科技云报道：漏洞管理受重视，企业如何做好漏洞评估？科技云报道原创。近日

科技云报道原创。
近日，《网络产品安全漏洞管理规定》的出台引起了业界的热议，《规定》对网络产品安全漏洞发现、报告、修补和发布等行为进行规范，以防范网络安全风险。

文章图片

文章图片
那么，针对漏洞管理，企业应当如何做好漏洞及安全风险评估工作呢？很多企业直到成为网络攻击的受害者，方知网络安全的重要性，但已为时已晚，危害已经产生。那么在此之前，企业能够做哪些工作才能避免此类安全问题的再次发生？
当然，企业能够做的工作有很多，其中针对各类设备的漏洞管理，评估设备的安全状况是保护企业数据和网络安全的重要部分。
漏洞管理有了制度约束
近日，为了规范网络产品安全漏洞发现、报告、修补和发布等行为，防范网络安全风险，工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》，对在我国的网络产品（含硬件、软件）提供者和网络运营者，以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人进行了制度约束。
《规定》自2021年9月1日起施行。《规定》的发布在网络安全界引起了广泛关注和热议，相关专家表示《规定》对于维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行，具有重大意义。
奇安信集团副总裁、补天漏洞响应平台主任张卓认为，《规定》释放了一个重要信号：我国将首次以产品视角来管理漏洞，通过对网络产品漏洞的收集、研判、追踪、溯源，立足于供应链全链条，对网络产品进行全周期的漏洞风险跟踪。
厂商和运营者不能隐瞒漏洞、拒绝漏洞、否认漏洞，必须要积极承认、积极通报、积极报告、积极修复和处理、积极通知生态环境。
厂商要积极开通接受漏洞信息的渠道、留存信息、确保及时修复、及时评估通知上下游、及时向官方通报、及时升级通报技术问题等。
网络产品安全漏洞管理有了制度的规范，不管是网络产品的提供者和网络运营者，或是从事网络产品安全漏洞活动的组织或者个人，对于其他企业来说，针对漏洞的管理，做好漏洞评估，也是防范安全风险的重要手段。
针对漏洞评估企业能做什么？
对于企业而言，及时发现自身设备及网络的安全漏洞，是进行安全防护的重要前提。设备及系统日志、操作更改和攻击报告数据等信息通常能够显示出安全威胁的蛛丝马迹，同时也能够为漏洞管理和修复提供一些线索。
当然，与其被动响应，不如寻找更为主动的方法。比如定期对网络设备和服务进行漏洞评估，以获取有关潜在的问题、严重程度，以及需要采取的措施。
但需要悉知，有些工作并不只是企业自己的事情，还涉及其他上下游供应商或合作伙伴等，因此在进行一些安全操作或渗透测试工作之前，可能会产生关于财务、合规等方面的影响，需要与企业的各个利益相关者进行协商。
以下措施或许能够帮助到进行漏洞评估的企业。
1.与利益相关者沟通
在进行漏洞评估时，很多人认为扫描过程是其中最重要的部分，但有时并非如此。与利益相关者进行及时有效的沟通协商也是关键。利益相关者不仅包括上下游供应链及合作伙伴，还包括企业内部诸如管理者、IT部门成员，甚至是人力资源部门等。
2.确定安全评估的范围和规模
在确定了利益相关者之后，所有成员必须通过协作确定安全评估的范围和规模，包括设备、网络、服务或其他。此外，在漏洞扫描时，需要确定扫描的内容、时间和方式，包括有关何时应进行扫描的信息以及要排除的资产，因为这些评估工作有可能会影响到其他网络和资源的正常使用，应尽量减少负面影响，并保持业务连续性。