可以這樣點了又點，掃了還要掃嗎

適用人員: 技術人員。
適用法規: 資通安全責任等級分級辦法 - 附表技術面之資通安全弱點通報機制

技術面分類提要

• 網路架構
• 端點安全防護
  • 防毒軟體與軟體防火牆
  • 端點防護軟體 EDR
  • 政府組態基準 GCB
  • 弱點通報機制 VANS
• 應用開發

資通安全弱點通報機制，指結合資訊資產管理與弱點管理，掌握整體風險情勢，並協助機關落實本法有關資產盤點及風險評估應辦事項之作業。

VANS (Vulnerability Alert and Notification System)這項應辦事項是在今年9月正式通過的修法內容。所以單位內還未正式有一個準則施行，以下就目前所知說明 VANS 的目要以及要求。

VANS 雖然是資安法中最新的防護措施，其實內容就是行之有年的弱點通報。一般可以看做是會報欲統整所有機關的(CVE)弱點修補，可參照推廣說明:

• VANS 的主要流程有兩個，一是盤點資產、二是弱點通報。只需在 Windows 平台 盤點。
• VANS 也是技服中心設立的一個專區名字。上述的資產盤點結果就必須依照CPE格式上傳至此區。
• 技服會定時對這些清單內容定時比對是否有嚴重弱點
• 若有嚴重弱點會告知該單位的管理者，必須修補後再上傳回報

整理以上流程，預見的實際執行過程可能是由上級統一採購廠商產品後(技服也有提到內建工具可達成)，由各單位產出 CPE 格式後交付。待日後有弱點通知時，上級會再通知各單位修補並填表回報。最後再由上級單位統整上傳至 VANS 系統。

待日後有標準處理流程再修補本篇內容。

參考資源

技服中心政府機關資安弱點通報機制(VANS)專區