为什么要做漏洞管理，这些规定你都知道吗

　　漏洞管理对于做安全服务的朋友们应该一点也不陌生，但是对于一些普通企业员工或者小企业就是比较陌生了。那么，一般来说，什么时候要做漏洞扫描呢?我们来看看FreeBuf平台上的Doraemon是怎么说的。

　　漏洞的暴露和利用可能会给企业带来的不仅仅是巨大的经济损失，还有可能损害客户利益、企业名誉，甚至违反相关的法律法规。

　　法律法规的要求

　　等保2.0的安全运维管理中新增了(相对等保1.0)配置管理、漏洞和风险管理控制点，要求企业重视漏洞和补丁管理安全，做好配置管理工作，及时更新基本配置信息库，定期开展安全测评工作，提升企业积极主动防护的能力。很多企业也有要求对关键等级高的资产在上线前和重要变更时进行渗透测试，并每季度进行漏洞扫描，以发现新暴露的漏洞。另外，小程序、APP中对个人信息的收集也可能违反《中华人民共和国网络安全法》、《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》、《个人信息安全规范》、《消费者权益保护法》等法律法规中的相关规定。

　　行业的法律法规的要求

　　许多行业的法律法规都规定了对漏洞管理的要求，相关要求也逐渐扩展到各行各业。支付卡行业数据安全标准(PCI DSS)涉及所有处理支付卡业务的实体，并要求涉及的实体采用行业公认的测试方法，至少每年进行一次渗透测试，并且在环境做出重大变更后必须再次测试。对于最近火热的医疗行业，2018年出台的《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》、《互联网医院基本标准(试行)》均要求互联网诊疗相关系统实施三级网络安全等级保护，而在三级网络安全等级保护中规定了定期开展安全测评、形成安全测评报告并采取修复措施的要求。2019年6月发布的《网络安全漏洞管理规定(征求意见稿)》则将控制的范围扩大到“网络产品、服务提供者和网络运营者”，并要求相关组织或个人在获知网络产品或系统漏洞后，立即验证漏洞，“对相关网络产品应当在 90 日内采取漏洞修补或防范措施，对相关网络服务或系统应当在 10日内采取漏洞修补或防范措施”。

　　漏洞管理也可以从技术角度了解系统的信息收集与使用的情况，拿APP收集个人信息的行为来说，《中华人民共和国网络安全法》、《消费者权益保护法》、《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》中都规定了网络运营者不能未经用户同意收集使用个人信息。在实际的场景中，App安装后可能未经用户同意收集MAC地址、IP地址、用户地址位置等个人信息，或者在用户明确表示不允许收集的情况下，仍然收集这些信息。有些信息收集构成了《中华人民共和国网络安全法》中禁止的“收集与其提供的服务无关的个人信息”的行为。例如，一些APP可能强制索要用户的系统权限，如果用户不同意则拒绝提供相关业务服务(如美食类APP要求用户提供访问通讯录的权限、访问系统日志的权限等)。或者APP后台自动收集用户设配IMEI号、IMSI号地址位置等过于频繁，超过了业务实际需要。更多的场景和实例不再赘述，对敏感信息相关漏洞的测试和管理可以有效防止信息泄露并了解敏感数据收集、使用的情况，从而帮助APP开发者和管理者了解APP的合规性风险。

　　小编有话说：简单来说就是在一些网络安全的信息安全技术要求里面有提到漏洞扫描，或者说漏洞扫描是寻找一些系统不符合相关规定的内容的一种方式。通过对漏洞管理做出要求，可以制定一些漏洞管理的标准，提前发现一些已经知道的漏洞是否存在，从而规避这些漏洞带来的网络安全风险。例如利用漏洞扫描来发现APP收集个人信息是否合规，是否符合相关漏洞管理要求。而漏洞管理在等保2.0里面也有相关的规定。而这些规定的目的是减少漏洞带来的网络安全风险，帮助企业规避这些本可以提前发现规避的风险。