如今,各行各业走上了向云端迁移之路,高度动态的云环境给传统漏洞管理工作带来越来越多的挑战。一方面,网络安全漏洞是大量网络安全事件、网络违法犯罪活动发生的罪魁祸首,防不胜防,即使是再严格的测试也无法根除网络安全漏洞;另一方面,基础电信企业经过多年建设,it资产数量庞大,管理工作繁杂,云计算、大数据、工控和物联网等新技术的广泛应用,数字攻击面持续增长将成为常态化趋势,新的安全威胁不断涌现。
由工业和信息化部、国家互联网信息办公室、公安部共同发布的《网络产品安全漏洞管理规定》,作为《中华人民共和国网络安全法》的重要配套规范,明确网络产品提供者、网络运营者,以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务。此次规定的发布,标志着我国网络产品安全漏洞管理工作的制度化、规范化、法治化。
漏洞管理作为企业安全建设的重要工作,需要一个清晰的、体系化的漏洞管理思路,以提高漏洞管理水平。为此,天融信提出网络安全漏洞全生命周期闭环管理凯发官网入口首页的解决方案,以天融信漏洞管理平台为主要载体,实施“六步走”策略,多角度覆盖漏洞治理全流程,实现漏洞收集、验证、处置、跟踪的闭环管理效果。
第一步:对资产进行全量采集与发现,并通过自动化工单流转建立标准化资产管理流程。
第二步:收集知名漏洞库、开源社区、安全论坛、供应商官方网站等披露的漏洞信息,同步关联存量资产,第一时间感知资产风险。
第三步:结合人工、自动化工具对漏洞有效性、真实性进行验证,优先修复风险等级高的漏洞,提升漏洞修复效率。
第四步:持续跟踪监测,对修复后的漏洞实施二次扫描研判,根据实际情况对防范措施做进一步改进。
第五步:建立漏洞发布内部审核机制,在满足国家漏洞相关规定的情况下,按漏洞严重程度发布漏洞。
第六步:建立漏洞挖掘众测机制,调动内、外部安全专家参与积极性,联合多方技术能力,对业务系统和产品安全风险进行自查。
方案结合资产管理,漏洞收集、漏洞验证、处置、众测和报送等工作机制,持续提升网络安全主动防御能力和水平,确保漏洞管理工作流程规范化、统一化、标准化,着力实现漏洞整改闭环管理。
○全面化资产管理
借助天融信脆弱性扫描与管理系统对客户资产全方位扫描探测,确保全面覆盖漏洞管理对象。同时联动天融信漏洞管理平台对资产增删、资产归属、工单流转进行维护与管理。
○流程化漏洞管理与处置
持续预警漏洞风险、关联分析漏洞与资产、动态流转漏洞验证工单,全程跟踪处置结果,实现漏洞精准化、流程化风险修复。
○模块化漏洞众测
天融信漏洞管理平台支持管理员发起众测项目,对反馈的漏洞风险量化计分,鼓励安全专家发挥其技术实力,更好地发现自有业务系统和产品的安全风险。
○技术化漏洞挖洞
天融信安全服务团队专注于网络空间的攻击技战法、溯源、分析、防御技术的研究,挖掘传统网络空间及云、5g、iot新环境下的软硬件0day漏洞。
○专业化漏洞库建设
对接国家信息安全漏洞库、开源漏洞情报、第三方威胁情报等漏洞来源,持续接收更新漏洞信息,可定制化实现与上级监管单位漏洞管理平台任务指令的接收与响应。
○定制化接口对接
打造上下贯通、部企协同、两级联动的安全漏洞监测与管理体系,实现行业安全漏洞态势感知、风险预警、协同处置,提升行业安全漏洞管理能力。
方案价值
政策合规,实现漏洞及时修补:满足《中华人民共和国网络安全法》《网络产品安全漏洞管理规定》以及《关键信息基础设施安全保护条例》要求,实现对网络产品、服务、系统等漏洞及时修补,提高网络安全防护水平。
提高效率,降低业务风险:提升企业网络安全漏洞管理工作效率,缩减安全漏洞发现、修复和有效监管时间,减少资产漏洞对网络空间的安全威胁,提升国家关键基础设施及业务系统安全性。
闭环管理,漏洞全生命周期防护:针对漏洞全生命周期防护,从资产采集、漏洞收集、漏洞验证、漏洞处置、漏洞发布、漏洞跟踪、漏洞消除进行全生命周期闭环管理,实现管理自动化、流程化。
多年来,天融信积极参与并承担多项国家级、省部级重点网络安全科研项目,持续为国家互联网应急响应中心、中国信息安全测评中心提供大量技术及攻关支撑。目前,天融信已连续九年获得国家信息安全漏洞库(cnnvd)技术支撑单位(一级),连续四届获得国家信息安全漏洞共享平台(cnvd)原创漏洞发现突出贡献单位,首批获得信创政务产品安全漏洞专业库(citivd)技术支撑单位、工业和信息化部移动互联网app安全漏洞库(cappvd),连续两年获得国家工业信息安全漏洞(cicsvd)优秀成员单位等荣誉。
topsec
作为国内网络安全企业,天融信始终以捍卫国家网络空间安全为己任,积极投身网络安全建设。未来,天融信将继续发挥自身优势,在漏洞挖掘与分析领域深入研究、持续跟踪国内外安全漏洞情况,为客户排除安全隐患提供强有力的安全保障,助力国家数字化建设筑牢安全基底。
- 关键词标签:
- 天融信 漏洞闭环管理 网络产品安全漏洞管理 网络安全法