漏洞发生时,企业应该怎么做?

2021年,相关法律法规的完善极大促进了中国网络安全行业的发展,基于企业稳定运营、安全运营的原则,越来越多的领域投入到企业安全合规的建设中来。但现状是,随着安全建设的不断深入,各项出台的法规、政策并不一定能充分执行到位,这往往为企业和行业的安全发展埋下了隐患。

同年,媒体就报道了有关「阿里云被暂停工信部网络安全威胁信息共享平台合作单位」的消息。事件的起因在于,阿里云作为工信部网络安全威胁信息共享平台合作单位,在发现阿帕奇Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。因此,阿里云最终被工信部暂停作为合作单位6个月。

事实上,有关安全漏洞事件,国家有一套详细的法律法规,约束相关企业“尽早申报”,协助相关行业的企事业单位即时“补漏”。 那么,对于网络安全漏洞管理,企业还有哪些硬性要求?

漏洞防范,有规可依

早在2019年,国家工业和信息化部会同有关部门成立专项起草组,研究分析国内外漏洞管理现状,梳理相关漏洞管理需求,形成了初期的《网络产品安全漏洞管理规定》送审稿。几经优化后,终于在2021年9月,正式出台《网络产品安全漏洞管理规定》正式稿,第一次对我国漏洞发现、报告、修补和发布行为进行明确的流程和责任划分,让漏洞防范,有法可循、有规可依。

《网络产品安全漏洞管理规定》源于《网络安全法》,由工业和信息化部、国家互联网信息办公室、公安部联合制定,维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行;在规范相关漏洞申报的同时,明确了网络产品提供者、网络产品运营者以及漏洞事件中涉及到发现、收集、发布的组织或个人的责任及义务。

网络产品提供者运营者:早申报早知道

《网络产品安全漏洞管理规定》提出,网络产品提供者和运营者应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。

当发现或者获知所提供网络产品存在安全漏洞后,网络产品提供者应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。同时应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

《规定》同时也明确了在收到漏洞通报后,网络产品提供者和运营者的应对措施。相关产品的提供者和运营者应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。

值得一提的是,当发现或者获知其网络、信息系统及其设备存在安全漏洞后,网络运营者应当立即采取措施,及时对安全漏洞进行验证并完成修补。

除去网络产品提供者和运营者外,相关漏洞挖掘组织或个人也应同时遵守《网络产品安全漏洞管理规定》。在《规定》中明确指出,任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。

同时,鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。

此外,在漏洞发布也有相应的要求,如下:

1. 不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况

2. 不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息。

3. 不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。

4. 不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。

5. 在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。

6. 在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。

7. 不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

8. 法律法规的其他相关规定。

切莫踩在违规的红线上

近年来,网络安全漏洞威胁日益严峻,每一次重量级漏洞的爆发往往会在社会上快速传播,不断威胁企业和用户的安全。

《网络产品安全漏洞管理规定》的出台进一步规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务;使得漏洞管理工作变的更加制度化、规范化、法治化,对于提升漏洞管理水平,促进网络安全有着重要的作用。而作为企业、组织和个人,也要认真了解《网络产品安全漏洞管理规定》的具体要求,并参照执行,切莫踩在红线上。


在过去,人们十分避讳“与漏洞风险共存”,每个人都将漏洞管理视为一个无足轻重的话题。但很少有组织能够真正达到全部漏洞都已修复的状态,因为这一目标的实现往往意味着大量人力、财力和物力资源的无意义消耗,大量的时间都会被浪费在修补那些构不成真正威胁的漏洞上。

根据研究所发现,当前23%的已报告漏洞均发布了漏洞利用代码,但只有2% 的漏洞已在野外观察到漏洞利用的情况,因此,假设组织基于风险情报集中力量优先补救关键漏洞,那将大大减少安全人员的工作压力。

那么漏洞危机爆发时,企业该做什么?如何有效应对和预防企业的安全漏洞?

企业的安全漏洞是指可能导致企业信息或资源受到威胁的弱点或漏洞。在当前信息时代,企业面临着越来越多的安全风险和威胁,因此,有效应对和预防企业的安全漏洞是极为重要的。

一、建立健全的安全策略和管理体系

要想有效应对和预防企业的安全漏洞,首先需要建立一个健全的安全策略和管理体系。这涉及到明确的安全政策、规范和制度,并确保组织内的每个员工都能够理解和遵守这些规定。管理体系应包括明确的责任分工、风险评估与管理、安全培训与宣传等环节

二、加强网络安全防护

在网络化的环境下,企业的信息系统和网络架构容易成为攻击的目标。因此,加强网络安全防护是非常关键的。企业应当采取多种防护措施,如安装防火墙、入侵检测系统、网络加密等,同时定期进行安全审计,并及时更新和修补系统漏洞。

三、定期进行安全漏洞扫描和漏洞修复

企业的信息系统和网络环境都需要定期进行安全漏洞扫描和漏洞修复。通过使用专业的安全漏洞扫描工具,企业可以快速准确地找出存在的安全漏洞,并及时进行修复措施。同时,还应建立安全补丁管理机制,对软件和系统进行及时的更新和升级。比如说漏洞扫描服务。

漏洞扫描服务(Vulnerability Scan Service)集Web漏洞扫描、操作系统漏洞扫描、资产内容合规检测、配置基线扫描、弱密码检测五大核心功能,自动发现网站或服务器在网络中的安全风险,为云上业务提供多维度的安全检测服务,满足合规要求,让安全弱点无所遁形。主要的优势在于:

一、扫描全面

涵盖多种类型资产扫描,支持云内外网站和主机扫描,支持内网扫描、智能关联各资产之间的联系,自动发现资产指纹信息,避免扫描盲区。

二、高效精准

采用web2.0智能爬虫技术,内部验证机制不断自测和优化,提高检测准确率,时刻关注业界紧急CVE爆发漏洞情况,自动扫描,最快速了解资产安全风险。

三、简单易用

配置简单,一键全网扫描。可自定义扫描事件,分类管理资产安全,让运维工作更简单,风险状况更清晰了然。

四、报告全面

清晰简洁的扫描报告,多角度分析资产安全风险,多元化数据呈现,将安全数据智能分析和整合,使安全现状清晰明了。


漏洞扫描服务能提供的服务内容:

一、针对Web漏洞扫描--网站的漏洞与弱点易于被黑客利用,形成攻击,带来不良影响,造成经济损失。

1.常规漏洞扫描

丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的扫描报告。

2.最紧急漏洞扫描

针对最紧急爆发的VCE漏洞,安全专家第一时间分析漏洞、更新规则、提供最快速专业的VCE漏洞扫描。

二、针对弱密码扫描--主机或中间件等资产一般使用密码进行远程登录,攻击者往往使用扫描技术来探测其用户名和弱口令。

1.多场景可用

全方位的OS连接,涵盖90%的中间件,支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。

2.丰富的弱密码库

丰富的弱密码匹配库,模拟黑客对各场景进行弱口令探测,同时支持自定义字典进行密码检测。

三、针对中间件扫描--中间件可帮助用户灵活、高效地开发和集成复杂的应用软件,一旦被黑客发现漏洞并利用,将影响上下层安全。

1.丰富的扫描场景

支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。

2.多扫描方式可选

支持通过标准包或者自定义安装等多种方式识别服务器中的中间件及其版本,全方位发现服务器中的漏洞风险。

四、针对内容合规检测--网站被发现有不合规言论时,会给企业造成品牌和经济上的多重损失。

1.精准识别

同步更新时政热点和舆情事件的样本数据,准确定位各种涉黄、涉暴涉恐、涉政等敏感内容。

2.智能高效

对文本、图片内容进行上下文语义分析,智能识别复杂变种文本。

安全漏洞对于企业的稳定运营和发展都具有重要影响,因此,应对和预防企业的安全漏洞必须引起企业高度重视。建立健全的安全策略和管理体系,加强网络安全防护,定期扫描和修复安全漏洞等措施都是提高企业安全防护能力的有效手段。通过不断完善和强化安全措施,企业可以有效应对和预防安全漏洞的发生,保护企业的利益和信息资产安全。
 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/567130.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Python 异常处理与日志记录

👽发现宝藏 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。【点击进入巨牛的人工智能学习网站】。 异常处理是任何编程语言中的重要组成部分,Python 也不例外。Python 提供了丰富的…

解读无源 PoE 交换机:最佳选择比较指南

了解无源 PoE 交换机的复杂性可能是一项艰巨的任务。本文作为帮助您解码这些技术设备的综合指南。在这里,我们将详细比较各种无源 PoE 交换机、它们的独特特性以及它们的最佳使用案例。本指南重点关注客观事实,旨在为您提供必要的知识,以便在…

牛客周赛 Round 40(A,B,C,D,E,F)

比赛链接 官方讲解 这场简单,没考什么算法,感觉有点水。D是个分组01背包,01背包的一点小拓展,没写过的可以看看,这个分类以及这个题目本身都是很板的。E感觉就是排名放高了导致没人敢写,本质上是个找规律…

aardio - 【库】图片转字符画

库文件及例程下载:https://aardio.online/thread-261.htm

PyCharm 中的特殊标记

再使用 PyCharm 开发 Python 项目的时候,经常会有一些特殊的标记,有些是编辑器提示的代码规范,有些则为了方便查找而自定义的标记。 我在之前写过一些关于异常捕获的文章:Python3 PyCharm 捕获异常报 Too broad exception clause…

苹果手机怎么换行?分享3个换行小窍门

“晕!第一次使用苹果手机,还有很多功能不懂,比如我在手机上打字怎么换行?我在键盘上找了很久,还是没有找到。” “为什么在发消息用苹果手机自带键盘没有换行键?我该怎么快速换行?求方法&#…

重学java 19.面向对象 继承 上

走不出的那段阴霾,很多时候只不过是,我们把它当成了唯一 —— 24.4.22 面向对象整体知识导向: 知识梳理: 1.知道继承的好处 2.会使用继承 3.继承之后成员变量和成员方法的访问特点 4.方法的重写,知道方法重写的使用场景…

sprinboot+人大金仓配置

1. .yml 配置 spring:datasource:type: com.alibaba.druid.pool.DruidDataSource#driverClassName: dm.jdbc.driver.DmDriver## todo 人大金仓driverClassName: com.kingbase8.Driverdruid:## todo 人大金仓master:url: jdbc:kingbase8://111.111.111.111:54321/dbname?cu…

helpdesk桌面运维常见问题解决

helpdesk是一套帮助IT团队管理IT工单生命周期、自动化日常工作、优化工作流程的软件或软件集合,它可以帮助IT团队提高生产力、降低成本、改善服务水平和客户体验。 在现代企业中,helpdesk桌面运维是一项至关重要的工作,helpdesk团队负责处理员…

虚拟信用卡是什么,可以用来开亚马逊店铺吗?

虚拟信用卡是什么? 虚拟信用卡就是一组由银行随机生成的数字的虚拟卡,使用起来方便快捷,对于个人而言保守自己的隐私,并且下卡快,即开即用 可以用来开亚马逊店铺吗? 可以,因为市场的需求很多…

面试官:在原生input上面使用v-model和组件上面使用有什么区别?

前言 还是上一篇面试官:来说说vue3是怎么处理内置的v-for、v-model等指令? 文章的那个粉丝,面试官接着问了他另外一个v-model的问题。 面试官:vue3的v-model都用过吧,来讲讲。 粉丝:v-model其实就是一个语…

储能展-CBTC-2024上海储能技术展会共话储能高质量发展

2024-CBTC上海国际储能技术展会 展会时间:7月24-26日 展会地址:上海(虹桥)国家会展中心 主办单位:湖南省电池产业协会/ 中国设备管理协会 /沪粤储能产业联盟/ 深圳国际投融资商会 国际氢能投融资与发展联…

Qt Debug模式下应用程序输出界面乱码【已解决】

Qt Debug模式下应用程序输出乱码 一、问题描述二、解决方法三、相关测试 一、问题描述 源码为utf-8编码. Qt Creator在Debug模式下运行程序,下方应用程序输出界面显示乱码. 但正常运行无乱码: 二、解决方法 尝试修改文件编码、执行编码无果… 可参考…

Python从0到100(十四):高级函数及函数使用进阶

前言: 零基础学Python:Python从0到100最新最全教程。 想做这件事情很久了,这次我更新了自己所写过的所有博客,汇集成了Python从0到100,共一百节课,帮助大家一个月时间里从零基础到学习Python基础语法、Pyth…

Day11-Java进阶-HashSet集合LinkedHashSet-Collection工具类Map集合

1. HashSet集合 HashSet-JDK8版本及以后-面试常问 2. LinkedHashSet-Collection工具类 2.1 LinkedHashSet 2.2 Collection工具类 3. Map集合 3.1 Map接口介绍 3.2 Map 集合的遍历方式 3.2.1 三种方式介绍 package com.itheima.map;import java.util.HashMap; import java.ut…

【C++类和对象】日期类的实现

💞💞 前言 hello hello~ ,这里是大耳朵土土垚~💖💖 ,欢迎大家点赞🥳🥳关注💥💥收藏🌹🌹🌹 💥个人主页&#x…

【MATLAB源码-第64期】matlab基于DWA算法的机器人局部路径规划包含动态障碍物和静态障碍物。

操作环境: MATLAB 2022a 1、算法描述 动态窗口法(Dynamic Window Approach,DWA)是一种局部路径规划算法,常用于移动机器人的导航和避障。这种方法能够考虑机器人的动态约束,帮助机器人在复杂环境中安全、…

PCB上有哪些元素

过孔:是用来切换层的 丝印:就是标记(白色的线或者符号) 焊盘:焊接元器件,相当于线头,连接各个元件 通孔埋孔盲孔,都是用来换层,内部没有桐,是用来固定的 线路…

C++:基础语法

一、命名空间 在C/C中,变量、函数和后面要学到的类都是大量存在的,这些变量、函数和类的名称将都存在于全局作用域中,可能会导致很多冲突。使用命名空间的目的是对标识符的名称进行本地化, 以避免命名冲突或名字污染,n…