探索安全之道 | 企业漏洞管理：从理念到行动

如今，网络安全已经成为了企业管理中不可或缺的一部分，而漏洞管理则是网络安全的重中之重。那么企业应该如何做好漏洞管理呢？不妨从业界标准到企业实践来一探究竟！通过对业界标准的深入了解，企业可以建立起完善的漏洞管理体系，提高企业的网络安全水平。而在实践中，企业需要注重漏洞管理的全过程，包括漏洞的发现、评估、修复和验证。只有这样，才能让企业的网络安全更加可靠，让客户和用户放心使用企业的产品和服务。

1. 为什么组织需要漏洞管理

几乎所有的企业都在做漏洞管理，主要原因无外乎以下几点：

在漏洞被攻击者利用之前识别并解决漏洞，从而提高产品或服务的安全性和质量；
通过展示积极负责的漏洞管理方法，提高客户、合作伙伴和监管机构的信任度；
通过最大限度地减少漏洞的影响和暴露，降低处理安全事件、漏洞和诉讼的成本和风险；
遵守有关安全的法律法规要求，如《中华人民共和国网络安全法》、《信息安全技术网络安全漏洞管理规范》；
与安全和风险管理的最佳实践和框架保持一致，如 ISO/IEC 27001 或 NIST SP 800-53。

若对法律法规细节感兴趣，可以参阅如下法律法则文件(访问密码: 6277)：

2. 业界标准

ISO/IEC 29147涉及组织和报告者之间的接口，而 ISO/IEC 30111 则涉及组织内部流程，包括漏洞的分类、调查和修复。ISO/IEC 29147应与ISO/IEC 30111结合使用。因此，两项标准需一并认证。

2.1. ISO/IEC 29147 漏洞披露

ISO/IEC 29147 是一项国际标准，为组织提供有关披露产品和服务漏洞的要求和建议。漏洞披露可帮助用户保护其系统和数据、优先考虑防御性投资并更好地评估风险。漏洞披露的目标是降低与利用漏洞相关的风险。当多个供应商受到影响时，协调一致的漏洞披露尤其重要。

2.2. ISO/IEC 30111 漏洞处理流程

ISO/IEC 30111是一项国际标准，提供了有关如何处理和修复产品或服务中报告的潜在漏洞的要求和建议，涉及报告的调查并确定优先级、开发、测试和部署补救措施以及改进安全开发等活动。

3. 企业实践

华为公司致力于提升华为产品的安全性，全力支持客户网络和业务的安全运营。华为公司重视产品开发和维护的漏洞管理，并遵循ISO/IEC 30111、ISO/IEC 29147等标准建立完整的漏洞处理流程，以提升产品安全性，确保在发现漏洞时及时响应。

1、漏洞感知：接受和收集产品的疑似漏洞；
2、验证&评估：确认疑似漏洞的有效性和影响范围；
3、漏洞修补：制定并落实漏洞修补方案；
4、漏洞修补信息发布：面向客户发布漏洞修补信息；
5、闭环改进：结合客户意见和实践持续改进。

华为PSIRT全称为华为安全应急响应团队（Huawei Product Security Incident Response Team）。华为PSIRT是专职的团队，负责华为产品相关漏洞的接收、核查和披露。华为公司对外发布漏洞信息及修补方案采用如下三种形式：

安全通告：SA（Security Advisory)，安全通告包含漏洞严重等级、业务影响和修补方案等信息，用以传递漏洞修补方案。安全通告（SA）用于发布华为产品直接相关的严重（Critical）和高（High）等级的漏洞信息及修补方案。安全通告（SA）提供下载通用漏洞报告框架（CVRF）内容的选项，旨在以机器可读格式（XML文件）描述漏洞信息，以支持受影响客户的工具使用；

若想了解更多关于CVRF的信息，可以参阅博主文章《「网络安全常用术语解读」通用漏洞报告框架CVRF详解》
安全公告：SN（Security Notice），安全公告包含对产品公开安全话题的回应（含漏洞和非漏洞相关话题）。安全公告（SN）用于发布SSR评估为信息类（Informational）的问题相关信息，如公共论坛（如博客或讨论列表）中讨论的信息。同时，对有可能引起公众对华为产品版本中漏洞的广泛关注或华为公司已经观察到漏洞活跃利用等特殊场景下，安全公告（SN）也作为一种回应方式，以便相关客户了解华为公司对此漏洞的响应进展。【用以快速回应公众即曝光或已经曝光的疑似漏洞或产品安全话题，通常类似于媒体发言稿，可以不包含修补计划】；
版本/补丁说明书：RN（Release Note），版本/补丁说明书包含已修补的漏洞信息。作为产品版本/补丁发布的配套交付件的一部分，用于说明SSR评估为中（Medium）和低（Low）等级的漏洞。为方便客户从版本/补丁视角，综合评估版本/补丁的漏洞风险，版本/补丁说明书（RN）中也包含通过安全通告（SA）发布的漏洞信息及修补方案。对于私有云场景，华为公司在云服务产品的版本文档包含。对于终端场景，华为公司在例行补丁公告中包含。

4. 标准认证

若企业通过了ISO/IEC 29147 与 ISO/IEC 30111认证，则可说明企业：

意味着组织已实施了标准化的漏洞披露与处理流程。该流程涵盖软件产品或系统漏洞的识别、分析、解决和披露。通过遵循这一流程，组织可以证明其对安全、质量和客户满意度的承诺。
可以降低网络攻击、法律责任和声誉受损的风险。此外，通过ISO/IEC 29147及 ISO/IEC 30111 认证还能帮助组织改善内部沟通、协作以及参与漏洞处理的不同利益相关者之间的协调。它还能促进与外部各方（如供应商、研究人员和客户）的信息和最佳实践交流。