网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

随着企业对网络安全风险意识的增强、合规性要求的提高和网络安全事件的频发，漏洞管理越来越被更多的企业所重视，成为了信息安全项目的必备基石。近几年，我们见证了网络安全威胁的瞬息万变，网络攻击形式更自动化、批量化、复杂化，另一方面，信息化的浪潮下，应用新技术、数字化业务、平台合成的企业系统也暴露出更多的安全漏洞。

[[321379]]

一、什么是安全漏洞?

我们有一些耳熟能详的安全漏洞名字，比如SQL注入、跨站脚本、缓冲区溢出等，企业的资产(需要保护的、有价值的资源)也面临层出不穷的网络攻击的威胁。那什么是安全漏洞呢?简而言之就是信息系统中的弱点，这个弱点或者脆弱性可以是缺乏防控措施或者防控措施不足造成的，比如组织没有应用某一个组件的补丁而造成的脆弱性暴露。弱点可以被蓄意的攻击者利用对组织造成危害和损失，也可以因为无意识的如管理人员疏忽或者违反合规性要求等给组织带来损失。

二、为什么要做漏洞管理?

漏洞的暴露和利用可能会给企业带来的不仅仅是巨大的经济损失，还有可能损害客户利益、企业名誉，甚至违反相关的法律法规。最近爆出的数据泄露事件中，雅诗兰黛官方服务器遭黑客入侵，导致未加密的云数据库发生数据泄露，其中包括逾4亿条用户敏感数据。2017年WannaCry勒索病毒感染了100多个国家超过10万台电脑并造成了高达80亿美元的损失，这个蠕虫式病毒正是利用了一个已知漏洞(微软已经公布的补丁而大多数系统没有更新补丁的)。2019年1月，拼多多用户可领取100元无门槛券，大批用户大量‘薅羊毛’，金额达数千万元，而这个事件是由黑灰产团伙利用过期优惠券漏洞导致的。有效的漏洞管理可以及早的发现漏洞并遏制漏洞利用事件的发生，相对于企业的盈利部门，虽然漏洞管理是一项支出，而忽略漏洞管理可能意味着更高的经济成本。

另外，等保2.0的安全运维管理中新增了(相对等保1.0)配置管理、漏洞和风险管理控制点，要求企业重视漏洞和补丁管理安全，做好配置管理工作，及时更新基本配置信息库，定期开展安全测评工作，提升企业积极主动防护的能力。很多企业也有要求对关键等级高的资产在上线前和重要变更时进行渗透测试，并每季度进行漏洞扫描，以发现新暴露的漏洞。另外，小程序、APP中对个人信息的收集也可能违反《中华人民共和国网络安全法》、《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》、《个人信息安全规范》、《消费者权益保护法》等法律法规中的相关规定。

许多行业的法律法规都规定了对漏洞管理的要求，相关要求也逐渐扩展到各行各业。支付卡行业数据安全标准(PCI DSS)涉及所有处理支付卡业务的实体，并要求涉及的实体采用行业公认的测试方法，至少每年进行一次渗透测试，并且在环境做出重大变更后必须再次测试。对于最近火热的医疗行业，2018年出台的《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》、《互联网医院基本标准(试行)》均要求互联网诊疗相关系统实施三级网络安全等级保护，而在三级网络安全等级保护中规定了定期开展安全测评、形成安全测评报告并采取修复措施的要求。2019年6月发布的《网络安全漏洞管理规定(征求意见稿)》则将控制的范围扩大到“网络产品、服务提供者和网络运营者”，并要求相关组织或个人在获知网络产品或系统漏洞后，立即验证漏洞，“对相关网络产品应当在 90 日内采取漏洞修补或防范措施，对相关网络服务或系统应当在 10日内采取漏洞修补或防范措施”。

漏洞管理也可以从技术角度了解系统的信息收集与使用的情况，拿APP收集个人信息的行为来说，《中华人民共和国网络安全法》、《消费者权益保护法》、《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》中都规定了网络运营者不能未经用户同意收集使用个人信息。在实际的场景中，App安装后可能未经用户同意收集MAC地址、IP地址、用户地址位置等个人信息，或者在用户明确表示不允许收集的情况下，仍然收集这些信息。有些信息收集构成了《中华人民共和国网络安全法》中禁止的“收集与其提供的服务无关的个人信息”的行为。例如，一些APP可能强制索要用户的系统权限，如果用户不同意则拒绝提供相关业务服务(如美食类APP要求用户提供访问通讯录的权限、访问系统日志的权限等)。或者APP后台自动收集用户设配IMEI号、IMSI号地址位置等过于频繁，超过了业务实际需要。更多的场景和实例不再赘述，对敏感信息相关漏洞的测试和管理可以有效防止信息泄露并了解敏感数据收集、使用的情况，从而帮助APP开发者和管理者了解APP的合规性风险。

三、怎么做漏洞管理?