科技云報(bào)道原創(chuàng)。

近日，《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》的出臺引起了業(yè)界的熱議，《規(guī)定》對網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、報(bào)告、修補(bǔ)和發(fā)布等行為進(jìn)行規(guī)范，以防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

那么，針對漏洞管理，企業(yè)應(yīng)當(dāng)如何做好漏洞及安全風(fēng)險(xiǎn)評估工作呢？很多企業(yè)直到成為網(wǎng)絡(luò)攻擊的受害者，方知網(wǎng)絡(luò)安全的重要性，但已為時(shí)已晚，危害已經(jīng)產(chǎn)生。那么在此之前，企業(yè)能夠做哪些工作才能避免此類安全問題的再次發(fā)生？

當(dāng)然，企業(yè)能夠做的工作有很多，其中針對各類設(shè)備的漏洞管理，評估設(shè)備的安全狀況是保護(hù)企業(yè)數(shù)據(jù)和網(wǎng)絡(luò)安全的重要部分。

漏洞管理有了制度約束

近日，為了規(guī)范網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、報(bào)告、修補(bǔ)和發(fā)布等行為，防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，對在我國的網(wǎng)絡(luò)產(chǎn)品（含硬件、軟件）提供者和網(wǎng)絡(luò)運(yùn)營者，以及從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集、發(fā)布等活動的組織或者個(gè)人進(jìn)行了制度約束。

《規(guī)定》自2021年9月1日起施行。《規(guī)定》的發(fā)布在網(wǎng)絡(luò)安全界引起了廣泛關(guān)注和熱議，相關(guān)專家表示《規(guī)定》對于維護(hù)國家網(wǎng)絡(luò)安全，保護(hù)網(wǎng)絡(luò)產(chǎn)品和重要網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行，具有重大意義。

奇安信集團(tuán)副總裁、補(bǔ)天漏洞響應(yīng)平臺主任張卓認(rèn)為，《規(guī)定》釋放了一個(gè)重要信號：我國將首次以產(chǎn)品視角來管理漏洞，通過對網(wǎng)絡(luò)產(chǎn)品漏洞的收集、研判、追蹤、溯源，立足于供應(yīng)鏈全鏈條，對網(wǎng)絡(luò)產(chǎn)品進(jìn)行全周期的漏洞風(fēng)險(xiǎn)跟蹤。

廠商和運(yùn)營者不能隱瞞漏洞、拒絕漏洞、否認(rèn)漏洞，必須要積極承認(rèn)、積極通報(bào)、積極報(bào)告、積極修復(fù)和處理、積極通知生態(tài)環(huán)境。

廠商要積極開通接受漏洞信息的渠道、留存信息、確保及時(shí)修復(fù)、及時(shí)評估通知上下游、及時(shí)向官方通報(bào)、及時(shí)升級通報(bào)技術(shù)問題等。

網(wǎng)絡(luò)產(chǎn)品安全漏洞管理有了制度的規(guī)范，不管是網(wǎng)絡(luò)產(chǎn)品的提供者和網(wǎng)絡(luò)運(yùn)營者，或是從事網(wǎng)絡(luò)產(chǎn)品安全漏洞活動的組織或者個(gè)人，對于其他企業(yè)來說，針對漏洞的管理，做好漏洞評估，也是防范安全風(fēng)險(xiǎn)的重要手段。

針對漏洞評估 企業(yè)能做什么？

對于企業(yè)而言，及時(shí)發(fā)現(xiàn)自身設(shè)備及網(wǎng)絡(luò)的安全漏洞，是進(jìn)行安全防護(hù)的重要前提。 設(shè)備及系統(tǒng)日志、操作更改和攻擊報(bào)告數(shù)據(jù)等信息通常能夠顯示出安全威脅的蛛絲馬跡，同時(shí)也能夠?yàn)槁┒垂芾砗托迯?fù)提供一些線索。

當(dāng)然，與其被動響應(yīng)，不如尋找更為主動的方法。比如定期對網(wǎng)絡(luò)設(shè)備和服務(wù)進(jìn)行漏洞評估，以獲取有關(guān)潛在的問題、嚴(yán)重程度，以及需要采取的措施。

但需要悉知，有些工作并不只是企業(yè)自己的事情，還涉及其他上下游供應(yīng)商或合作伙伴等，因此在進(jìn)行一些安全操作或滲透測試工作之前，可能會產(chǎn)生關(guān)于財(cái)務(wù)、合規(guī)等方面的影響，需要與企業(yè)的各個(gè)利益相關(guān)者進(jìn)行協(xié)商。

以下措施或許能夠幫助到進(jìn)行漏洞評估的企業(yè)。

1.與利益相關(guān)者溝通

在進(jìn)行漏洞評估時(shí)，很多人認(rèn)為掃描過程是其中最重要的部分，但有時(shí)并非如此。與利益相關(guān)者進(jìn)行及時(shí)有效的溝通協(xié)商也是關(guān)鍵。利益相關(guān)者不僅包括上下游供應(yīng)鏈及合作伙伴，還包括企業(yè)內(nèi)部諸如管理者、IT 部門成員，甚至是人力資源部門等。

2.確定安全評估的范圍和規(guī)模

在確定了利益相關(guān)者之后，所有成員必須通過協(xié)作確定安全評估的范圍和規(guī)模，包括設(shè)備、網(wǎng)絡(luò)、服務(wù)或其他。此外，在漏洞掃描時(shí)，需要確定掃描的內(nèi)容、時(shí)間和方式，包括有關(guān)何時(shí)應(yīng)進(jìn)行掃描的信息以及要排除的資產(chǎn)，因?yàn)檫@些評估工作有可能會影響到其他網(wǎng)絡(luò)和資源的正常使用，應(yīng)盡量減少負(fù)面影響，并保持業(yè)務(wù)連續(xù)性。

3.收集目標(biāo)信息

在規(guī)則建立和范圍確定后，確定滲透測試類型——白盒、灰盒或黑盒測試。如果還沒有得到任何安全信息，不妨從信息收集階段開始，使用專業(yè)安全工具對運(yùn)行的設(shè)備、網(wǎng)絡(luò)和端口執(zhí)行掃描，繪制測試環(huán)境的圖景，以深入了解目標(biāo)設(shè)備上運(yùn)行的應(yīng)用和服務(wù)。

4.進(jìn)行評估

針對漏洞評估，使用什么工具，如何配置它們以及如何執(zhí)行評估過程因人而異。因此，根據(jù)規(guī)則來配置工具非常重要。此外，還應(yīng)當(dāng)避免因主動配置掃描操作可能對系統(tǒng)造成的損害。

5. 關(guān)聯(lián)數(shù)據(jù)

各種安全工具種類繁多，產(chǎn)生的安全數(shù)據(jù)也浩如煙海，如果不能將這些數(shù)據(jù)相關(guān)聯(lián)到一起，那么將沒有任何意義。關(guān)聯(lián)安全數(shù)據(jù)有助于更為清晰地識別哪些是最重要的威脅。 但在關(guān)聯(lián)數(shù)據(jù)并形成安全報(bào)告之前，不要過早地將它們分享給利益相關(guān)者，必須對測試結(jié)果進(jìn)行驗(yàn)證并確認(rèn)為正確后方可。

應(yīng)根據(jù)目標(biāo)受眾來確定安全報(bào)告的分級分層。例如，針對企業(yè)高層管理人員，需要形成基于優(yōu)先級項(xiàng)目的摘要視圖，從高威脅類別項(xiàng)目開始。

而針對IT 和安全專業(yè)人員，需要形成更詳細(xì)的安全報(bào)告，包括受影響系統(tǒng)以及具體的安全措施。

6.根據(jù)報(bào)告數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)評估

在評估、驗(yàn)證并生成報(bào)告后，企業(yè)應(yīng)會同利益相關(guān)者對存在漏洞的設(shè)備進(jìn)行風(fēng)險(xiǎn)評估，確定解決問題的方式（緩解），哪些受影響的設(shè)備可以正常運(yùn)行（隔離），哪些需要立即停止運(yùn)行（阻斷），或?qū)嵤┑谌桨踩鉀Q方案來替換現(xiàn)有解決方案（轉(zhuǎn)移）。

每個(gè)系統(tǒng)都應(yīng)當(dāng)有針對性的一套威脅評估方法。同樣，為了最大限度地降低風(fēng)險(xiǎn)并優(yōu)化響應(yīng)時(shí)間，應(yīng)制定明確的行動計(jì)劃，并詳細(xì)說明快速有效地解決評估項(xiàng)目并確保設(shè)備安全的步驟。

7.實(shí)施修復(fù)

在完成評估并形成報(bào)告后，現(xiàn)在可以開始針對報(bào)告結(jié)果進(jìn)行補(bǔ)救措施。應(yīng)首先解決高優(yōu)先級威脅，然后是中優(yōu)先級威脅，最后是低優(yōu)先級威脅。在補(bǔ)救環(huán)節(jié)，應(yīng)非常小心地驗(yàn)證漏洞是否得到解決。可以通過重新運(yùn)行軟件，或者再次執(zhí)行測試操作來進(jìn)行確認(rèn)，還要評估是否可能出現(xiàn)遺留問題或其他問題。

8.形成定期的制度

漏洞評估應(yīng)作為企業(yè)的一項(xiàng)持續(xù)性工作而定期開展，重點(diǎn)是為企業(yè)高級別的網(wǎng)絡(luò)設(shè)備和服務(wù)的安全狀態(tài)。

必要時(shí)還需要上升到企業(yè)戰(zhàn)略層面，專門制定安全評估政策，以確保評估工作的正常開展。

以上措施只是參考。隨著更多安全法律法規(guī)以及行業(yè)性規(guī)范的出臺，安全合規(guī)正成為企業(yè)發(fā)展的重大挑戰(zhàn)。網(wǎng)絡(luò)安全上升到國家戰(zhàn)略層面的同時(shí)，企業(yè)也是時(shí)候?qū)⒕W(wǎng)絡(luò)安全上升到企業(yè)發(fā)展戰(zhàn)略層面。重視漏洞管理，做好漏洞評估，將為企業(yè)網(wǎng)絡(luò)安全建設(shè)帶來事半功倍的效果。

來源：科技云報(bào)道

生成海報(bào)

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個(gè)人觀點(diǎn)，與極客網(wǎng)無關(guān)。文章僅供讀者參考，并請自行核實(shí)相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。