2026年初正在征求意見(jiàn)的 《網(wǎng)絡(luò)犯罪防治法》 。其中第二十五條明確提出,進(jìn)行漏洞探測(cè)、滲透測(cè)試等活動(dòng),未來(lái)可能需要與等級(jí)保護(hù)級(jí)別掛鉤,并向公安機(jī)關(guān)報(bào)告。雖然這還不是最終定稿,但它預(yù)示著未來(lái)對(duì)這類測(cè)試行為的監(jiān)管會(huì)更加明確和嚴(yán)格。今天就來(lái)看看保障系統(tǒng)安全的法定要求漏洞掃描的政策和主要測(cè)試內(nèi)容有哪些?
漏洞掃描的必要性
《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,第二十一條明確要求“及時(shí)處置系統(tǒng)漏洞”等安全風(fēng)險(xiǎn)。這是所有合規(guī)要求的根本大法,確立了發(fā)現(xiàn)和修補(bǔ)漏洞是網(wǎng)絡(luò)運(yùn)營(yíng)者的基本義務(wù)。
2、《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,第八條明確規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者發(fā)現(xiàn)或獲知其系統(tǒng)存在漏洞后,應(yīng)當(dāng)立即采取措施,及時(shí)對(duì)安全漏洞進(jìn)行驗(yàn)證并完成修補(bǔ)。
3、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》,第十七條要求,運(yùn)營(yíng)者應(yīng)當(dāng)自行或委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施(如能源、交通、金融等領(lǐng)域)每年進(jìn)行一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估。并且明確規(guī)定,對(duì)其進(jìn)行漏洞探測(cè)、滲透測(cè)試等活動(dòng),必須事先獲得批準(zhǔn)或授權(quán)。
4、《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度 (等保2.0)》,等保測(cè)評(píng)中,漏洞掃描和滲透測(cè)試是“工具測(cè)試”環(huán)節(jié)的核心內(nèi)容。在高級(jí)別系統(tǒng)(如等保三級(jí))的測(cè)評(píng)要求中,滲透測(cè)試是必須進(jìn)行的檢查項(xiàng)目。
5、海南省的《三醫(yī)真實(shí)世界數(shù)據(jù)使用管理暫行辦法》就要求,相關(guān)數(shù)據(jù)存儲(chǔ)系統(tǒng)需通過(guò)定期滲透測(cè)試和漏洞掃描來(lái)確保防護(hù)有效性。
漏洞掃描的定義
漏洞掃描的主要功能是針對(duì)主機(jī)和開(kāi)放端口識(shí)別已知漏洞、提供建議降低漏洞風(fēng)險(xiǎn);同時(shí),有助于識(shí)別過(guò)時(shí)的軟件版本、缺失的補(bǔ)丁和錯(cuò)誤配置,并驗(yàn)證其與機(jī)構(gòu)安全策略的一致性。
漏洞掃描第三方檢測(cè)機(jī)構(gòu)注意事項(xiàng)
進(jìn)行漏洞掃描時(shí),考慮以下評(píng)估要素和評(píng)估原則:
識(shí)別漏洞相關(guān)信息,包含漏洞名稱、類型、漏洞描述、風(fēng)險(xiǎn)等級(jí)、修復(fù)建議等內(nèi)容;
通過(guò)工具識(shí)別結(jié)合人工分析的方式,對(duì)發(fā)現(xiàn)的漏洞進(jìn)行關(guān)聯(lián)分析,從而準(zhǔn)確判斷漏洞的風(fēng)險(xiǎn)等級(jí);
漏洞掃描前,掃描設(shè)備應(yīng)更新升級(jí)至最新的漏洞庫(kù),以確保能識(shí)別最新的漏洞;
依據(jù)漏洞掃描工具的漏洞分析原理(如特征庫(kù)匹配、攻擊探測(cè)等),謹(jǐn)慎選擇掃描策略,防止引d起測(cè)評(píng)對(duì)象故障;
使用漏洞掃描設(shè)備時(shí)應(yīng)對(duì)掃描線程數(shù)、流量進(jìn)行限制,以降低測(cè)評(píng)對(duì)測(cè)評(píng)對(duì)象產(chǎn)生的風(fēng)險(xiǎn)。
漏洞掃描第三方檢測(cè)機(jī)構(gòu)推薦
面對(duì)日益復(fù)雜的合規(guī)要求與技術(shù)挑戰(zhàn),選擇一家資質(zhì)齊全、經(jīng)驗(yàn)豐富的第三方檢測(cè)機(jī)構(gòu)做漏洞掃描至關(guān)重要。廣東騰創(chuàng)的機(jī)構(gòu)值得關(guān)注:廣東騰創(chuàng)技術(shù)服務(wù)有限公司 是一家具備CNAS、CMA、CCRC等資質(zhì)的專業(yè)第三方檢測(cè)機(jī)構(gòu)。該公司在信息安全領(lǐng)域布局全面,提供包括漏洞掃描、滲透測(cè)試、源代碼安全評(píng)估、信息安全風(fēng)險(xiǎn)評(píng)估等在內(nèi)的綜合性保障服務(wù)。針對(duì)移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展,在電力信息化、電子政務(wù)系統(tǒng)評(píng)測(cè)等領(lǐng)域,廣東騰創(chuàng)也積累了豐富的項(xiàng)目經(jīng)驗(yàn),能夠?yàn)榭蛻籼峁┓蠂?guó)家法律法規(guī)的驗(yàn)收測(cè)試服務(wù)。
原文出自廣東騰創(chuàng)官網(wǎng),鏈接:https://www.tctesting.cn/
手機(jī):13802798690(鄺經(jīng)理)
電話:020-32200125
傳真:020-32200125
郵編:510663
地址:廣州市黃埔區(qū)彩頻路9號(hào)501-5、501-6、501-7房
賽辰檢測(cè)微信公眾號(hào)
在線客服1
400-004-1069