在網(wǎng)絡(luò)安全問題日益突出的背景下,漏洞掃描是通過技術(shù)手段��,識別出網(wǎng)絡(luò)產(chǎn)品和服務存在漏洞的過程����,第三方檢測機構(gòu)具有CNAS/CMA/CCRC等資質(zhì)是開展漏洞掃描或滲透測試的重要資質(zhì),第三方檢測機構(gòu)利用漏洞掃描工具通過對網(wǎng)絡(luò)��、系統(tǒng)���、應用程序等進行全面掃描����,能夠快速識別出潛在的安全漏洞,將獲得的漏洞信息并將漏洞信息進行報告���,形成第三方《漏洞掃描報告》����。
哪些政策要求企業(yè)開展漏洞掃描����?
1、《中華人民共和國網(wǎng)絡(luò)安全法》:網(wǎng)絡(luò)運營者應制定網(wǎng)絡(luò)安全事件應急預案����,及時處置系統(tǒng)漏洞等安全風險,發(fā)生危害網(wǎng)絡(luò)安全的事件時����,立即啟動應急預案,采取補救措施并向主管部門報告�。
2、《工業(yè)和信息化部 國家互聯(lián)網(wǎng)信息辦公室 公安部關(guān)于印發(fā)網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定的通知》工信部聯(lián)網(wǎng)安〔2021〕66號�,網(wǎng)絡(luò)運營者發(fā)現(xiàn)或者獲知其網(wǎng)絡(luò)、信息系統(tǒng)及其設(shè)備存在安全漏洞后��,應當立即采取措施���,及時對安全漏洞進行驗證并完成修補�����。
3��、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》:對關(guān)鍵信息基礎(chǔ)設(shè)施每年進行網(wǎng)絡(luò)安全檢測和風險評估���,及時整改問題并按要求報送情況。
4����、《網(wǎng)絡(luò)安全等級保護容器安全要求》:應在容器鏡像創(chuàng)建或部署過程中掃描容器鏡像漏洞,對不安全的鏡像進行告警并阻斷創(chuàng)建或部署流程�����。
5�����、海南省醫(yī)療保障局���、海南省衛(wèi)生健康委員會�、海南省藥品監(jiān)督管理局共同印發(fā)《三醫(yī)真實世界數(shù)據(jù)使用管理暫行辦法》:存儲系統(tǒng)需配備防火墻、入侵檢測�、訪問控制等安全措施,并通過定期滲透測試和漏洞掃描確保防護有效性���。
第三方檢測機構(gòu)為企業(yè)開展漏洞掃描檢測標準依據(jù):
GB/T 34943-2017 《C/C++語言源代碼漏洞測試規(guī)范》
GB/T 34944-2017 《Java語言源代碼漏洞測試規(guī)范》
GB/T 34946-2017 《C#語言源代碼漏洞測試規(guī)范》
GB/T 30279-2020 《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞分類分級指南》
GB/T 25000.51-2016 《系統(tǒng)與軟件工程 系統(tǒng)與軟件質(zhì)量要求和評價(SQuaRE)第51部分:就緒可用軟件產(chǎn)品(RUSP)的質(zhì)量要求和測試細則》
在線客服1
400-004-1069