网络安全漏洞管理的研究与实践
发布时间:2022-07-30 15:09:15 所属栏目:安全 来源:互联网
导读:对于如何化解风险,习近平总书记在《关于〈中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议〉的说明》中指出,我们必须坚持统筹发展和安全,增强机遇意识和风险意识,树立底线思维,把困难估计得更充分一些,把风险思考得更
|
对于如何化解风险,习近平总书记在《关于〈中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议〉的说明》中指出,“我们必须坚持统筹发展和安全,增强机遇意识和风险意识,树立底线思维,把困难估计得更充分一些,把风险思考得更深入一些,注重堵漏洞、强弱项,下好先手棋、打好主动仗,有效防范化解各类风险挑战,确保社会主义现代化事业顺利推进。” 对漏洞而言,有效的漏洞管理可以及早地发现漏洞并遏制漏洞利用事件的发生,能显著降低企业面临的风险。近年来,国家网络空间法律法规密集出台,2021 年,《网络产品安全漏洞管理规定》《网络产品安全漏洞收集平台备案管理办法(征求意见稿)》相继发布,对漏洞管理工作进行了明确的规范。 一、探索与实践 公司严格贯彻落实国家各项法律法规,依照网络安全法、网络产品安全漏洞管理规定等相关要求,定期召开会议,专题研究,认真部署,深入开展网络安全合规管控,加强网络安全漏洞管理深度和技术强度。 (一)压实安全责任链条,夯实人员安全底座 公司以结果为导向,贯彻落实国家法律法规和上级领导要求。以压实安全责任链条、提升六项管理能力、落实人员管控机制为手段,全面提升公司网络安全管理与监督能力,使网络安全风险可控在控。 (二)建设漏洞“中枢”平台,实现全网统一的安全漏洞持续发现、通报、验证、处置闭环管理 经过多年网络安全建设,公司已建成信息安全运行监控预警系统、资产库、网络安全漏洞库、网络安全靶场,集立体监测、威胁研判、态势感知、仿真验证、安全运营支撑、自动化处置等应用能力于一体。对接 CNNVD 国家信息安全漏洞库,基于预警平台实现了统一漏洞管理机制,降低因漏洞修补不及时、不全面而导致的风险。 对信息安全运行监控预警系统进行技术架构重构。充分利用云原生技术,推进以微服务模式提供各类安全能力组件接口,推进数字电网安全“中枢”所有专业功能组件分层解耦和接口标准化,建立开放生态,支持后续功能叠加演进。建设标准、统一的网络安全数据采集、处理、存储、分析与服务底座,进一步把安全大数据服务与安全分析、态势感知等专业应用进行解耦,将安全大数据模块拆分为独立的安全大数据服务设施。完善网络安全漏洞库和威胁情报库,建立恶意代码库和处置知识库。建立常态化网络安全攻防机制,按照“红队攻点,蓝队防控,督查监督”的定位,切实防范信息安全漏洞隐患。 (三)紧抓供应链管控措施,“不能粗、不能放、不能松” 供应链是近年来漏洞事件高发之地。公司持续更新细化供应链图谱,针对公司核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务以及其他对公司有重要影响的网络产品和服务,根据国家相关规定,结合安全威胁情报,制定网络产品和服务供应链产品、企业、安全隐患与整改清单,对清单进行审核、发布、持续更新,确保安全隐患漏洞为零时才允许入网。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号