏洞修补信息5、闭环改进结合客户意见和实践持续改进。
华为PSIRT全称为华为安全应急响应团队Huawei Product Security Incident Response Team。华为PSIRT是专职的团队负责华为产品相关漏洞的接收、核查和披露。华为公司对外发布漏洞信息及修补方案采用如下三种形式 安全通告SASecurity Advisory)安全通告包含漏洞严重等级、业务影响和修补方案等信息用以传递漏洞修补方案。安全通告SA用于发布华为产品直接相关的严重Critical和高High等级的漏洞信息及修补方案。安全通告SA提供下载通用漏洞报告框架CVRF内容的选项旨在以机器可读格式XML文件描述漏洞信息以支持受影响客户的工具使用 若想了解更多关于CVRF的信息可以参阅博主文章《「 网络安全常用术语解读 」通用漏洞报告框架CVRF详解》 安全公告SNSecurity Notice安全公告包含对产品公开安全话题的回应含漏洞和非漏洞相关话题。安全公告SN用于发布SSR评估为信息类Informational的问题相关信息如公共论坛如博客或讨论列表中讨论的信息。同时对有可能引起公众对华为产品版本中漏洞的广泛关注或华为公司已经观察到漏洞活跃利用等特殊场景下安全公告SN也作为一种回应方式以便相关客户了解华为公司对此漏洞的响应进展。【用以快速回应公众即曝光或已经曝光的疑似漏洞或产品安全话题通常类似于媒体发言稿可以不包含修补计划】 版本/补丁说明书RNRelease Note版本/补丁说明书包含已修补的漏洞信息。作为产品版本/补丁发布的配套交付件的一部分用于说明SSR评估为中Medium和低Low等级的漏洞。为方便客户从版本/补丁视角综合评估版本/补丁的漏洞风险版本/补丁说明书RN中也包含通过安全通告SA发布的漏洞信息及修补方案。对于私有云场景华为公司在云服务产品的版本文档包含。对于终端场景华为公司在例行补丁公告中包含。
4. 标准认证
若企业通过了ISO/IEC 29147 与 ISO/IEC 30111认证则可说明企业
意味着组织已实施了标准化的漏洞披露与处理流程。该流程涵盖软件产品或系统漏洞的识别、分析、解决和披露。通过遵循这一流程组织可以证明其对安全、质量和客户满意度的承诺。可以降低网络攻击、法律责任和声誉受损的风险。此外通过ISO/IEC 29147及 ISO/IEC 30111 认证还能帮助组织改善内部沟通、协作以及参与漏洞处理的不同利益相关者之间的协调。它还能促进与外部各方如供应商、研究人员和客户的信息和最佳实践交流。
5. 参考链接
https://www.dnv.com/cn/services/page-248653https://www.huawei.com/cn/psirt/vul-response-process?fromgroupmessage
