1. 法令に基づく脆弱性管理要件
脆弱性は、ネットワークの攻撃と防御のための戦略的なリソースです。
近年、米国では脆弱性開示管理に関する一連の関連規制や法案が公布されており、脆弱性開示の管理は非常に厳格かつ慎重になっています。米国が長い間、脆弱性をマイニング、収集、および厳格な管理のためのサイバー兵器としてみなしてきたことを理解するのは難しくありません。脆弱性管理チェーンで重要な役割を果たすネットワーク セキュリティ企業として、自社のセキュリティ技術と人材の優位性を活用して、脆弱性の発見、修復、処分においてより重要な役割を果たし、国家レベルとセキュリティレベルを向上させる必要があります。ソーシャルネットワークのセキュリティ保護。
1.1 国内の規制要件
現在、中国には抜け穴に関する管理規制がいくつかあります。
2019 年 6 月 1 日: 工業情報化部の「ネットワーク セキュリティ脆弱性管理規則 (意見募集草案)」が更新されました。 2021 年 7 月 12 日: 工業情報化部、国家インターネット情報局、および国家インターネット情報化
省公安「ネットワーク製品セキュリティ脆弱性管理規則」 2021 年 9 月 2013 年 12 月 31 日発効
: 国家標準 | 「GB/T 30276-2013 情報セキュリティ技術情報セキュリティ脆弱性管理仕様」は無効になりました 2020 年 11 月 19 日: 国家標準 | 「GB
」 /T 30276-2020 情報セキュリティ技術ネットワークセキュリティ脆弱性管理仕様
1.1.1 「ネットワーク製品セキュリティ脆弱性管理規程」の目的と意義は何ですか?
主な目的は、国家ネットワークのセキュリティを維持し、ネットワーク製品や重要なネットワーク システムの安全かつ安定した運用を保護し、脆弱性の発見、報告、修復とリリースなどを標準化することです。さまざまな主体がそれぞれの技術的およびメカニズムの利点を活用して、脆弱性の発見、収集、リリースなどの関連作業を実行することを奨励します。「規則」の公布により、ネットワーク製品のセキュリティ脆弱性管理の制度化、標準化、合法化が促進され、関係機関の脆弱性管理レベルが向上し、標準化された秩序ある動的な脆弱性収集および公開チャネルの構築が指導され、脆弱性の防止が行われます。ネットワークセキュリティにおける重大なリスク国家ネットワークのセキュリティを保証します。
1.1.2 国家情報セキュリティ標準化技術委員会「GB∕T 30276-2020 情報セキュリティ技術ネットワークセキュリティ脆弱性管理仕様」の責任
ネットワークセキュリティ脆弱性管理プロセスの各段階(脆弱性の発見と報告、受信、検証、廃棄、リリース、追跡など)の管理プロセス、管理要件および検証方法。
1.2 「ネットワーク製品セキュリティ脆弱性管理規程」の解釈
これは、企業向けネットワーク オペレータである次の 3 種類の管理オブジェクトに分かれています。
1.2.1 「ネットワーク製品セキュリティ脆弱性管理規則」では 2 種類の主体責任を確認
ネットワーク製品プロバイダーまたはネットワークオペレーターのいずれであっても、ネットワーク製品のセキュリティ脆弱性情報を受信するチャネルを確立および改善して公開し、脆弱性受信ログを 6 か月以上保存する必要があります。
ネットワーク製品プロバイダー:
受信: ネットワーク セキュリティ製品のセキュリティ脆弱性に関する情報を受信するチャネルが確立され、妨げられることなく維持される必要があり、脆弱性受信ログは 6 か月以上保存される必要があります。
提供されたネットワーク製品にセキュリティ上の脆弱性があることを発見または知った場合:
検証:ただちに対策を講じ、セキュリティ上の脆弱性の検証と評価を整理し、上流の関連製品提供者に直ちに通知します。
提出: 関連する脆弱性情報を工業情報化部のネットワークセキュリティ脅威および脆弱性情報共有プラットフォームに 2 日以内に提出する必要があります。
修復: 脆弱性の修復は適時に計画され、影響を受ける可能性のある製品ユーザーには脆弱性のリスクと修復方法が適時に通知され、必要な技術サポートが提供される必要があります。
ネットワークオペレーター:
受信: ネットワーク製品のセキュリティ脆弱性情報を受信するための音声チャネルが確立され、妨げられることなく維持される必要があり、脆弱性受信ログは 6 か月以上保存される必要があります。
修復: ネットワーク、情報システム、および機器にセキュリティ ホールがあることを発見または知った後、セキュリティ ホールを検証し、適時に修復を完了するための措置を直ちに講じる必要があります。
1.2.2 「ネットワーク製品のセキュリティ脆弱性の管理に関する規制」は、企業がセキュリティ脆弱性に対する報酬メカニズムを確立することを奨励しています。
規定:
第 6 条: 関連する組織および個人が、自社製品のセキュリティの抜け穴をネットワーク製品プロバイダーに通知するよう奨励します。
第 7 条: ネットワーク製品プロバイダーに対し、提供するネットワーク製品のセキュリティ脆弱性に対する報酬メカニズムを確立し、提供するネットワーク製品のセキュリティ脆弱性を発見して報告した組織または個人に報酬を与えることを奨励します。
影響:
ホワイト ハットは、中国のインターネット業界で無視できない技術力です。現在、ほとんどのネットワーク セキュリティ製品プロバイダーは、独自のセキュリティ緊急対応部門 (SRC) を持っています。これらの企業部門では、脆弱性提出者に対する報奨カンファレンスが毎年開催されています。これは同等です。製品のセキュリティ向上を支援する外部の「ホワイト ハット」に報酬を与えること。今回公開された「規定」では、ネットワーク脆弱性の標準化された管理をポリシーや規制のレベルからさらに明確にし、ネットワーク製品の脆弱性の取り扱いやライフサイクルプロセスを標準化し、脆弱性を利用して違法行為を行うことを禁止する。
また、「規制」は、セキュリティ エコシステム内のさまざまな主体がそれぞれの利点を最大限に発揮し、企業や社会組織を動員して独自の脆弱性管理プラットフォームを構築し、脆弱性の発見、収集、リリースおよびその他の関連する活動に参加して実行することを奨励します。標準化された方法で作業します。
この規制の解除は、脆弱性プラットフォームの運用や脆弱性ライフサイクル管理プラットフォームの研究開発に携わる企業にもプラスの影響を与えるだろう。
1.2.3 「ネットワーク製品セキュリティ脆弱性管理規程」の発行要件
(1) 脆弱性情報は、ネットワーク製品提供者がネットワーク製品のセキュリティ脆弱性修復措置を実施する前に公開してはならないが、事前に公開する必要があると判断した場合には、当該ネットワーク製品提供者と共同で評価・交渉し、当省に報告するものとする。工業情報化省および公安省による評価後、工業情報化省および公安省が発表。
(2) ネットワーク事業者が使用するネットワーク、情報システム、機器のセキュリティの抜け穴の詳細を公表することは認められません。
(3) ネットワーク製品のセキュリティの脆弱性の害とリスクを意図的に誇張してはならず、ネットワーク製品のセキュリティの脆弱性に関する情報を利用して悪意のある投機を行ったり、詐欺、恐喝、その他の違法な犯罪行為を行ったりしないでください。
(4) ネットワーク製品のセキュリティの抜け穴を悪用してネットワークのセキュリティを危険にさらす活動に従事するように特別に設計されたプログラムやツールを公開または提供してはなりません。
(5) ネットワーク製品のセキュリティ脆弱性を公表する場合、修復または予防策も同時に公開する必要があります。
(6) 国家が開催する主要なイベントの際には、公安省の同意なしに、ネットワーク製品のセキュリティ脆弱性に関する情報を許可なく公開してはならない。
(7) 未公開のネットワーク製品のセキュリティ脆弱性情報を、ネットワーク製品提供者以外の海外の組織や個人に提供しないこと。
(8) その他関係法令の規定。
1.2.4 「ネットワーク製品セキュリティ脆弱性管理規程」脆弱性収集基盤要件
(1) ネットワーク製品のセキュリティ脆弱性の発見・収集を行う組織は、内部管理を強化し、ネットワーク製品のセキュリティ脆弱性情報が法令に違反して漏洩・公表されないよう対策を講じなければならない。
(2) ネットワーク製品のセキュリティ脆弱性収集プラットフォームは工業情報化部に提出する必要があり、工業情報化部は直ちに公安部および中国サイバースペース局に通知した後、脆弱性収集プラットフォームを公開します。申請を通過したもの。
(3) 4 つの主要なプラットフォームでセキュリティ脆弱性を収集するよう組織に奨励する: 工業情報化省ネットワーク セキュリティ脅威および脆弱性情報共有プラットフォーム、国家ネットワークおよび情報セキュリティ情報通知センター脆弱性プラットフォーム、国家コンピュータ ネットワーク緊急技術処理調整センター脆弱性プラットフォーム, 中国情報セキュリティ評価 中央脆弱性ライブラリは、ネットワーク製品のセキュリティ脆弱性情報を報告します。
1.2.5 ネットワーク製品セキュリティ脆弱性管理規則に係る罰則
(1) ネットワーク製品プロバイダーが本規定に従ってネットワーク製品のセキュリティ脆弱性を修正または報告する措置を講じなかった場合、工業情報化部および公安部はそれぞれの責任に従ってこれに対処する。
(2) ネットワーク事業者が本規則に従ってネットワーク製品のセキュリティ上の脆弱性を修復または防止するための措置を講じなかった場合、および「ネットワーク規則第 62 条に規定する事態に該当する場合」には、関係主管部門が法律に従ってこれに対処するものとします。中華人民共和国安全維持法」に違反した場合は、この規定に従って処罰されます。(3) 本規定に違反してネットワーク
製品のセキュリティ脆弱性情報を収集、公開した者は、工業情報化部と公安部がそれぞれの責任に従って対処するものとする。
脆弱性を利用してネットワークのセキュリティを危険にさらす活動に参加したり、ネットワーク製品を他者に使用したりする行為 セキュリティの脆弱性を通じてネットワークのセキュリティを危険にさらす活動に対する技術サポートを提供する者は、法律に従って公安機関によって取り扱われます。
2. 実際のシナリオにおける脆弱性管理の問題点
ネットワークセキュリティの脆弱性は指数関数的に増加し、段階的保護2.0の進化に伴い、「ネットワーク製品セキュリティ脆弱性管理規程」が制定されます。ネットワーク セキュリティ保護における最も基本的かつ最も重要なリンクである脆弱性管理は、常に緩めることはできません。
2.1 企業が直面する主要なセキュリティリスク
近年、インターネットの急速な発展に伴い、さまざまなネットワークインタラクティブ機能を実現するネットワーク製品の適用範囲はますます広がっていますが、それに伴いソフトウェアやハードウェアの脆弱性によるセキュリティ問題も発生しています。中国の国家情報セキュリティ脆弱性データベースであるCNNVDの統計によると、6月30日現在、2021年上半期にCNNVDが収集した中国インターネットの脆弱性の総数は9,639件に達し、月平均数は1,607件となっている。
過去 2 年間の公安省のハードウェア活動によると、12 の主要なセキュリティ問題のうちの 1 つは次のとおりです。 脆弱性修復の速度が遅い
権威ある組織 Gartner の調査結果によるものであっても、公安省のネットワーク保護業務によって要約された直感的な経験によるものであっても、セキュリティ インシデントの主な理由は、既知のセキュリティの脆弱性が発見されず、効果的に修正されないことです。既知の脆弱性は大きなリスクです。重大な脆弱性をタイムリーに発見して修正するには、包括的な検出機能と効率的な脆弱性クローズドループ管理機能を強化することが最も重要です。
2.2 実際の脆弱性ライフサイクルの問題点
19 年前、中国東方航空のアプリケーション脆弱性ライフサイクルはクローズドループ管理を形成していましたが、多くの作業が手動またはオフラインで行われており、煩雑でした。ポイントセキュリティデバイスのスキャンと手動侵入テスト。多くの問題点があります。
2.2.1 脆弱性検出段階の問題点
1. 内部および外部のネットワーク資産が膨大であり、脆弱性スキャンが困難
2. テスト スクリプトを手動で記述する必要があり、テストを完了するには多数の手動による継続的な介入が必要です。
2.2.2 脆弱性評価段階の問題点
脆弱性が検出されると、国際的な脆弱性スコア基準「CVSS」の10項目に基づいて脆弱性の危険度が手動で計算され、修復期間が設定されます。
2.2.3 レポート作成段階の問題点
セキュリティ担当者は、大量のソリューションと脆弱性テストのレポートを繰り返し作成する必要があります
2.2.4 資産特定段階の問題点
脆弱性報告書作成後は、電話・メールによる相談方法や、プロジェクトチーム、ホスト、ネットワーク部門の資産所有権の問い合わせ、資産担当者の確認など、複数のチャネルで資産情報を問い合わせる必要があり、資産に関するコミュニケーションの電子メールや電話が大量に発生し、資産確認の適時性や正確性が難しくなり、人件費が増加します。
2.2.5 脆弱性再テスト段階の問題点
プロジェクトの検出プロセスでは、大量の情報収集、電子メールでのやり取り、脆弱性追跡プロセスが非常に複雑な問題解決につながり、情報セキュリティ担当者の多大なエネルギーと時間が消費されます。一方、電子メールでプロジェクト マネージャーに脆弱性を投稿するには、電話、WeChat、電子メールを通じて、修復計画について詳細なコミュニケーションを何度も行う必要があります。プロジェクト関係者は脆弱性を修正した後、脆弱性修復担当者に次のことを通知します。脆弱性の再テストは、脆弱性が解決されるまで完了します。
データ記録によると、2018 年に 1 人の情報セキュリティ担当者が脆弱性の修復と再テストのために送信した通信メールは 1,200 件を超えていました。
2.2.6 脆弱性保管段階の問題点
1. 脆弱性によるリスクを定量化することは不可能であり、脆弱性の運用を改善することは不可能です 2. 検出
された脆弱性データは Excel テキストで保存されます 期限を過ぎて修復されていない脆弱性については、黄色のマークを付け、手動で追跡および修復情報セキュリティ テストの週次レポートを作成します。
3. 例えば、アプリケーション層の脆弱性の種類に応じて、過去の脆弱性や修復提案の知識を蓄積し、セキュリティトレーニング資料を作成する設計になっており、各部門や各個人のセキュリティ意識を統計することは不可能です。
脆弱性管理の 3 段階
これら 5 つの段階を比較すると、多くの企業は成熟度の第 2 段階または第 3 段階にあることが多く、脆弱性管理システムの構築前の状態は、構築後の企業のセキュリティリスクを低減するという最終目標に達していません。プラットフォームの。
4. 中国東方航空の脆弱性管理プラットフォームの実践的な調査
技術レベル:脆弱性管理プラットフォームは、企業内のすべてのセキュリティ脆弱性を管理し、脆弱性のライフサイクル全体のオンライン追跡と処理を実現し、追跡可能性を確保し、脆弱性処理プロセスの保守と効率的な実行を保証し、脆弱性を視覚化して定量化します。業務の開発により、企業の脆弱性とセキュリティの経験が効果的に蓄積され、企業独自のセキュリティ知識ベースが形成されます。管理レベルでは、脆弱性管理規定と支社のセキュリティ連絡メカニズムが構築され
ます。脆弱性全体の処理プロセス、脆弱性レベルの評価基準、脆弱性修復時間、対応する情報セキュリティ連絡窓口など、運用レベル:運用レベルで脆弱性運用指標を定義・明確化
し、専門担当者を配置し、脆弱性リスクの多面的な定量化と管理を実現し、継続的な脆弱性運用を通じて可視化することで、脆弱性対応プロセス全体をクローズドループ化します。
4.1 中国東方航空の脆弱性管理プラットフォームの実践的な調査 - 継続的なセキュリティ スキャン運用プロセス
大量の分散資産の問題を解決する:
中国東方航空グループとその子会社には十数社の子会社があり、インターネットコンセントとイントラネット専用回線の状況は比較的複雑で、資産総額は10万以上に上ります。社内外のネットワークを介して資産調査ノードとマッピングノードを展開し、グループ統括会社と子会社がカバーする体制を実現 APIで各種ホストとWEB欠落スキャンデバイスを連携し、週次、月次の自動タイミングスキャンタスクをそれぞれ設定して監視することが可能脆弱性と資産のフィンガープリント: あらゆる種類のデータが脆弱性管理システムに自動的に同期され、一元管理されます。
資産と組織構造のドッキング:
同時に、中国東方航空の中核データセンター コンピュータ ルーム CMDB の資産情報とグループの人員組織構造情報をドッキングし、運用データ センター サーバーが組織構造と所有権を特定できるようにしました。いつでもスタッフ。新しいドメイン名とポートが外部ネットワーク上に公開されると、API を介して脆弱性管理システムの資産モジュールに自動的に入力され、資産モジュールには新しく追加された資産を毎週異なる色のマークでリマインダーが表示されます。
高リスクの緊急スキャンを実現:
ハードウェアまたは一部の高リスクの脆弱性の早期警告段階で、POC が見つかった場合は、スクリプトを直接作成するか、分散された欠落しているスキャン ツールを更新して、単一ポートの高リスクを介して迅速なカバレッジ スキャン検出を実行できます。 -あらゆる資産をカバーするリスクサービスにより、NdayまたはOdayの危険を大幅に軽減します。
状況認識システムの脆弱性の実践:
エンタープライズ状況認識システムでは、資産の脆弱性として脆弱性管理の脆弱性部分を状況認識に移します。一部の脆弱性のペイロードをトリガーするなど、実際の HW ケースでは問題が発生することがわかりました。はい、資産には実際にこの脆弱性があるため、インシデントに対処するために緊急プロセスを迅速に起動できます。
4.2 中国東方航空の脆弱性管理プラットフォームの実践的な調査 - プラットフォームの脆弱性のライフサイクル全体の追跡の実現
イースタン航空のセキュリティ脆弱性管理プラットフォームは、脆弱性の全ライフサイクルに基づいて確立されています。脆弱性修復プロセス全体は 5 つの段階に分けることができます。このプロセス中に脆弱性のステータスが変化すると、システムは自動的に電子メールによるリマインダーをトリガーします。関係者。
保留中のレビューステータス:
API またはスキャンミス、ブラックボックス検出、侵入テストの提出などのさまざまなチャネルを介したオンライン送信を通じて、保留中のレビューキューに入り、情報セキュリティの専門家が電子メール通知を受け取り、二次確認、レビュー、および採点を行います。脆弱性の。
確認状況:
該当資産の担当者(CC部門リーダー+セキュリティ連絡担当者)は、新たな脆弱性リマインダーメール受信後、脆弱性管理基盤にログインし、脆弱性の詳細を確認し、脆弱性の修復スケジュールを検討することができます。
脆弱性修復段階:
この時点で脆弱性修復段階に入り、資産の担当者が実際の状況に応じて修復することができ、研究開発修復のためにレポートを PDF やその他の形式にエクスポートすることもできます。
この段階で、脆弱性のリスクが制御可能であると判明した場合、リスク受容はオンラインで開始でき、リスク受容は監督者の電子メールまたは書面による承認によって直接アップロードする必要があります。
この段階で、資産の所有権が間違っていることが判明した場合は、その資産を直接報告し、新しい資産の担当者に譲渡することができます。
脆弱性再テスト段階:
脆弱性の修復が完了すると、資産の担当者は脆弱性管理プラットフォーム上で「再テストの送信」を開始し、この際、システムからセキュリティ専門家にリマインドメールが送信されます。情報を受け取ったセキュリティ専門家が脆弱性を検証し、脆弱性が修正されたかどうかを確認します。
検証に合格した場合、脆弱性の提出者は脆弱性管理プラットフォームの「修復完了」ボタンをクリックすると、脆弱性は自動的に次の段階に入ります。検証が失敗した場合、脆弱性の提出者は「修正」ボタンをクリックし、脆弱性は自動的に前の段階に戻ります。
脆弱性終了ステージ:
脆弱性終了ステージでは、[ナレッジ ベースの同期] ボタンを直接選択して、脆弱性の詳細な修復提案を脆弱性タイプのナレッジ ベースに同期し、閉じるボタンを直接クリックして保存を完了できます。
4.3 イースタン航空脆弱性管理プラットフォームの実践的な調査 - 6 つのコア機能モジュール
このプラットフォームは、資産管理、脆弱性管理、脆弱性統計、パーソナル センター、タスク管理、脆弱性ナレッジ ベースという 6 つのコア機能モジュールを実装しています。
脆弱性管理機能:脆弱性ライフサイクル管理の基本機能に加え、脆弱性レベル(CVSS 3.0ベクトル計算機を内蔵)、脆弱性ソース、タイプ管理、内部および外部ネットワークの脆弱性有効期限管理などが含まれます。
脆弱性統計:脆弱性統計は、脆弱性状況を多面的に定量化・可視化することを実現し、関連するグラフリストを直接エクスポートできます。
パーソナル センター: 脆弱性関連の To-Do 項目が一目で明確になります
タスク管理: プロジェクト立ち上げのセキュリティ検出のための特別な機能です非アジャイル プロジェクトの場合、プロジェクト マネージャーは脆弱性管理を通じて直接クエリとテストを行うことができ、自動的にgit および svn コード ウェアハウスのソース コードを読み取る監査スキャン。結果は関連プロジェクトに自動的に取得され、セキュリティ専門家によるレビューに合格した後、プロジェクトのオンライン セキュリティ検査レポートを自動的にリリースできます。
脆弱性知識ベース: 脆弱性修復ソリューションと技術的な説明。
資産管理モジュール
資産管理:中核となる機能には資産の追加、編集、削除、資産リストなどの機能が含まれ、資産関連付け担当部門、セキュリティ連絡責任者、資産担当者などを実現します。資産のアクティブな資産監視と二次利用のための CMDB API データ読み取りを通じて、資産のフィンガープリントとポート サービス情報を関連付けることができます。
脆弱性管理モジュール
脆弱性管理: 一般的なホストの脆弱性と Web レベルの脆弱性を含む、Web サイトの脆弱性管理に分かれています。詳細なシステム インターフェイスでは、資産が組織構造の下で部門のセキュリティ担当者に関連付けられている限り、資産と自動的に照合できることがわかります。資産の申請者は最初の責任者です。この担当者は、期限を過ぎた脆弱性を毎週解消して修復を促したり、内部コメントを追跡したりするなど、情報セキュリティ担当者が多くのプレッシャーを共有できるよう支援します。
4.4 イースタン航空脆弱性管理プラットフォームの実践的調査 - 脆弱性管理の詳細設計
脆弱性提出インターフェース:
脆弱性警告メール:
プロジェクト立ち上げセキュリティテスト合格レポート:
4.5 中国東方航空の脆弱性管理プラットフォームの実践的調査 - 多次元の漏洩状況の監視と分析
週次および月次の脆弱性比率、セキュリティ専門家による脆弱性監査率、さまざまな状態での処理された脆弱性と保留中の脆弱性の統計など、さまざまな時点のノードおよびさまざまな組織構造での脆弱性データの概要の統計分析を通じて。これらのデータは、週次または月次のセキュリティ データ分析において非常に重要で価値があります。
1. 情報セキュリティ部門は各四半期内で脆弱性の種類に応じてトップ 10 をランク付けし、脆弱性修復トレーニング計画を作成し、研究開発部門を組織して実際の脆弱性シナリオを伴うトレーニングを実施します。
2. 脆弱性の種類ごとの修復提案はシステムのナレッジ ベースの内容に反映され、セキュリティ担当者がいつでも保守および更新できます。一部の欠落したスキャンとセキュリティ デバイスがドッキングされているため、開発者により便利な修復エクスペリエンスを提供するために、複数のチャネルを通じて脆弱性に関する知識のソースの選択をサポートするよう最善を尽くしています。
3. 異なる権限を持つ異なるロールについて、システム内のこの脆弱性タイプで過去に影響を受けた履歴の脆弱性を確認できるため、後のセキュリティ トレーニングで実際の事例資料を収集する利便性が向上します。
4.6 イースタン航空脆弱性管理プラットフォームの実践的調査 - 多次元漏洩状況の監視と分析
役割管理
5 つの役割: セキュリティ専門家、セキュリティ担当者、部門リーダー、一般ユーザー、管理者
セキュリティ専門家: 脆弱性の提出、管理、資産管理
セキュリティ担当者: 自分の部門のすべての脆弱性と資産を表示および管理
一般ユーザー: 自分自身を表示および管理資産と脆弱性について
構造化されたアカウント管理
内部アカウント システムに接続し、認証構造とアカウント情報を自動的に同期します
セキュリティ制御: ログイン ポイントは 2 要素認証コードを使用して企業 WeChat メッセージ プラットフォームに接続され、
アカウント ログインを禁止することができます
パーソナル センターの
セキュリティ専門家: 期限切れ、週次および月次で処理された脆弱性の動態を表示、監査、再テストできます。 セキュリティ
連絡責任者: 修理対象部門、期限超過、週次および月次で処理された脆弱性の動態を表示できます。
一般ユーザー: 自分の保留中の修理、脆弱性を表示できます。有効期限が切れており、毎週処理されているもの
4.7 中国東方航空脆弱性管理プラットフォームの実践的な探求 - 脆弱性管理プラットフォームの価値
5、最後に書きます
しかし、脆弱性管理プラットフォームは存在するだけでは不十分で、プラットフォームがあっても誰も利用しなければ、プラットフォームの価値は反映されません。したがって、脆弱性管理を適切に行うには、技術、管理、運用の 3 つのレベルで協力し、相互に連携する必要があります。
管理手段による脆弱性修復プロセスとセキュリティ連絡責任者の責任の明確化・標準化、
技術的手段による脆弱性修復プロセスの効率的かつ効果的な実行の実現・確保、脆弱性リスクの定量化・可視化、
脆弱性管理・運用の技術面からの支援発達;
最後に、継続的な脆弱性運用を通じて、脆弱性処理プロセス全体が完全な閉ループを形成し、脆弱性処理プロセス全体を継続的に最適化し、最終的に脆弱性管理のレベルと機能を継続的に向上させるという目標を達成します。