iT邦幫忙

2021 iThome 鐵人賽

DAY 16
0
Security

作業抄起來!資通安全管理法什麼的系列 第 16

端點防護軟體 - 弱點通報機制 VANS

  • 分享至 

  • xImage
  •  

可以這樣點了又點,掃了還要掃嗎
https://ithelp.ithome.com.tw/upload/images/20211001/20103688DgVX5pWM3V.png


適用人員: 技術人員。
適用法規: 資通安全責任等級分級辦法 - 附表技術面之資通安全弱點通報機制

技術面分類提要

  • 網路架構
  • 端點安全防護
    • 防毒軟體與軟體防火牆
    • 端點防護軟體 EDR
    • 政府組態基準 GCB
    • 弱點通報機制 VANS
  • 應用開發

資通安全弱點通報機制,指結合資訊資產管理與弱點管理,掌握整體風險情勢,並協助機關落實本法有關資產盤點及風險評估應辦事項之作業。

VANS (Vulnerability Alert and Notification System)這項應辦事項是在今年9月正式通過的修法內容。所以單位內還未正式有一個準則施行,以下就目前所知說明 VANS 的目要以及要求。

VANS 雖然是資安法中最新的防護措施,其實內容就是行之有年的弱點通報。一般可以看做是會報欲統整所有機關的(CVE)弱點修補,可參照推廣說明:

  • VANS 的主要流程有兩個,一是盤點資產、二是弱點通報。只需在 Windows 平台 盤點。
  • VANS 也是技服中心設立的一個專區名字。上述的資產盤點結果就必須依照CPE格式上傳至此區。
  • 技服會定時對這些清單內容定時比對是否有嚴重弱點
  • 若有嚴重弱點會告知該單位的管理者,必須修補後再上傳回報

整理以上流程,預見的實際執行過程可能是由上級統一採購廠商產品後(技服也有提到內建工具可達成),由各單位產出 CPE 格式後交付。待日後有弱點通知時,上級會再通知各單位修補並填表回報。最後再由上級單位統整上傳至 VANS 系統。

待日後有標準處理流程再修補本篇內容。

參考資源

技服中心政府機關資安弱點通報機制(VANS)專區


上一篇
端點防護軟體 - 政府組態基準 GCB
下一篇
輕鬆小單元 - 名詞定義
系列文
作業抄起來!資通安全管理法什麼的34
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言