我们知道,漏洞的典型特征:系统缺陷/弱点,可能威胁要使用它来违反安全策略并导致系统安全被破坏。从信息安全风险评估规范GB/T 20984,可能知道,可以知道分析风险的计算公式是:总风险=威胁 *脆弱性(漏洞) *资产价值。可以看出,漏洞是计算风险的重要变量。脆弱性越严重,面临资产面临的风险越高。易受脆弱性扫描,漏洞是及时发现的,并且及时修复了高风险的脆弱性,这可以有效地降低资产的风险。
风险是不可见的。在悠久的历史中,风险通常意味着大量的钞票消失了。以2017年5月为例,爆发的WannaCry勒索软件病毒使用了Microsoft MS17-010涉及的SMBV1远程代码来执行脆弱性。最后,袭击了150多个国家。),向全世界造成了超过80亿美元的经济损失(从路透社引用)。
如何防止这种攻击?最经济和最有效的方法是在受漏洞影响的Windows系统上放置安全补丁。Windows系统的哪些版本具有相关的漏洞?实际上,2017年3月,Microsoft披露了受影响的Windows的列表系统并通过其官方网站来修复相关漏洞。简历。也就是说,对漏洞进行扫描,发现并成功修复的MS17-010相关的高风险漏洞的Windows用户可以避免受到Wannacry的成功攻击。
随着信息化的持续发展,连接到公共网络的数据资产变得越来越丰富。在为日常生活的便利打开大门时,由于其价值逐渐出现,它对威胁更具吸引力,这会导致风险。它正在越来越高。连续风险评估逐渐成为网络构建和运营的正常化尤其是对于基本关键信息基础设施的安全风险,这些国家和关键行业越来越关注,并且将支持和指导相关法律和规格的颁布。
作为上法律,《中华人民共和国人民共和国的网络安全法》阐明了中国实施网络安全级别保护系统。在GB/T 28449-2018的标准下,网络安全级别的保护评估过程标准显然给出了保护两/三/四级系统的评估要求。脆弱性扫描无疑是其中的重要组成部分。
欧盟的一般数据保护法规,GDPR(通用数据保护法规)无疑是与具有海外业务的公司或组织最关注的网络安全立法。尽管有内容的观点,但它强调了个人隐私数据保护和数据保护。,从数据控制器义务的角度来看,必须采用必要的技术手段来确保个人数据的完整性和机密性[GDPR]。这意味着数据控制器必须继续评估和减少其业务系统中的漏洞,以减少数据的风险泄漏或损坏。具体的技术手段是什么?脆弱性扫描显然是其中的重要组成部分。
自2004年第一个版本以来,银行卡行业数据保护标准PCI DSS(支付卡行业数据安全标准)要求行业参与者实施泄漏管理以保护应用程序安全和系统安全。超过10年了,最新版本已经达到了2018年发布的v3.2.1,并且始终存在脆弱性扫描的要求,并且可以从其重要性中看出。
信息技术安全评估通用标准ISO/IEC 15408是计算机相关产品安全认证的国际标准。产品供应商可以将第三方评估实验室委托以评估其产品。访问全球“通过许可证”。产品的安全评估水平可以从低至高点将EAL1?EAL7分为EAL1?EAL7。最低级别的EAL1包含最少的保证过程。
此外,CIS(Internet安全中心)众所周知。IT提出的ciscitical安全控制和CIS基准(安全配置基线)被许多大型公司作为实施网络安全的最佳实践。这样做吗?对于具有高安全要求的用户,当然,自动化的内部和外部网络漏洞至关重要。
福利:华为云脆弱性扫描服务与基本版本有限时间免费体验>>>
本文分享了华为云社区的诚意,作者:水^3。