在網絡安全問題日益突出的背景下,漏洞掃描是通過技術手段,識別出網絡產品和服務存在漏洞的過程,第三方檢測機構具有CNAS/CMA/CCRC等資質是開展漏洞掃描或滲透測試的重要資質,第三方檢測機構利用漏洞掃描工具通過對網絡、系統、應用程序等進行全面掃描,能夠快速識別出潛在的安全漏洞,將獲得的漏洞信息并將漏洞信息進行報告,形成第三方《漏洞掃描報告》。
哪些政策要求企業開展漏洞掃描?
1、《中華人民共和國網絡安全法》:網絡運營者應制定網絡安全事件應急預案,及時處置系統漏洞等安全風險,發生危害網絡安全的事件時,立即啟動應急預案,采取補救措施并向主管部門報告。
2、《工業和信息化部 國家互聯網信息辦公室 公安部關于印發網絡產品安全漏洞管理規定的通知》工信部聯網安〔2021〕66號,網絡運營者發現或者獲知其網絡、信息系統及其設備存在安全漏洞后,應當立即采取措施,及時對安全漏洞進行驗證并完成修補。
3、《關鍵信息基礎設施安全保護條例》:對關鍵信息基礎設施每年進行網絡安全檢測和風險評估,及時整改問題并按要求報送情況。
4、《網絡安全等級保護容器安全要求》:應在容器鏡像創建或部署過程中掃描容器鏡像漏洞,對不安全的鏡像進行告警并阻斷創建或部署流程。
5、海南省醫療保障局、海南省衛生健康委員會、海南省藥品監督管理局共同印發《三醫真實世界數據使用管理暫行辦法》:存儲系統需配備防火墻、入侵檢測、訪問控制等安全措施,并通過定期滲透測試和漏洞掃描確保防護有效性。
第三方檢測機構為企業開展漏洞掃描檢測標準依據:
GB/T 34943-2017 《C/C++語言源代碼漏洞測試規范》
GB/T 34944-2017 《Java語言源代碼漏洞測試規范》
GB/T 34946-2017 《C#語言源代碼漏洞測試規范》
GB/T 30279-2020 《信息安全技術 網絡安全漏洞分類分級指南》
GB/T 25000.51-2016 《系統與軟件工程 系統與軟件質量要求和評價(SQuaRE)第51部分:就緒可用軟件產品(RUSP)的質量要求和測試細則》
在線客服1
400-004-1069