在网络安全问题日益突出的背景下,漏洞扫描是通过技术手段,识别出网络产品和服务存在漏洞的过程,第三方检测机构具有CNAS/CMA/CCRC等资质是开展漏洞扫描或渗透测试的重要资质,第三方检测机构利用漏洞扫描工具通过对网络、系统、应用程序等进行全面扫描,能够快速识别出潜在的安全漏洞,将获得的漏洞信息并将漏洞信息进行报告,形成第三方《漏洞扫描报告》。
哪些政策要求企业开展漏洞扫描?
1、《中华人民共和国网络安全法》:网络运营者应制定网络安全事件应急预案,及时处置系统漏洞等安全风险,发生危害网络安全的事件时,立即启动应急预案,采取补救措施并向主管部门报告。
2、《工业和信息化部 国家互联网信息办公室 公安部关于印发网络产品安全漏洞管理规定的通知》工信部联网安〔2021〕66号,网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。
3、《关键信息基础设施安全保护条例》:对关键信息基础设施每年进行网络安全检测和风险评估,及时整改问题并按要求报送情况。
4、《网络安全等级保护容器安全要求》:应在容器镜像创建或部署过程中扫描容器镜像漏洞,对不安全的镜像进行告警并阻断创建或部署流程。
5、海南省医疗保障局、海南省卫生健康委员会、海南省药品监督管理局共同印发《三医真实世界数据使用管理暂行办法》:存储系统需配备防火墙、入侵检测、访问控制等安全措施,并通过定期渗透测试和漏洞扫描确保防护有效性。
第三方检测机构为企业开展漏洞扫描检测标准依据:
GB/T 34943-2017 《C/C++语言源代码漏洞测试规范》
GB/T 34944-2017 《Java语言源代码漏洞测试规范》
GB/T 34946-2017 《C#语言源代码漏洞测试规范》
GB/T 30279-2020 《信息安全技术 网络安全漏洞分类分级指南》
GB/T 25000.51-2016 《系统与软件工程 系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》
