探索安全之道 | 企业漏洞管理:从理念到行动

如今,网络安全已经成为了企业管理中不可或缺的一部分,而漏洞管理则是网络安全的重中之重。那么企业应该如何做好漏洞管理呢?不妨从业界标准到企业实践来一探究竟!通过对业界标准的深入了解,企业可以建立起完善的漏洞管理体系,提高企业的网络安全水平。而在实践中,企业需要注重漏洞管理的全过程,包括漏洞的发现、评估、修复和验证。只有这样,才能让企业的网络安全更加可靠,让客户和用户放心使用企业的产品和服务。

1. 为什么组织需要漏洞管理

几乎所有的企业都在做漏洞管理,主要原因无外乎以下几点:

  • 在漏洞被攻击者利用之前识别并解决漏洞,从而提高产品或服务的安全性和质量;
  • 通过展示积极负责的漏洞管理方法,提高客户、合作伙伴和监管机构的信任度;
  • 通过最大限度地减少漏洞的影响和暴露,降低处理安全事件、漏洞和诉讼的成本和风险;
  • 遵守有关安全的法律法规要求,如《中华人民共和国网络安全法》、《信息安全技术 网络安全漏洞管理规范》;
  • 与安全和风险管理的最佳实践和框架保持一致,如 ISO/IEC 27001 或 NIST SP 800-53。

网络安全漏洞管理流程,来源:《信息安全技术 网络安全漏洞管理规范》

若对法律法规细节感兴趣,可以参阅如下法律法则文件(访问密码: 6277):

  • 信息安全技术 网络安全漏洞管理规范(GB/T 30276-2020).docx
  • 中华人民共和国网络安全法.docx
  • ISO IEC 27001-2022(共26页).pdf
  • ISO IEC 27001-2022中文版(共32页).pdf
  • NIST.SP.800-53r4(共563页).pdf

2. 业界标准

ISO/IEC 29147涉及组织和报告者之间的接口,而 ISO/IEC 30111 则涉及组织内部流程,包括漏洞的分类、调查和修复。ISO/IEC 29147应与ISO/IEC 30111结合使用。因此,两项标准需一并认证。

2.1. ISO/IEC 29147 漏洞披露

ISO/IEC 29147 是一项国际标准,为组织提供有关披露产品和服务漏洞的要求和建议。漏洞披露可帮助用户保护其系统和数据、优先考虑防御性投资并更好地评估风险。漏洞披露的目标是降低与利用漏洞相关的风险。当多个供应商受到影响时,协调一致的漏洞披露尤其重要。

2.2. ISO/IEC 30111 漏洞处理流程

ISO/IEC 30111是一项国际标准,提供了有关如何处理和修复产品或服务中报告的潜在漏洞的要求和建议,涉及报告的调查并确定优先级、开发、测试和部署补救措施以及改进安全开发等活动。

ISO/IEC 29147 VS ISO/IEC 30111

3. 企业实践

华为公司致力于提升华为产品的安全性,全力支持客户网络和业务的安全运营。华为公司重视产品开发和维护的漏洞管理,并遵循ISO/IEC 30111、ISO/IEC 29147等标准建立完整的漏洞处理流程,以提升产品安全性,确保在发现漏洞时及时响应。

在这里插入图片描述

  • 1、漏洞感知:接受和收集产品的疑似漏洞;
  • 2、验证&评估:确认疑似漏洞的有效性和影响范围;
  • 3、漏洞修补:制定并落实漏洞修补方案;
  • 4、漏洞修补信息发布:面向客户发布漏洞修补信息;
  • 5、闭环改进:结合客户意见和实践持续改进。

华为PSIRT全称为华为安全应急响应团队(Huawei Product Security Incident Response Team)。华为PSIRT是专职的团队,负责华为产品相关漏洞的接收、核查和披露。华为公司对外发布漏洞信息及修补方案采用如下三种形式:

  • 安全通告:SA(Security Advisory),安全通告包含漏洞严重等级、业务影响和修补方案等信息,用以传递漏洞修补方案。安全通告(SA)用于发布华为产品直接相关的严重(Critical)和高(High)等级的漏洞信息及修补方案。安全通告(SA)提供下载通用漏洞报告框架(CVRF)内容的选项,旨在以机器可读格式(XML文件)描述漏洞信息,以支持受影响客户的工具使用;

    若想了解更多关于CVRF的信息,可以参阅博主文章《「 网络安全常用术语解读 」通用漏洞报告框架CVRF详解》

  • 安全公告:SN(Security Notice),安全公告包含对产品公开安全话题的回应(含漏洞和非漏洞相关话题)。安全公告(SN)用于发布SSR评估为信息类(Informational)的问题相关信息,如公共论坛(如博客或讨论列表)中讨论的信息。同时,对有可能引起公众对华为产品版本中漏洞的广泛关注或华为公司已经观察到漏洞活跃利用等特殊场景下,安全公告(SN)也作为一种回应方式,以便相关客户了解华为公司对此漏洞的响应进展。【用以快速回应公众即曝光或已经曝光的疑似漏洞或产品安全话题,通常类似于媒体发言稿,可以不包含修补计划】;

  • 版本/补丁说明书:RN(Release Note),版本/补丁说明书包含已修补的漏洞信息。作为产品版本/补丁发布的配套交付件的一部分,用于说明SSR评估为中(Medium)和低(Low)等级的漏洞。为方便客户从版本/补丁视角,综合评估版本/补丁的漏洞风险,版本/补丁说明书(RN)中也包含通过安全通告(SA)发布的漏洞信息及修补方案。对于私有云场景,华为公司在云服务产品的版本文档包含。对于终端场景,华为公司在例行补丁公告中包含。

4. 标准认证

若企业通过了ISO/IEC 29147 与 ISO/IEC 30111认证,则可说明企业:

  • 意味着组织已实施了标准化的漏洞披露与处理流程。该流程涵盖软件产品或系统漏洞的识别、分析、解决和披露。通过遵循这一流程,组织可以证明其对安全、质量和客户满意度的承诺。
  • 可以降低网络攻击、法律责任和声誉受损的风险。此外,通过ISO/IEC 29147及 ISO/IEC 30111 认证还能帮助组织改善内部沟通、协作以及参与漏洞处理的不同利益相关者之间的协调。它还能促进与外部各方(如供应商、研究人员和客户)的信息和最佳实践交流。

5. 参考链接

  • https://www.dnv.com/cn/services/page-248653
  • https://www.huawei.com/cn/psirt/vul-response-process?from=groupmessage

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/846660.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

谷歌发布文生视频模型——Veo,可生成超过一分钟高质量1080p视频

前期我们介绍过OpenAI的文生视频大模型-Sora 模型,其模型一经发布,便得到了大家疯狂的追捧。而Google最近也发布了自己的文生视频大模型Veo,势必要与OpenAI进行一个正面交锋。 Veo 是Google迄今为止最强大的视频生成模型。它可以生成超过一分…

JVM虚拟机性能监控工具

命令行工具 jps 虚拟机进程状况查询工具 jps(JVM Process Status Tool),可以列出正在运行的虚拟机进程,并显示虚拟机执行主类名称或者jar文件名,还有这些进程的本地虚拟机唯一ID(LVMID,Local Virtual Machine Identifier)。 # …

网页安全登陆的设计思路

对于Web网站来讲,不管是企业内容信息化系统,还是公共站点(博客、音视频站等),都有需要用户注册和登录的功能。用以识别用户、信息交互、信息隔离以及商业行为等场景。用户数据已成为网站的重要资产。保护用户信息(数据)是网站安全运行的关键任务。本文以用户安全登录的场…

521源码-网站源码-Thinkphp聊天室H5实时聊天室群聊聊天室自动分配账户完群组/私聊/禁言等功能/全开源运营版本

全开源运营版本聊天室H5实时聊天室群聊聊天室自动分配账户完群组/私聊/禁言等功能 都是去年买的,很多买的源码基本都下架了,详情还是套已经老站的,可能网上已经流传了点,不过还是不影响这个源码的牛逼所在 运营版本的聊天室&…

JVM之【运行时数据区2——堆】

三、堆(Heap) 1、什么是堆 在Java虚拟机(JVM)中,堆(Heap)是用于动态分配内存的区域。在Java程序运行时,所有对象和数组都是在堆中分配内存的。堆是Java内存模型的重要组成部分&…

21.Redis之分布式锁

1.什么是分布式锁 在⼀个分布式的系统中, 也会涉及到多个节点访问同⼀个公共资源的情况. 此时就需要通过 锁 来做互斥控制, 避免出现类似于 "线程安全" 的问题. ⽽ java 的 synchronized 或者 C 的 std::mutex, 这样的锁都是只能在当前进程中⽣效, 在分布式的这种多…

LabVIEW调用第三方硬件DLL常见问题及开发流程

在LabVIEW中调用第三方硬件DLL时,除了技术问题,还涉及开发流程、资料获取及与厂家的沟通协调。常见问题包括函数接口不兼容、数据类型转换错误、内存管理问题、线程安全性等。解决这些问题需确保函数声明准确、数据类型匹配、正确的内存管理及线程保护。…

C/C++开发,2024.x CLion安装,亲测有效

CLion 是一款专为 C 和 C 开发者设计的跨平台集成开发环境(IDE),提供了智能代码补全、代码分析、调试和 Git 集成等功能,以提高开发效率和代码质量。 1.下载安装c/c开发工具 CLion 先去官网下载,我这里下载的是最新版…

Re73 读论文:ULMFiT Universal Language Model Fine-tuning for Text Classification

诸神缄默不语-个人CSDN博文目录 诸神缄默不语的论文阅读笔记和分类 论文全名:Universal Language Model Fine-tuning for Text Classification 模型简称:ULMFiT 模型全名:Universal Language Model Fine-tuning ArXiv网址:https…

【制作100个unity游戏之27】使用unity复刻经典游戏《植物大战僵尸》,制作属于自己的植物大战僵尸随机版和杂交版6(附带项目源码)

最终效果 系列导航 文章目录 最终效果系列导航前言方法一、使用excel配置表excel转txt文本读取txt数据按配置信息生成僵尸 方法二、使用ScriptableObject 配置关卡信息源码结束语 前言 本节主要是推荐两种实现配置关卡信息,并按表生成僵尸和关卡波次 方法一、使用…

PCIe总线-事物层之TLP路由介绍(七)

1.概述 下图是一个PCIe总线系统示意图。此时RC发出一个TLP,经过Switch访问EP,TLP的路径为红色箭头所示。首先TLP从RC的下行OUT端口发出,Switch的上行IN端口接收到该TLP后,根据其路由信息,将其转发到Switch的下行OUT端…

Google力作 | Infini-attention无限长序列处理Transformer

更多文章,请关注微信公众号:NLP分享汇 原文链接:Google力作 | Infini-attention无限长序列处理Transformerhttps://mp.weixin.qq.com/s?__bizMzU1ODk1NDUzMw&mid2247485000&idx1&sne44a7256bcb178df0d2cc9b33c6882a1&chksm…

Linux的shell脚本:如何用bash脚本从mysql数据库中直接读取用户数据,并直接显示出来(一条命令查看数据库信息)

目录 一、要求 二、脚本和解释 三、脚本执行 1、 脚本保存为sh文件 2、给脚本赋予执行权限 3、运行脚本 四、Bash脚本中,可以使用哪些MySQL语句 1、连接到MySQL数据库 2、执行SQL语句 3、查询并显示结果 4、脚本中执行SQL文件 5、数据库操作 …

Vue.js 动态组件与异步组件

title: Vue.js 动态组件与异步组件 date: 2024/6/2 下午9:08:50 updated: 2024/6/2 下午9:08:50 categories: 前端开发 tags:Vue概览动态组件异步加载性能提升路由管理状态控制工具生态 第1章 Vue.js 简介 1.1 Vue.js 概述 Vue.js 是一个渐进式的JavaScript框架,…

《论文阅读》通过顺序不敏感的表示正则化实现稳健的个性化对话生成 ACL 2023

《论文阅读》通过顺序不敏感的表示正则化实现稳健的个性化对话生成 ACL 2023 前言 相关个性化生成论文推荐简介问题定义方法损失函数实验结果 前言 亲身阅读感受分享,细节画图解释,再也不用担心看不懂论文啦~ 无抄袭,无复制,纯手…

中间件模版引擎

文章目录 中间件1.自定义中间件1)全局2)局部中间件 2.内置中间件(静态资源目录) Art-template1.模板语法1)输出2)原文输出3)条件判断4)循环5)子模版6)模版继承7&#xff…

vue-Dialog 自定义title样式

展示结果 vue代码 <el-dialog :title"title" :visible.sync"classifyOpen" width"500px" :showClose"false" class"aboutDialog"> <el-form :model"classifyForm" :rules"classifyRules">…

【OJ】C++ | 二叉树进阶 · 合集(2)

摘要&#xff1a;根据二叉树创建字符串、二叉树的最近公共祖先、二叉树的层序遍历 前言&#xff1a;承接上文&#xff0c;本文继续提供二叉树进阶有关题目的解法。如有错误&#xff0c;烦请指正。 目录 1. 根据二叉树创建字符串 题解及代码 2. 二叉树的最近公共祖先 题解及…

Java | Leetcode Java题解之第121题买卖股票的最佳时机

题目&#xff1a; 题解&#xff1a; public class Solution {public int maxProfit(int prices[]) {int minprice Integer.MAX_VALUE;int maxprofit 0;for (int i 0; i < prices.length; i) {if (prices[i] < minprice) {minprice prices[i];} else if (prices[i] -…

用幻灯片讲解C++中的C语言风格数组

用幻灯片讲解C中的C语言风格数组 1.栈内存中的C风格数组 糟糕的可用性&#xff0c;但你将在遗留代码中看到它们。相同类型的对象块。大小必须是常量表达式。第一个元素的索引为0&#xff0c;即数组索引从0开始。 注意一下数组的初始化&#xff0c;使用了C11标准之后的统一初始…