企业新闻
企业新闻 行业新闻
关于漏洞治理的重要信息资产安全保障的和思考实践
2019-01-12 浏览:204
  (一)建立对信息资产统一动态管理的体系。
  保障信息资产的完整性、一致性是漏洞治理工作的基础。夯实这个基础,一是要建立机制保障信息资产的完整性,建立一套针对信息资产“责任人+管理制度”的体系,保证信息资产责任主体可追溯,对信息资产的全生命周期进行管理,不能只管信息资产“入口”(采购)、“出口”(退出)环节,更要在中间使用环节,特别是对资产变更的跟踪进行责任确认和监管监督。二是要通过管理解决信息资产一致性问题,明确关键信息基础设施信息资产跨部门协同管理,细化采购部门、运维部门、安全部门在信息资产管理中的角色和定位,使用统一的资产管理标准进行登记管理,细化资产属性维度,避免出现一个资产多种表述,多个资产一种表述的现象。三是要通过技术手段,实现对信息资产完整性和一致性的动态管理。充分完善信息资产扫描探测技术,对主机系统、网络设备、安全设备、数据库、中间件等重要信息资产进行自动识别。通过轮询信息资产指纹等感知技术识别资产属性变更,并运用分布式信息资产探测雷达,提高信息资产识别效率和覆盖面,揪出“无主资产、僵尸资产”。只有全面掌握动态变化的信息资产完整性、一致性,才能完成对信息资产的实时追踪和查询等管理工作。
  (二)探索将漏洞危害与应用环境相结合的评估方法。
  当前主流的漏洞危害评级方法是定性定量评估,该方法因其标准化、规范化的优势,被大多数国内外网络安全厂商和漏洞管理机构采用,主要参考指南有《通用漏洞评分系统指南》(CVSS)、《信息安全技术安全漏洞等级划分指南》(GBT 30279-2013)。网络安全机构或关键信息基础设施运营者可依据指南从多个维度计算并评定漏洞的危害等级。定性定量评估方法的难点在于如何对漏洞所处应用环境进行分析,如CVSS指南依照基本指标、时间指标、环境指标对漏洞危害进行评级,其中基本指标是指漏洞利用复杂度等固定的指标,而时间指标和环境指标描述的是漏洞随时间和应用环境变化的特征,这一部分的评定需要用户的直接参与。网络安全厂商和漏洞管理机构,如公共漏洞披露平台(CVE)、国家信息安全漏洞共享平台(CNVD)等一般仅根据基本指标评定漏洞危害等级,另外两项指标及修正后的数值则由用户自行评定。在实际操作中,关键信息基础设施因应用环境相对复杂,安全需求千差万别,造成环境度量计算非常复杂,因此往往忽略环境指标的计算,导致危害评级无法真实反映漏洞对特定系统造成的危害。
  漏洞危害评级的主要目的是推动工作人员在有限的时间和精力的情况下优先处置高危漏洞,从而以最快的速度降低网络安全风险。
本文由北京天地和兴科技有限公司原创,转载时请注明:工控安全网址:http://www.tdhxkj.com/
关于我们
公司简介 企业文化
发展历程 企业荣誉
人才招聘
联系我们
公司简介
企业文化

公司地址:北京市海淀区中关村科技园8号 华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

E-MAIL:tdhx@tdhxkj.com

友情链接
国家电网 中国大唐集团 中国华电 国家能源集团 华能集团 中核集团 中国石油 酒钢集团 马钢集团 中国通号 中国铁路 上汽集团 北汽集团 东风柳汽 中国海油 SIMENS Honeywell EMERSON 和利时 研华科技 工控安全 浙江大学 华北电力大学
扫一扫,关注天地和兴公众微信号