关于安全漏洞的一些简单看法

admin
admin
admin
102414
文章
87
评论
2023年8月9日01:15:52评论38 views字数 2233阅读7分26秒阅读模式
有关网络安全漏洞的管理,其实国内外各自的特殊性,也有共通性,我们结合我国关于漏洞的管理和英国关于漏洞的管理,简单做一些梳理,供大家参考!

为什么漏洞无法修复?

最安全的做法是在为受影响的系统发布相关补丁后立即修复所有漏洞。但是,有许多现实世界的限制可以解释为什么这是不可能的。

主要原因包括:

  • 成本——将服务器和工作站升级到新平台的成本很高

  • 中断——升级会中断业务,必须从其他IT项目中拿走资源

  • 兼容性——专业应用程序可能无法在较新的操作系统上可靠地运行

  • 操作——升级本省具备的风险,用户工具的工作方式可能不同
此外,大规模升级的前景让企业感到不安,并且可能无法使用适当的技能组合来规划和实施此类工作。升级工作的延迟只会增加任务的规模,使其更昂贵且抵触更强。
存在大量工具和资源来帮助确定升级和漏洞管理的优先级。
建议性的是,最好从小事做起,取得进步,而不是被任务压得喘不过气来,什么也不做。但是,各个单位往往是找一堆客观理由,实际就是什么都不做的。
不同的产品,有其不同的漏洞更新周期,比如我们知道微软会对起主要产品,在每月的第二周的周二,发布若干安全补丁,那么对于微软产品的更新,则我们考虑是每月开展一次。另外,有些产品是不定期的,需要我们对自己的网络资产有个清晰的清单,定期不定期的关注产品厂家有关漏洞补丁的发布信息,尽量做到合理评估,及时修复。

关于安全漏洞的一些简单看法

漏洞管理的合规要求
在国外,一般会把漏洞进行分类,而我国在这方面也是通过分类分级的方式,来确定漏洞修复的轻重缓急,有关漏洞分类分级,我们在工作中应该参考《信息安全技术 网络安全漏洞分类分级指南》GB/T 30279-2020,根据标准号大家不难发现,该标准是2020年发布,用于替代2013版。通过GB/T 30279-2020可以科学合理的分类分级,然后结合《信息安全技术 网络安全漏洞管理规范》GB/T 30276-2020开展漏洞管理工作。
而漏洞的管理,应该以对应的法律法规为依据,在漏洞方面也涉及安全合规要求。我们在这里以网络运营者为主,所以在开展工作中,要遵循《中华人民共和国网络安全法》《网络产品安全漏洞管理规定》以及上面提到的国家标准,当然是不限于这些标准的。那么,我们以《网络产品安全漏洞管理规定》要求,稍微展开探讨一下:
第五条 网络产品提供者、网络运营者网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于 6月。
首先,网络运营者需要建立健全网络产品安全漏洞信息接收渠道并保持畅通,在这里我们的工作还是要求制度与技术并重的原则出发,先寄哪里科学有效的管理制度,其次是依据制度开展技术性实践;
其次,这里基本上是对《中华人民共和国网络安全法》第二十一条的回应,所以在日志留存期间,一定不能太过狭义。在《中华人民共和国网络安全法》中的“网络”可以说是我们以前工作中“信息系统”的升级与拓展,所以我们以信息系统为例,那么就信息系统重涉及到的所有设备原则上,都需要留存日志不低于六个月,另外至少对关键设备、重要设备的日志留存一定要不低于六个月。


第八条 网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。


结合第五条我们探讨的关于漏洞管理的技管并重原则,在第八条则要求进行验证和修补,在修补漏洞过程中,需要注意对漏洞修复一定要做好闭环管理,制定修复方案,开展严格测试,及时修订修复方案,做好系统备份,为可能出现的不确定性做好恢复准备,做到修复过程安全。

关于安全漏洞的一些简单看法

第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:

……

(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。

……
考虑到第九条,我们需要考虑的是第三方在网络运营者的环境中获得的信息,同时也为各个责任单位运行网络期间,加强供应链安全管控提出了要求。

第十三条 网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十九条规定情形的,依照该规 定予以处罚。
我们知道《中华人民共和国网络安全法》的第五十九条内容是:网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
这里的处罚,我们看到是违反了《中华人民共和国网络安全法》的第二十一条、第二十五条以及第三十三条、第三十四条,详情可以直接参阅《网络安全法》,这里是《网络产品安全漏洞管理规定》与上位法法条直接衔接的地方。
今天,我们就简单探讨到这里,后期我们再以其他视角和大家交流这块的知识。
参考资料:
中华人民共和国网络安全法
网络产品安全漏洞管理规定
网络安全漏洞分类分级指南
网络安全漏洞管理规范
英国NCSC漏洞管理

原文始发于微信公众号(河南等级保护测评):关于安全漏洞的一些简单看法

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月9日01:15:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   关于安全漏洞的一些简单看法https://cn-sec.com/archives/1942260.html

发表评论

匿名网友 填写信息