探索安全之道 | 企业漏洞管理:从理念到行动

如今,网络安全已经成为了企业管理中不可或缺的一部分,而漏洞管理则是网络安全的重中之重。那么企业应该如何做好漏洞管理呢?不妨从业界标准到企业实践来一探究竟!通过对业界标准的深入了解,企业可以建立起完善的漏洞管理体系,提高企业的网络安全水平。而在实践中,企业需要注重漏洞管理的全过程,包括漏洞的发现、评估、修复和验证。只有这样,才能让企业的网络安全更加可靠,让客户和用户放心使用企业的产品和服务。

1. 为什么组织需要漏洞管理

几乎所有的企业都在做漏洞管理,主要原因无外乎以下几点:

  • 在漏洞被攻击者利用之前识别并解决漏洞,从而提高产品或服务的安全性和质量;
  • 通过展示积极负责的漏洞管理方法,提高客户、合作伙伴和监管机构的信任度;
  • 通过最大限度地减少漏洞的影响和暴露,降低处理安全事件、漏洞和诉讼的成本和风险;
  • 遵守有关安全的法律法规要求,如《中华人民共和国网络安全法》、《信息安全技术 网络安全漏洞管理规范》;
  • 与安全和风险管理的最佳实践和框架保持一致,如 ISO/IEC 27001 或 NIST SP 800-53。

网络安全漏洞管理流程,来源:《信息安全技术 网络安全漏洞管理规范》

若对法律法规细节感兴趣,可以参阅如下法律法则文件(访问密码: 6277):

  • 信息安全技术 网络安全漏洞管理规范(GB/T 30276-2020).docx
  • 中华人民共和国网络安全法.docx
  • ISO IEC 27001-2022(共26页).pdf
  • ISO IEC 27001-2022中文版(共32页).pdf
  • NIST.SP.800-53r4(共563页).pdf

2. 业界标准

ISO/IEC 29147涉及组织和报告者之间的接口,而 ISO/IEC 30111 则涉及组织内部流程,包括漏洞的分类、调查和修复。ISO/IEC 29147应与ISO/IEC 30111结合使用。因此,两项标准需一并认证。

2.1. ISO/IEC 29147 漏洞披露

ISO/IEC 29147 是一项国际标准,为组织提供有关披露产品和服务漏洞的要求和建议。漏洞披露可帮助用户保护其系统和数据、优先考虑防御性投资并更好地评估风险。漏洞披露的目标是降低与利用漏洞相关的风险。当多个供应商受到影响时,协调一致的漏洞披露尤其重要。

2.2. ISO/IEC 30111 漏洞处理流程

ISO/IEC 30111是一项国际标准,提供了有关如何处理和修复产品或服务中报告的潜在漏洞的要求和建议,涉及报告的调查并确定优先级、开发、测试和部署补救措施以及改进安全开发等活动。

ISO/IEC 29147 VS ISO/IEC 30111

3. 企业实践

华为公司致力于提升华为产品的安全性,全力支持客户网络和业务的安全运营。华为公司重视产品开发和维护的漏洞管理,并遵循ISO/IEC 30111、ISO/IEC 29147等标准建立完整的漏洞处理流程,以提升产品安全性,确保在发现漏洞时及时响应。

在这里插入图片描述

  • 1、漏洞感知:接受和收集产品的疑似漏洞;
  • 2、验证&评估:确认疑似漏洞的有效性和影响范围;
  • 3、漏洞修补:制定并落实漏洞修补方案;
  • 4、漏洞修补信息发布:面向客户发布漏洞修补信息;
  • 5、闭环改进:结合客户意见和实践持续改进。

华为PSIRT全称为华为安全应急响应团队(Huawei Product Security Incident Response Team)。华为PSIRT是专职的团队,负责华为产品相关漏洞的接收、核查和披露。华为公司对外发布漏洞信息及修补方案采用如下三种形式:

  • 安全通告:SA(Security Advisory),安全通告包含漏洞严重等级、业务影响和修补方案等信息,用以传递漏洞修补方案。安全通告(SA)用于发布华为产品直接相关的严重(Critical)和高(High)等级的漏洞信息及修补方案。安全通告(SA)提供下载通用漏洞报告框架(CVRF)内容的选项,旨在以机器可读格式(XML文件)描述漏洞信息,以支持受影响客户的工具使用;

    若想了解更多关于CVRF的信息,可以参阅博主文章《「 网络安全常用术语解读 」通用漏洞报告框架CVRF详解》

  • 安全公告:SN(Security Notice),安全公告包含对产品公开安全话题的回应(含漏洞和非漏洞相关话题)。安全公告(SN)用于发布SSR评估为信息类(Informational)的问题相关信息,如公共论坛(如博客或讨论列表)中讨论的信息。同时,对有可能引起公众对华为产品版本中漏洞的广泛关注或华为公司已经观察到漏洞活跃利用等特殊场景下,安全公告(SN)也作为一种回应方式,以便相关客户了解华为公司对此漏洞的响应进展。【用以快速回应公众即曝光或已经曝光的疑似漏洞或产品安全话题,通常类似于媒体发言稿,可以不包含修补计划】;

  • 版本/补丁说明书:RN(Release Note),版本/补丁说明书包含已修补的漏洞信息。作为产品版本/补丁发布的配套交付件的一部分,用于说明SSR评估为中(Medium)和低(Low)等级的漏洞。为方便客户从版本/补丁视角,综合评估版本/补丁的漏洞风险,版本/补丁说明书(RN)中也包含通过安全通告(SA)发布的漏洞信息及修补方案。对于私有云场景,华为公司在云服务产品的版本文档包含。对于终端场景,华为公司在例行补丁公告中包含。

4. 标准认证

若企业通过了ISO/IEC 29147 与 ISO/IEC 30111认证,则可说明企业:

  • 意味着组织已实施了标准化的漏洞披露与处理流程。该流程涵盖软件产品或系统漏洞的识别、分析、解决和披露。通过遵循这一流程,组织可以证明其对安全、质量和客户满意度的承诺。
  • 可以降低网络攻击、法律责任和声誉受损的风险。此外,通过ISO/IEC 29147及 ISO/IEC 30111 认证还能帮助组织改善内部沟通、协作以及参与漏洞处理的不同利益相关者之间的协调。它还能促进与外部各方(如供应商、研究人员和客户)的信息和最佳实践交流。

5. 参考链接

  • https://www.dnv.com/cn/services/page-248653
  • https://www.huawei.com/cn/psirt/vul-response-process?from=groupmessage

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/672277.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

算法每日一题(python,2024.05.28) day.10

题目来源(力扣. - 力扣(LeetCode),中等) 解题思路: 辅助数组 找规律,设旋转前某点matrix[i][j],则旋转后改点变为matrix[j][n-1-i](n为len(matr…

LLVM后端__llc中值定义信息的查询方法示例

关于LiveIntervals pass中相关数据结构的含义,在寄存器分配前置分析(5.1) - LiveInterval这篇博客中已经做了清晰的讲解,此处不再赘述,本文主要讲解值定义信息VNInfo的使用方法和注意事项。 1. VNInfo含义 在LLVM的源码中,VNInf…

!力扣 108. 将有序数组转换为二叉搜索树

给你一个整数数组 nums ,其中元素已经按升序排列,请你将其转换为一棵 平衡二叉搜索树。 示例 1: 输入:nums [-10,-3,0,5,9] 输出:[0,-3,9,-10,null,5] 解释:[0,-10,5,null,-3,null,9] 也将被视为正确答案…

Java——异常

1.什么是异常 将程序执行过程中发生的不正常行为称为异常。 常见的异常有:算数异常,空指针异常,数组越界异常 每一种异常都有对应的类对齐描述 为了对每一种异常进行管理,Java内部实现了一个对异常的体系结构 1. Throwable&#x…

HNCTF2022 REVERSE

[HNCTF 2022 WEEK2]esy_flower 简单花指令 Nop掉 然后整段u c p然后就反汇编 可能反编译的不太对&#xff0c;&#xff0c;看了别人的wp就是ida反编译的有问题 #include<stdio.h> #include<string.h> int main() {int i,j;char ch[]"c~scvdzKCEoDEZ[^roDICU…

Unity协程详解

什么是协程 协程&#xff0c;即Coroutine&#xff08;协同程序&#xff09;&#xff0c;就是开启一段和主程序异步执行的逻辑处理&#xff0c;什么是异步执行&#xff0c;异步执行是指程序的执行并不是按照从上往下执行。如果我们学过c语言&#xff0c;我们应该知道&#xff0…

node-sass和sass-loader安装Error经验

一、问题 当前笔记本环境版本&#xff1a;node-v16.15.1&#xff1b;npm-8.11.0&#xff0c;在面对五年前vue项目的依赖sass-loader8.0.2&#xff0c;node-sass4.14.1的情况下&#xff0c;怎么参考大神们的安装教程&#xff0c;始终存在Error&#xff0c;经过坚持不懈的努力&a…

list的简单模拟实现

文章目录 目录 文章目录 前言 一、使用list时的注意事项 1.list不支持std库中的sort排序 2.去重操作 3.splice拼接 二、list的接口实现 1.源码中的节点 2.源码中的构造函数 3.哨兵位头节点 4.尾插和头插 5.迭代器* 5.1 迭代器中的operator和-- 5.2其他迭代器中的接口 5.3迭代器…

Nginx源码编译安装

Nginx NginxNginx的特点Nginx的使用场景Nginx 有哪些进程 使用源码编译安装Nginx准备工作安装依赖包编译安装Nginx检查、启动、重启、停止 nginx服务配置 Nginx 系统服务方法一&#xff1a;方法二&#xff1a; 访问Nginx页面 升级Nginx准备工作编译安装新版本Nginx验证 Nginx N…

顶底背离的终极猜想和运用

这几天圈内都在传底蓓离什么的。作为严肃的量化自媒体&#xff0c;我们就不跟着吃这波瓜了。不过&#xff0c;我一直很关注技术指标的顶背离和底背离&#xff0c;一直在追问它的成因如何&#xff0c;以及如何预测。 底蓓离把我目光再次吸引到这个领域来&#xff0c;于是突然有…

Kubernetes-使用集群CA证书给用户颁发客户端证书访问Api-Server

一、官网地址 证书和证书签名请求 | Kubernetes 二、Demo 一、创建测试文件夹 cd ~ mkdir add_k8s_user_demo cd add_k8s_user_demo 二、创建符合X509标准的证书 openssl genrsa -out myuser.key 2048 openssl req -new -key myuser.key -out myuser.csr -subj "/CNmy…

【30天精通Prometheus:一站式监控实战指南】第14天:jmx_exporter从入门到实战:安装、配置详解与生产环境搭建指南,超详细

亲爱的读者们&#x1f44b;   欢迎加入【30天精通Prometheus】专栏&#xff01;&#x1f4da; 在这里&#xff0c;我们将探索Prometheus的强大功能&#xff0c;并将其应用于实际监控中。这个专栏都将为你提供宝贵的实战经验。&#x1f680;   Prometheus是云原生和DevOps的…

mybatis增删改查模板设置及设置调用

mybatis增删改查模板设置 系统配置文件完成以及连接好数据之后&#xff0c;就可以用这个mybatis了&#xff0c;首先写这个数据库的增删改查模板StashMapper.xml&#xff0c;这个东西是要放在DAO层中的奥&#xff0c;切记。 1.编写mybatis对应数据库的增删改查模板 在我的Sta…

[Qt学习笔记]Qtxlsx在Qt下的配置和调用

背景分析 Qt操作Excel文件一般有QAxObject和QtXlsx两种方法&#xff0c;前者需要调用wps或office组件进行读写操作&#xff0c;具有一定的局限性&#xff0c;下面列出两种方法的优缺点对比 QAxObject&#xff1a; 优点&#xff1a;支持xls和xlsx等版本。office组件读写速度快&…

面试题:useEffect的Clean Up 什么时候触发?

​ useEffect作为做常用的Hook&#xff0c;以下三个知识点你有必要了解下~ 防止写出奇怪的代码祸害队友&#xff0c;而我不幸就是这个受害者&#xff01;&#xff01;&#xff01;&#xff01;&#xff01; useEffect的依赖项为空 useEffect的dependencyList作为一个可选参数…

LLaMA-Factory推理实践

运行成功的记录 平台&#xff1a;带有GPU的服务器 运行的命令 git clone https://github.com/hiyouga/LLaMA-Factory.git cd LLaMA-Factory/ conda create -n py310 python3.10 conda activate py310由于服务器不能直接从huggingface上下载Qwen1.5-0.5B&#xff0c;但本地可…

轻松拿捏C语言——【文件操作】

&#x1f970;欢迎关注 轻松拿捏C语言系列&#xff0c;来和 小哇 一起进步&#xff01;✊ &#x1f389;创作不易&#xff0c;请多多支持&#x1f389; &#x1f308;感谢大家的阅读、点赞、收藏和关注&#x1f495; &#x1f339;如有问题&#xff0c;欢迎指正 目录 &#x1f…

Python高阶学习记录

文章导读 阅读本文需要一定的python基础&#xff0c;部分知识点是对python入门篇学习记录和python并发编程学习记录的深入探究&#xff0c;本文记录的Python知识点包括函数式编程&#xff0c;装饰器&#xff0c;生成器&#xff0c;迭代器&#xff0c;正则表达式&#xff0c;内存…

HTML蓝色爱心

目录 写在前面 HTML入门 完整代码 代码分析 运行结果 系列推荐 写在后面 写在前面 最近好冷吖&#xff0c;小编给大家准备了一个超级炫酷的爱心&#xff0c;一起来看看吧&#xff01; HTML入门 HTML全称为HyperText Markup Language&#xff0c;是一种标记语言&#…

最小时间差

首先可以想到&#xff0c;可以计算出任意两个时间之间的差值&#xff0c;然后比较出最小的&#xff0c;不过这种蛮力方法时间复杂度是O(n^2)。而先将时间列表排序&#xff0c;再计算相邻两个时间的差值&#xff0c;就只需要计算n个差值&#xff0c;而排序阶段时间复杂度通常为O…