|
以往看书以及资料,对网络安全漏洞的理解其实非常的混乱,没有一个定式。如今天看这本书时,是一种解释,而改天看到另一个资料,则又出现一种解读。所有的知识,似是而非的在脑海中存储着。说不懂吧,知道一些;说懂吧,概念却又模糊。自从关注标准后,国家标准解答了我很多疑惑。最近几天,在看2020年11月19日发布,即将在2021年6月1日实施的《信息安全技术 网络安全漏洞分类分级指南》这个标准时,看到网络安全漏洞分类导图,感觉这个导图很直观把漏洞分类展现给了我们,如下: 
上面是网络安全漏洞分类导图让我们一目了然,那么网络安全漏洞该如何管理,是不是放任自我随意为之呢?当然,也有对应的国家标准,那就是《信息安全技术 网络安全漏洞管理规范》,该标准是2020年11月19日发布,2021年06月1日实施。
漏洞发现和报告: 漏洞发现者通过人工或者自动的方法对漏洞进行探测、分析,证实漏洞存在的真实性,并由漏洞报告者将获得的漏洞信息向漏洞接收者报告;漏洞接收: 收到漏洞报告后,进行漏洞信息的技术验证;满足相应要求可终止后续漏洞管理流程;对漏洞进行修复,或制定并测试漏洞修复或防范措施,可包括升级版本、补丁、更改配置等方式;通过网站、邮件列表等渠道将漏洞信息向社会或受影响的用户发布;在漏洞发布后跟踪监测漏洞修复情况、产品或服务的稳定性等;视情况对漏洞修复或防范措施做进一步改进;满足相应要求可终止漏洞管理流程。当然,《信息安全技术 网络安全漏洞管理规范》在该标准的第5章详尽阐述。另外,如果需要理解有关网络安全漏洞相关内容,还有一个基础性标准《信息安全技术 网络安全漏洞标识与描述规范 》,该标准也是将在本年度6月1日实施。今天,就结合《信息安全技术 网络安全漏洞管理规范》有关网络安全漏洞管理流程做个简要阐述作为引子,待后续整理后期待与大家共同探讨。这个小引子也期望能够为有志于网络安全漏洞研究的朋友,起到抛砖引玉的作用。 在河南,如果你对等级保护工作有任何疑惑,我将和你共同努力去解答。期待在以后的时光里,能够在网络安全工作领域帮助到广大朋友。
|
