根据《网络产品安全漏洞管理条例》,安全漏洞的责任主体包括两类:一类是网络产品提供商和网络运营商,另一类是从事网络产品安全漏洞发现、收集、发布等活动的组织或个人。作为网络运营商,企业在其中发挥着重要作用。
定期制定漏洞扫描计划
许多企业认为,临时扫描和修复漏洞就足够了,但它既低效又不能完全保护网络。为防止网络攻击通过漏洞进行,企业应采用程序化的方法进行漏洞管理,结合企业对风险的容忍度,确定优先级、补救和缓解识别漏洞的过程。
这有助于确保有效的监督,并将漏洞管理与企业内的任何其他业务风险相同。
审视风险和优先事项
企业需要经常审视自己能承受的安全风险,确定优先事项,以提高企业的风险承受能力,建立工作优先流程,这对强大的脆弱性管理计划至关重要。它应该每年至少重新访问一次,也可以在企业内部或IT当环境发生重大变化时,访问。
根据企业自身的风险进行定制
企业将继续发现新的漏洞,再加上现有的已知漏洞,不可能一次性修复这些问题。企业需要找到一种方法来找出最重要的漏洞,并确定维修工作的优先级是至关重要的。该工作可以由漏洞扫描、供应商和其他安全渠道(高、中、低)指导,但过程应考虑企业对风险的容忍度、技术环境、行业等。
使用框架和系统
企业不需要独立开发技术来帮助完成漏洞管理任务,因为许多企业已经开发了框架和其他系统来帮助首席信息安全官管理。这些框架和系统可以帮助企业检查安全漏洞,了解网络攻击者如何使用它们,因此可以使用框架和系统来确定漏洞及其响应的优先级。