探索安全之道 | 企业漏洞管理:从理念到行动
如今,网络安全已经成为了企业管理中不可或缺的一部分,而漏洞管理则是网络安全的重中之重。那么企业应该如何做好漏洞管理呢?不妨从业界标准到企业实践来一探究竟!通过对业界标准的深入了解,企业可以建立起完善的漏洞管理体系,提高企业的网络安全水平。而在实践中,企业需要注重漏洞管理的全过程,包括漏洞的发现、评估、修复和验证。只有这样,才能让企业的网络安全更加可靠,让客户和用户放心使用企业的产品和服务。
1. 为什么组织需要漏洞管理
几乎所有的企业都在做漏洞管理,主要原因无外乎以下几点:
- 在漏洞被攻击者利用之前识别并解决漏洞,从而提高产品或服务的安全性和质量;
- 通过展示积极负责的漏洞管理方法,提高客户、合作伙伴和监管机构的信任度;
- 通过最大限度地减少漏洞的影响和暴露,降低处理安全事件、漏洞和诉讼的成本和风险;
- 遵守有关安全的法律法规要求,如《中华人民共和国网络安全法》、《信息安全技术 网络安全漏洞管理规范》;
- 与安全和风险管理的最佳实践和框架保持一致,如 ISO/IEC 27001 或 NIST SP 800-53。
若对法律法规细节感兴趣,可以参阅如下法律法则文件(访问密码: 6277):
- 信息安全技术 网络安全漏洞管理规范(GB/T 30276-2020).docx
- 中华人民共和国网络安全法.docx
- ISO IEC 27001-2022(共26页).pdf
- ISO IEC 27001-2022中文版(共32页).pdf
- NIST.SP.800-53r4(共563页).pdf
2. 业界标准
ISO/IEC 29147涉及组织和报告者之间的接口,而 ISO/IEC 30111 则涉及组织内部流程,包括漏洞的分类、调查和修复。ISO/IEC 29147应与ISO/IEC 30111结合使用。因此,两项标准需一并认证。
2.1. ISO/IEC 29147 漏洞披露
ISO/IEC 29147 是一项国际标准,为组织提供有关披露产品和服务漏洞的要求和建议。漏洞披露可帮助用户保护其系统和数据、优先考虑防御性投资并更好地评估风险。漏洞披露的目标是降低与利用漏洞相关的风险。当多个供应商受到影响时,协调一致的漏洞披露尤其重要。
2.2. ISO/IEC 30111 漏洞处理流程
ISO/IEC 30111是一项国际标准,提供了有关如何处理和修复产品或服务中报告的潜在漏洞的要求和建议,涉及报告的调查并确定优先级、开发、测试和部署补救措施以及改进安全开发等活动。
3. 企业实践
华为公司致力于提升华为产品的安全性,全力支持客户网络和业务的安全运营。华为公司重视产品开发和维护的漏洞管理,并遵循ISO/IEC 30111、ISO/IEC 29147等标准建立完整的漏洞处理流程,以提升产品安全性,确保在发现漏洞时及时响应。
- 1、漏洞感知:接受和收集产品的疑似漏洞;
- 2、验证&评估:确认疑似漏洞的有效性和影响范围;
- 3、漏洞修补:制定并落实漏洞修补方案;
- 4、漏洞修补信息发布:面向客户发布漏洞修补信息;
- 5、闭环改进:结合客户意见和实践持续改进。
华为PSIRT全称为华为安全应急响应团队(Huawei Product Security Incident Response Team)。华为PSIRT是专职的团队,负责华为产品相关漏洞的接收、核查和披露。华为公司对外发布漏洞信息及修补方案采用如下三种形式:
-
安全通告:SA(Security Advisory),安全通告包含漏洞严重等级、业务影响和修补方案等信息,用以传递漏洞修补方案。安全通告(SA)用于发布华为产品直接相关的严重(Critical)和高(High)等级的漏洞信息及修补方案。安全通告(SA)提供下载通用漏洞报告框架(CVRF)内容的选项,旨在以机器可读格式(XML文件)描述漏洞信息,以支持受影响客户的工具使用;
若想了解更多关于CVRF的信息,可以参阅博主文章《「 网络安全常用术语解读 」通用漏洞报告框架CVRF详解》
-
安全公告:SN(Security Notice),安全公告包含对产品公开安全话题的回应(含漏洞和非漏洞相关话题)。安全公告(SN)用于发布SSR评估为信息类(Informational)的问题相关信息,如公共论坛(如博客或讨论列表)中讨论的信息。同时,对有可能引起公众对华为产品版本中漏洞的广泛关注或华为公司已经观察到漏洞活跃利用等特殊场景下,安全公告(SN)也作为一种回应方式,以便相关客户了解华为公司对此漏洞的响应进展。【用以快速回应公众即曝光或已经曝光的疑似漏洞或产品安全话题,通常类似于媒体发言稿,可以不包含修补计划】;
-
版本/补丁说明书:RN(Release Note),版本/补丁说明书包含已修补的漏洞信息。作为产品版本/补丁发布的配套交付件的一部分,用于说明SSR评估为中(Medium)和低(Low)等级的漏洞。为方便客户从版本/补丁视角,综合评估版本/补丁的漏洞风险,版本/补丁说明书(RN)中也包含通过安全通告(SA)发布的漏洞信息及修补方案。对于私有云场景,华为公司在云服务产品的版本文档包含。对于终端场景,华为公司在例行补丁公告中包含。
4. 标准认证
若企业通过了ISO/IEC 29147 与 ISO/IEC 30111认证,则可说明企业:
- 意味着组织已实施了标准化的漏洞披露与处理流程。该流程涵盖软件产品或系统漏洞的识别、分析、解决和披露。通过遵循这一流程,组织可以证明其对安全、质量和客户满意度的承诺。
- 可以降低网络攻击、法律责任和声誉受损的风险。此外,通过ISO/IEC 29147及 ISO/IEC 30111 认证还能帮助组织改善内部沟通、协作以及参与漏洞处理的不同利益相关者之间的协调。它还能促进与外部各方(如供应商、研究人员和客户)的信息和最佳实践交流。
5. 参考链接
- https://www.dnv.com/cn/services/page-248653
- https://www.huawei.com/cn/psirt/vul-response-process?from=groupmessage
相关文章:
探索安全之道 | 企业漏洞管理:从理念到行动
如今,网络安全已经成为了企业管理中不可或缺的一部分,而漏洞管理则是网络安全的重中之重。那么企业应该如何做好漏洞管理呢?不妨从业界标准到企业实践来一探究竟!通过对业界标准的深入了解,企业可以建立起完善的漏洞管…...
【记录贴:分布式系列文章】
分布式系列文章目录 文章目录 分布式系列文章目录前言一、Redisq1.怎么判断是否命中缓存1. MySQL数据库如何检查询查缓存是否命中链接2.如何判断redis是否命中缓存链接 q2.Redis缓存穿透、雪崩、击穿以及分布式锁和本地锁 二、分布式q1.分布式订单号生成策略q2.接口幂等性,防止…...
)
初识SDN(二)
初识SDN(二) SDN部分实现 REST API 是什么? REST API(Representational State Transfer Application Programming Interface,表述性状态传递应用程序接口)是一种基于HTTP协议的接口,广泛用于…...
某红书旋转滑块验证码分析与协议算法实现(高通过率)
文章目录 1. 写在前面2. 接口分析3. 验证轨迹4. 算法还原 【🏠作者主页】:吴秋霖 【💼作者介绍】:擅长爬虫与JS加密逆向分析!Python领域优质创作者、CSDN博客专家、阿里云博客专家、华为云享专家。一路走来长期坚守并致…...
Gin的快速入门和搭建
文章目录 Go的工程工程架构技术选型 Gin入门 Go的工程 基于Go生态,构建一个支持内容管理,内容加工、内容分发的内容库系统。 内容管理:增删改查内容加工:例如内容审核、推荐等内容分发:将内容可以推到不同的业务线 …...
react-native运行程序 出现 Application XXX is waiting for the debugger
1.重启adb: adb kill-server、 adb start-server. 2、确定USB调试模式是否开启,如果已经开启了,关闭了重新打开一下 3.选择调试模式并关闭等待调试程序...
什么文档加密软件好用?迅软DSE加密软件你不会还不知道吧?
一、什么文档加密软件好用? 其中有迅软DSE文档加密软件等。 迅软DSE加密软件:让企业的创意成果、招投标文件、生产工艺、流程配方、研发成果、公司计划、员工信息等核心数据更安全。 多方面加密模式,有效防止数据泄密 透明无感知加密&…...
【kubernetes】关于k8s集群的污点、容忍、驱逐以及k8s集群故障排查思路
目录 一、污点(Taint) 1.1污点介绍 1.2污点的组成格式 1.3当前 taint effect 支持如下三个选项: 1.4污点的增删改查 1.4.1验证污点的作用——NoExecute 1.4.2验证污点的作用——NoSchedule 1.4.3 验证污点的作用——PreferNoSchedule 1.5污点的配置与管理…...
linux进程加载和启动过程分析
我们的源代码通过预处理,编译,汇编,链接后形成可执行文件,那么当我们在终端敲下指令$ ./a.out argv1 argv2 后,操作系统是怎么将我们的可执行文件加载并运行的呢? 首先知道,计算机的操作系统的启动程序是写死在硬件上的,每次计算机上电时,都将自动加载启动程序,之后…...
WLAN组网模型探究
目录 一、WLAN基本概念二、WLAN组网方式三、WLAN转发模型 随着信息技术的飞速发展,无线局域网(WLAN)已逐渐成为企业网络架构中不可或缺的一部分。不同的企业组织因其业务特性、规模大小及安全需求的不同,对WLAN的要求也各有侧重。…...
操作系统基础知识
一. 进程 进程是正在运行中的程序,是动态的 进程是资源分配的最小单位 进程的基本特征:动态性,并发性,独立性,异步性 二. 线程 线程在执行过程中的每一个任务就是一个线程 进程是由一个或多个线程组成࿰…...
Kompas AI:智能生活的开启者
引言 在现代社会,**人工智能(AI)**已经深刻地影响了我们的生活和工作。无论是智能家居、自动驾驶,还是医疗诊断,AI的应用无处不在。而在众多AI平台中,Kompas AI 作为一个先进的对话式AI平台,通过…...
Java——二进制原码、反码和补码
一、简要介绍 原码、反码和补码只是三种二进制不同的表示形式,每个二进制数都有这三个形式。 1、原码 原码是将一个数的符号位和数值位分别表示的方法。 最高位为符号位,0表示正,1表示负,其余位表示数值的绝对值。 例如&…...
git使用流程
1.下载git 搜索下载 2.注册github账号(打开爬墙工具) 创建一个仓库 3.配置邮箱和密码 4.所以找一个文件夹 鼠标右键 选择 open Git Bash here(当前文件夹下打开命令行) 输入命令 配置用户名和邮箱 5.将建的仓库克隆下来 …...
C++设计模式|结构型 代理模式
1.什么是代理模式? 代理模式Proxy Pattern是一种结构型设计模式,用于控制对其他对象的访问。 在代理模式中,允许一个对象(代理)充当另一个对象(真实对象)的接口,以控制对这个对象的…...
C语言 带头双向循环链表的基本操作
带头双向循环链表的基本操作 结构体定义初始化创建新节点头插头删尾插尾删查找在指定位置之后插入删除指定位置的值打印 结构体定义 typedef int DataType; typedef struct LinkNode {DataType data;struct LinkNode* prev;struct LinkNode* next; }LNode;初始化 有两种初始化…...
MATLAB中扩展卡尔曼滤波误差估计的关键点
在MATLAB中,对于扩展卡尔曼滤波(EKF)的误差估计,主要涉及对系统状态估计的准确性和精度的评估。EKF是一种适用于非线性系统的状态估计方法,它通过递归的方式,结合系统的动态模型和观测模型,来预…...
SpringBoot温习
1.1 Spring Boot Spring Boot是一个开源的Java框架,由Pivotal团队(现在是VMware的一部分)开发,它是Spring框架的一个模块,旨在简化Spring应用程序的初始搭建以及开发过程。 Spring Boot的核心目标是让开发者尽可能…...
Spring Cloud:构建高可用分布式系统的利器
摘要:本文将介绍Spring Cloud,一个基于Spring Boot的开源微服务架构工具集。我们将探讨Spring Cloud的核心组件、特性以及如何使用Spring Cloud构建高可用、分布式系统。通过本文,读者将了解到Spring Cloud在实现微服务架构中的应用和优势。 …...
IT技术 | 电脑蓝屏修复记录DRIVER_IRQL_NOT_LESS_OR_EQUAL
我的台式机是iMac 2015年的,硬盘是机械的,时间久了运行越来越慢。后来对苹果系统失去了兴趣,想换回windows,且想换固态硬盘,就使用winToGo 搞了双系统,在USB外接移动固态硬盘上安装了win10系统。 最近&…...
利用ngx_stream_return_module构建简易 TCP/UDP 响应网关
一、模块概述 ngx_stream_return_module 提供了一个极简的指令: return <value>;在收到客户端连接后,立即将 <value> 写回并关闭连接。<value> 支持内嵌文本和内置变量(如 $time_iso8601、$remote_addr 等)&a…...
突破不可导策略的训练难题:零阶优化与强化学习的深度嵌合
强化学习(Reinforcement Learning, RL)是工业领域智能控制的重要方法。它的基本原理是将最优控制问题建模为马尔可夫决策过程,然后使用强化学习的Actor-Critic机制(中文译作“知行互动”机制),逐步迭代求解…...
中南大学无人机智能体的全面评估!BEDI:用于评估无人机上具身智能体的综合性基准测试
作者:Mingning Guo, Mengwei Wu, Jiarun He, Shaoxian Li, Haifeng Li, Chao Tao单位:中南大学地球科学与信息物理学院论文标题:BEDI: A Comprehensive Benchmark for Evaluating Embodied Agents on UAVs论文链接:https://arxiv.…...
23-Oracle 23 ai 区块链表(Blockchain Table)
小伙伴有没有在金融强合规的领域中遇见,必须要保持数据不可变,管理员都无法修改和留痕的要求。比如医疗的电子病历中,影像检查检验结果不可篡改行的,药品追溯过程中数据只可插入无法删除的特性需求;登录日志、修改日志…...
基础光照(Basic Lighting))
C++.OpenGL (10/64)基础光照(Basic Lighting)
基础光照(Basic Lighting) 冯氏光照模型(Phong Lighting Model) #mermaid-svg-GLdskXwWINxNGHso {font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}#mermaid-svg-GLdskXwWINxNGHso .error-icon{fill:#552222;}#mermaid-svg-GLd…...
C++八股 —— 单例模式
文章目录 1. 基本概念2. 设计要点3. 实现方式4. 详解懒汉模式 1. 基本概念 线程安全(Thread Safety) 线程安全是指在多线程环境下,某个函数、类或代码片段能够被多个线程同时调用时,仍能保证数据的一致性和逻辑的正确性…...
html css js网页制作成品——HTML+CSS榴莲商城网页设计(4页)附源码
目录 一、👨🎓网站题目 二、✍️网站描述 三、📚网站介绍 四、🌐网站效果 五、🪓 代码实现 🧱HTML 六、🥇 如何让学习不再盲目 七、🎁更多干货 一、👨…...
服务器--宝塔命令
一、宝塔面板安装命令 ⚠️ 必须使用 root 用户 或 sudo 权限执行! sudo su - 1. CentOS 系统: yum install -y wget && wget -O install.sh http://download.bt.cn/install/install_6.0.sh && sh install.sh2. Ubuntu / Debian 系统…...
AirSim/Cosys-AirSim 游戏开发(四)外部固定位置监控相机
这个博客介绍了如何通过 settings.json 文件添加一个无人机外的 固定位置监控相机,因为在使用过程中发现 Airsim 对外部监控相机的描述模糊,而 Cosys-Airsim 在官方文档中没有提供外部监控相机设置,最后在源码示例中找到了,所以感…...
【堆垛策略】设计方法
堆垛策略的设计是积木堆叠系统的核心,直接影响堆叠的稳定性、效率和容错能力。以下是分层次的堆垛策略设计方法,涵盖基础规则、优化算法和容错机制: 1. 基础堆垛规则 (1) 物理稳定性优先 重心原则: 大尺寸/重量积木在下…...