如今,各行各业走上了向云端迁移之路,高度动态的云环境给传统漏洞管理工作带来越来越多的挑战。一方面,网络安全漏洞是大量网络安全事件、网络违法犯罪活动发生的罪魁祸首,防不胜防,即使是再严格的测试也无法根除网络安全漏洞;另一方面,基础电信企业经过多年建设,IT资产数量庞大,管理工作繁杂,云计算、大数据、工控和物联网等新技术的广泛应用,数字攻击面持续增长将成为常态化趋势,新的安全威胁不断涌现。 由工业和信息化部、国家互联网信息办公室、公安部共同发布的《网络产品安全漏洞管理规定》,作为《中华人民共和国网络安全法》的重要配套规范,明确网络产品提供者、网络运营者,以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务。此次规定的发布,标志着我国网络产品安全漏洞管理工作的制度化、规范化、法治化。 漏洞管理作为企业安全建设的重要工作,需要一个清晰的、体系化的漏洞管理思路,以提高漏洞管理水平。为此,天融信提出网络安全漏洞全生命周期闭环管理解决方案,以天融信漏洞管理平台为主要载体,实施“六步走”策略,多角度覆盖漏洞治理全流程,实现漏洞收集、验证、处置、跟踪的闭环管理效果。 第一步:对资产进行全量采集与发现,并通过自动化工单流转建立标准化资产管理流程。 第二步:收集知名漏洞库、开源社区、安全论坛、供应商官方网站等披露的漏洞信息,同步关联存量资产,第一时间感知资产风险。 第三步:结合人工、自动化工具对漏洞有效性、真实性进行验证,优先修复风险等级高的漏洞,提升漏洞修复效率。 第四步:持续跟踪监测,对修复后的漏洞实施二次扫描研判,根据实际情况对防范措施做进一步改进。 第五步:建立漏洞发布内部审核机制,在满足国家漏洞相关规定的情况下,按漏洞严重程度发布漏洞。 第六步:建立漏洞挖掘众测机制,调动内、外部安全专家参与积极性,联合多方技术能力,对业务系统和产品安全风险进行自查。 方案结合资产管理,漏洞收集、漏洞验证、处置、众测和报送等工作机制,持续提升网络安全主动防御能力和水平,确保漏洞管理工作流程规范化、统一化、标准化,着力实现漏洞整改闭环管理。 全面化资产管理 借助天融信脆弱性扫描与管理系统对客户资产全方位扫描探测,确保全面覆盖漏洞管理对象。同时联动天融信漏洞管理平台对资产增删、资产归属、工单流转进行维护与管理。 流程化漏洞管理与处置 持续预警漏洞风险、关联分析漏洞与资产、动态流转漏洞验证工单,全程跟踪处置结果,实现漏洞精准化、流程化风险修复。 模块化漏洞众测 天融信漏洞管理平台支持管理员发起众测项目,对反馈的漏洞风险量化计分,鼓励安全专家发挥其技术实力,更好地发现自有业务系统和产品的安全风险。 技术化漏洞挖洞 天融信安全服务团队专注于网络空间的攻击技战法、溯源、分析、防御技术的研究,挖掘传统网络空间及云、5G、IOT新环境下的软硬件0day漏洞。 专业化漏洞库建设 对接国家信息安全漏洞库、开源漏洞情报、第三方威胁情报等漏洞来源,持续接收更新漏洞信息,可定制化实现与上级监管单位漏洞管理平台任务指令的接收与响应。 定制化接口对接 打造上下贯通、部企协同、两级联动的安全漏洞监测与管理体系,实现行业安全漏洞态势感知、风险预警、协同处置,提升行业安全漏洞管理能力。 方案价值 政策合规,实现漏洞及时修补:满足《中华人民共和国网络安全法》《网络产品安全漏洞管理规定》以及《关键信息基础设施安全保护条例》要求,实现对网络产品、服务、系统等漏洞及时修补,提高网络安全防护水平。 提高效率,降低业务风险:提升企业网络安全漏洞管理工作效率,缩减安全漏洞发现、修复和有效监管时间,减少资产漏洞对网络空间的安全威胁,提升国家关键基础设施及业务系统安全性。 闭环管理,漏洞全生命周期防护:针对漏洞全生命周期防护,从资产采集、漏洞收集、漏洞验证、漏洞处置、漏洞发布、漏洞跟踪、漏洞消除进行全生命周期闭环管理,实现管理自动化、流程化。 (文章来自天融信,如有违权请联系删除!) |