在網(wǎng)絡(luò)安全問(wèn)題日益突出的背景下�����,漏洞掃描是通過(guò)技術(shù)手段,識(shí)別出網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在漏洞的過(guò)程����,第三方檢測(cè)機(jī)構(gòu)具有CNAS/CMA/CCRC等資質(zhì)是開(kāi)展漏洞掃描或滲透測(cè)試的重要資質(zhì)����,第三方檢測(cè)機(jī)構(gòu)利用漏洞掃描工具通過(guò)對(duì)網(wǎng)絡(luò)����、系統(tǒng)�����、應(yīng)用程序等進(jìn)行全面掃描,能夠快速識(shí)別出潛在的安全漏洞,將獲得的漏洞信息并將漏洞信息進(jìn)行報(bào)告����,形成第三方《漏洞掃描報(bào)告》�。
哪些政策要求企業(yè)開(kāi)展漏洞掃描�����?
1�、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》:網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案����,及時(shí)處置系統(tǒng)漏洞等安全風(fēng)險(xiǎn),發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)���,立即啟動(dòng)應(yīng)急預(yù)案,采取補(bǔ)救措施并向主管部門(mén)報(bào)告����。
2���、《工業(yè)和信息化部 國(guó)家互聯(lián)網(wǎng)信息辦公室 公安部關(guān)于印發(fā)網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定的通知》工信部聯(lián)網(wǎng)安〔2021〕66號(hào)�����,網(wǎng)絡(luò)運(yùn)營(yíng)者發(fā)現(xiàn)或者獲知其網(wǎng)絡(luò)、信息系統(tǒng)及其設(shè)備存在安全漏洞后,應(yīng)當(dāng)立即采取措施,及時(shí)對(duì)安全漏洞進(jìn)行驗(yàn)證并完成修補(bǔ)。
3����、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》:對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施每年進(jìn)行網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估�,及時(shí)整改問(wèn)題并按要求報(bào)送情況。
4��、《網(wǎng)絡(luò)安全等級(jí)保護(hù)容器安全要求》:應(yīng)在容器鏡像創(chuàng)建或部署過(guò)程中掃描容器鏡像漏洞��,對(duì)不安全的鏡像進(jìn)行告警并阻斷創(chuàng)建或部署流程�。
5�、海南省醫(yī)療保障局、海南省衛(wèi)生健康委員會(huì)���、海南省藥品監(jiān)督管理局共同印發(fā)《三醫(yī)真實(shí)世界數(shù)據(jù)使用管理暫行辦法》:存儲(chǔ)系統(tǒng)需配備防火墻、入侵檢測(cè)���、訪問(wèn)控制等安全措施,并通過(guò)定期滲透測(cè)試和漏洞掃描確保防護(hù)有效性���。
第三方檢測(cè)機(jī)構(gòu)為企業(yè)開(kāi)展漏洞掃描檢測(cè)標(biāo)準(zhǔn)依據(jù):
GB/T 34943-2017 《C/C++語(yǔ)言源代碼漏洞測(cè)試規(guī)范》
GB/T 34944-2017 《Java語(yǔ)言源代碼漏洞測(cè)試規(guī)范》
GB/T 34946-2017 《C#語(yǔ)言源代碼漏洞測(cè)試規(guī)范》
GB/T 30279-2020 《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞分類(lèi)分級(jí)指南》
GB/T 25000.51-2016 《系統(tǒng)與軟件工程 系統(tǒng)與軟件質(zhì)量要求和評(píng)價(jià)(SQuaRE)第51部分:就緒可用軟件產(chǎn)品(RUSP)的質(zhì)量要求和測(cè)試細(xì)則》
在線客服1
400-004-1069