熟女精品视频导航,成人无码精品一区二区三区,国产aⅴ丝袜旗袍无码麻豆

漏洞管理方法--ISO27001及ISO27002

發(fā)布時(shí)間：2020-06-13 作者：廣匯聯(lián)合來源：廣匯聯(lián)合

您一定遇到過，系統(tǒng)正常運(yùn)行得好好地突然無緣無故變得很慢或近乎停止運(yùn)行。IT人員奮戰(zhàn)數(shù)小時(shí)使所有系統(tǒng)恢復(fù)在線正常運(yùn)行。最后IT人員發(fā)現(xiàn)事件的根本原因在于信息系統(tǒng)中存在缺陷。該缺陷可能會(huì)被蓄意或無意地利用，導(dǎo)致系統(tǒng)故障。

這種情況再平常不過了，有時(shí)候會(huì)導(dǎo)致更嚴(yán)重的后果：數(shù)據(jù)丟失或被竊取，且造成運(yùn)營損失，中斷業(yè)務(wù)。那如何處理以上情況呢？且看下文解說：

漏洞是什么及漏洞如何產(chǎn)生的？

ISO 27000概述了ISO信息安全管理系統(tǒng)及詞匯表，規(guī)定漏洞為資產(chǎn)或安全措施中存在的可由一個(gè)或多個(gè)威脅利用的缺陷。同時(shí)，ISO 27000將威脅定義為可對(duì)系統(tǒng)或組織造成損害的意外事件的可能原因。因此，若威脅發(fā)現(xiàn)可利用的缺陷，就出現(xiàn)了漏洞。然而，缺陷來自何處？一般來說，缺陷是資產(chǎn)或安全措施在設(shè)計(jì)、實(shí)施、配置或運(yùn)行過程中存在的不足之處。疏忽大意或故意行為均可導(dǎo)致缺陷。有些缺陷很容易識(shí)別、糾正和利用，而有些則需要投入時(shí)間、精力和資源。

ISO 27001涉及的漏洞管理方法

ISO 27001的A.12.6.1主要通過以下三個(gè)步驟進(jìn)行漏洞管理：

1、及時(shí)發(fā)現(xiàn)漏洞

越早發(fā)現(xiàn)漏洞，你就越有充足時(shí)間對(duì)其進(jìn)行修復(fù)，至少向廠商上報(bào)這一漏洞，這樣留給攻擊者利用漏洞的時(shí)間就越少。

2、對(duì)組織的漏洞暴露情況進(jìn)行評(píng)估

某個(gè)漏洞或一組漏洞對(duì)不同組織的影響可能不盡相同。您需要進(jìn)行風(fēng)險(xiǎn)評(píng)估，找出您的資產(chǎn)和業(yè)務(wù)的重要漏洞，并對(duì)其進(jìn)行優(yōu)先級(jí)排序。

3、將相關(guān)風(fēng)險(xiǎn)考慮在內(nèi)的合理措施

找出最嚴(yán)重的漏洞后，需考慮采取措施，然后分配資源處理漏洞，也就是說，制定風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃。

最明智的做法是要考慮漏洞的風(fēng)險(xiǎn)等級(jí)。

ISO 27002為實(shí)現(xiàn)漏洞管理目標(biāo)提供支持

ISO 27002定義了實(shí)現(xiàn)漏洞管理目標(biāo)的支撐行動(dòng)，提供實(shí)施安全措施（如A.12.6.1）時(shí)需考慮的最佳實(shí)踐。ISO 27002建議采取以下行動(dòng)：

1、盤點(diǎn)資產(chǎn)

有效的漏洞管理取決于您所掌握的您的信息資產(chǎn)的相關(guān)信息，如軟件廠商、軟件版本，軟件安裝位置以及每個(gè)軟件的負(fù)責(zé)人。

2、明確職責(zé)

漏洞管理需進(jìn)行多項(xiàng)不同活動(dòng)（如監(jiān)控、風(fēng)險(xiǎn)評(píng)估和糾正等），因此，為方便起見，需明確職責(zé)，合理分工，確保對(duì)資產(chǎn)進(jìn)行合理追蹤。

3、明確參考資料

您的參考資料列表上應(yīng)包含廠商站點(diǎn)、專業(yè)論壇和特別興趣小組，從而了解漏洞與修復(fù)措施相關(guān)的新聞。

4、按照制定的流程處理漏洞

不論漏洞的緊急程度如何，以結(jié)構(gòu)化方式處理漏洞非常重要。處理漏洞時(shí)應(yīng)考慮變更管理或事件響應(yīng)流程，因?yàn)檫@些流程考慮了漏洞優(yōu)先級(jí)、時(shí)間響應(yīng)和響應(yīng)升級(jí)等方面，指導(dǎo)您該采取哪些行動(dòng)。

5、做好記錄以供事后分析

（事后需進(jìn)行分析）持續(xù)記錄所發(fā)生的事件以及事件處理過程是非常重要的，因?yàn)檫@樣您可以從事件中吸取教訓(xùn)，防止后續(xù)類似事件的發(fā)生。至少這樣做可盡量減輕事件影響，改進(jìn)漏洞管理流程。此外，確保定期進(jìn)行評(píng)估，盡快改進(jìn)和修復(fù)漏洞。

我們舉一個(gè)漏洞管理例子：“心臟滴血”漏洞在2014年被發(fā)現(xiàn)，可通過加密通信導(dǎo)致信息被竊取。通過閱讀資產(chǎn)庫中定義的參考資料，組織發(fā)現(xiàn)該漏洞可影響一些被視為關(guān)鍵性的資產(chǎn)。通過采用變更管理流程，您可通過補(bǔ)丁部署規(guī)劃合理的缺陷糾正措施，以加密方式傳輸信息，安裝補(bǔ)丁，將信息泄露風(fēng)險(xiǎn)降至最低。

不要被自己的防護(hù)措施中的漏洞打敗。由于市場(chǎng)需要更快速的軟件交付及更多特性，將會(huì)有更多漏洞出現(xiàn)。因此，為確保您的信息資產(chǎn)安全、維護(hù)企業(yè)形象以及保持競(jìng)爭力，制定漏洞發(fā)現(xiàn)和處理計(jì)劃非常重要。您會(huì)發(fā)現(xiàn)，通過對(duì)ISO 27001和27002推薦的漏洞控制措施進(jìn)行調(diào)整，使其與您的業(yè)務(wù)需求相匹配會(huì)省掉很多麻煩和不必要的工作，盡量減小對(duì)公司信譽(yù)的損失和影響。