漏洞管理顶层5个原则
最新回答
醉不成欢
2021-03-04 12:04:29
1. 减轻伤害和风险。致力于减少或消除产品、服务中的漏洞对客户带来的伤害,以及降低漏洞对客户/用户带来的潜在安全风险。
2. 减少和消除漏洞。努力提升产品与服务的安全性能,降低漏洞被利用的可能性。
3. 主动管理。明确在漏洞管理中的责任,理清管理边界,包括适用的法规要求、合同要求、公开标准等。构建管理系统,主动进行管理。
4. 持续改进。不断优化漏洞管理流程和规范,借鉴行业标准和优秀实践,提升对漏洞管理的成熟度。
5. 开放协同。保持开放合作的态度,加强与供应链和外部安全生态的联系,包括供应链上下游、安全研究者、安全公司、安全监管机构等。在漏洞管理工作中加强与各利益相关方的协同,建立可信赖的合作关系。
漏洞定义:根据国际互联网工程任务组(IETF)的定义,漏洞是指系统在设计、部署、运营和管理过程中,可能被利用以违反安全策略的缺陷或弱点。漏洞可被视为产品中的安全问题,一旦被攻击者利用,可能导致产品的完整性、可用性或机密性受损。需要注意的是,漏洞与质量缺陷不同,质量缺陷在满足特定条件时会出现,而不需要攻击者利用;而漏洞则必须经过攻击者的利用才会触发。缺陷通常影响产品的可用性,而漏洞更多影响产品的机密性和完整性。尽管漏洞不可避免,但可以通过管理来控制。
热门标签
