当前位置：首页 > news >正文

探索安全之道 | 企业漏洞管理：从理念到行动

news 2025/7/7 22:35:37

如今，网络安全已经成为了企业管理中不可或缺的一部分，而漏洞管理则是网络安全的重中之重。那么企业应该如何做好漏洞管理呢？不妨从业界标准到企业实践来一探究竟！通过对业界标准的深入了解，企业可以建立起完善的漏洞管理体系，提高企业的网络安全水平。而在实践中，企业需要注重漏洞管理的全过程，包括漏洞的发现、评估、修复和验证。只有这样，才能让企业的网络安全更加可靠，让客户和用户放心使用企业的产品和服务。

1. 为什么组织需要漏洞管理

几乎所有的企业都在做漏洞管理，主要原因无外乎以下几点：

在漏洞被攻击者利用之前识别并解决漏洞，从而提高产品或服务的安全性和质量；
通过展示积极负责的漏洞管理方法，提高客户、合作伙伴和监管机构的信任度；
通过最大限度地减少漏洞的影响和暴露，降低处理安全事件、漏洞和诉讼的成本和风险；
遵守有关安全的法律法规要求，如《中华人民共和国网络安全法》、《信息安全技术网络安全漏洞管理规范》；
与安全和风险管理的最佳实践和框架保持一致，如 ISO/IEC 27001 或 NIST SP 800-53。

网络安全漏洞管理流程，来源：《信息安全技术网络安全漏洞管理规范》

若对法律法规细节感兴趣，可以参阅如下法律法则文件(访问密码: 6277)：

信息安全技术网络安全漏洞管理规范（GB/T 30276-2020）.docx
中华人民共和国网络安全法.docx
ISO IEC 27001-2022(共26页).pdf
ISO IEC 27001-2022中文版(共32页).pdf
NIST.SP.800-53r4(共563页).pdf

2. 业界标准

ISO/IEC 29147涉及组织和报告者之间的接口，而 ISO/IEC 30111 则涉及组织内部流程，包括漏洞的分类、调查和修复。ISO/IEC 29147应与ISO/IEC 30111结合使用。因此，两项标准需一并认证。

2.1. ISO/IEC 29147 漏洞披露

ISO/IEC 29147 是一项国际标准，为组织提供有关披露产品和服务漏洞的要求和建议。漏洞披露可帮助用户保护其系统和数据、优先考虑防御性投资并更好地评估风险。漏洞披露的目标是降低与利用漏洞相关的风险。当多个供应商受到影响时，协调一致的漏洞披露尤其重要。

2.2. ISO/IEC 30111 漏洞处理流程

ISO/IEC 30111是一项国际标准，提供了有关如何处理和修复产品或服务中报告的潜在漏洞的要求和建议，涉及报告的调查并确定优先级、开发、测试和部署补救措施以及改进安全开发等活动。

ISO/IEC 29147 VS ISO/IEC 30111

3. 企业实践

华为公司致力于提升华为产品的安全性，全力支持客户网络和业务的安全运营。华为公司重视产品开发和维护的漏洞管理，并遵循ISO/IEC 30111、ISO/IEC 29147等标准建立完整的漏洞处理流程，以提升产品安全性，确保在发现漏洞时及时响应。

在这里插入图片描述

1、漏洞感知：接受和收集产品的疑似漏洞；
2、验证&评估：确认疑似漏洞的有效性和影响范围；
3、漏洞修补：制定并落实漏洞修补方案；
4、漏洞修补信息发布：面向客户发布漏洞修补信息；
5、闭环改进：结合客户意见和实践持续改进。

华为PSIRT全称为华为安全应急响应团队（Huawei Product Security Incident Response Team）。华为PSIRT是专职的团队，负责华为产品相关漏洞的接收、核查和披露。华为公司对外发布漏洞信息及修补方案采用如下三种形式：

安全通告：SA（Security Advisory)，安全通告包含漏洞严重等级、业务影响和修补方案等信息，用以传递漏洞修补方案。安全通告（SA）用于发布华为产品直接相关的严重（Critical）和高（High）等级的漏洞信息及修补方案。安全通告（SA）提供下载通用漏洞报告框架（CVRF）内容的选项，旨在以机器可读格式（XML文件）描述漏洞信息，以支持受影响客户的工具使用；

若想了解更多关于CVRF的信息，可以参阅博主文章《「网络安全常用术语解读」通用漏洞报告框架CVRF详解》
安全公告：SN（Security Notice），安全公告包含对产品公开安全话题的回应（含漏洞和非漏洞相关话题）。安全公告（SN）用于发布SSR评估为信息类（Informational）的问题相关信息，如公共论坛（如博客或讨论列表）中讨论的信息。同时，对有可能引起公众对华为产品版本中漏洞的广泛关注或华为公司已经观察到漏洞活跃利用等特殊场景下，安全公告（SN）也作为一种回应方式，以便相关客户了解华为公司对此漏洞的响应进展。【用以快速回应公众即曝光或已经曝光的疑似漏洞或产品安全话题，通常类似于媒体发言稿，可以不包含修补计划】；
版本/补丁说明书：RN（Release Note），版本/补丁说明书包含已修补的漏洞信息。作为产品版本/补丁发布的配套交付件的一部分，用于说明SSR评估为中（Medium）和低（Low）等级的漏洞。为方便客户从版本/补丁视角，综合评估版本/补丁的漏洞风险，版本/补丁说明书（RN）中也包含通过安全通告（SA）发布的漏洞信息及修补方案。对于私有云场景，华为公司在云服务产品的版本文档包含。对于终端场景，华为公司在例行补丁公告中包含。

4. 标准认证

若企业通过了ISO/IEC 29147 与 ISO/IEC 30111认证，则可说明企业：

意味着组织已实施了标准化的漏洞披露与处理流程。该流程涵盖软件产品或系统漏洞的识别、分析、解决和披露。通过遵循这一流程，组织可以证明其对安全、质量和客户满意度的承诺。
可以降低网络攻击、法律责任和声誉受损的风险。此外，通过ISO/IEC 29147及 ISO/IEC 30111 认证还能帮助组织改善内部沟通、协作以及参与漏洞处理的不同利益相关者之间的协调。它还能促进与外部各方（如供应商、研究人员和客户）的信息和最佳实践交流。

5. 参考链接

https://www.dnv.com/cn/services/page-248653
https://www.huawei.com/cn/psirt/vul-response-process?from=groupmessage

在这里插入图片描述

探索安全之道 | 企业漏洞管理：从理念到行动

1. 为什么组织需要漏洞管理

2. 业界标准

2.1. ISO/IEC 29147 漏洞披露

2.2. ISO/IEC 30111 漏洞处理流程

3. 企业实践

4. 标准认证

5. 参考链接

相关文章：

探索安全之道 | 企业漏洞管理：从理念到行动

【记录贴：分布式系列文章】

初识SDN（二）

某红书旋转滑块验证码分析与协议算法实现（高通过率）

Gin的快速入门和搭建

react-native运行程序出现 Application XXX is waiting for the debugger

什么文档加密软件好用？迅软DSE加密软件你不会还不知道吧？

【kubernetes】关于k8s集群的污点、容忍、驱逐以及k8s集群故障排查思路

linux进程加载和启动过程分析

WLAN组网模型探究

操作系统基础知识

Kompas AI：智能生活的开启者

Java——二进制原码、反码和补码

git使用流程

C++设计模式|结构型代理模式

C语言带头双向循环链表的基本操作

MATLAB中扩展卡尔曼滤波误差估计的关键点

SpringBoot温习

Spring Cloud：构建高可用分布式系统的利器

IT技术 | 电脑蓝屏修复记录DRIVER_IRQL_NOT_LESS_OR_EQUAL

【网络】每天掌握一个Linux命令 - iftop

Flask RESTful 示例

iOS 26 携众系统重磅更新，但“苹果智能”仍与国行无缘

UE5 学习系列（三）创建和移动物体

测试markdown--肇兴

WordPress插件：AI多语言写作与智能配图、免费AI模型、SEO文章生成

安卓基础（aar）

纯 Java 项目（非 SpringBoot）集成 Mybatis-Plus 和 Mybatis-Plus-Join

LLaMA-Factory 微调 Qwen2-VL 进行人脸情感识别（二）

消防一体化安全管控平台：构建消防“一张图”和APP统一管理