漏洞管理策略
由信息服务与技术副总裁Tracy Schroeder于2018年4月9日批准。脆弱性咨询委员会最后一次审查是在2022年12月15日。
目的及范围
资讯保安负责协助保护大学的电子资讯。为此,信息安全对整个企业进行定期扫描,寻找配置错误和/或不安全的电子设备。然后,信息安全与IS&T、IT合作伙伴和其他单位合作,验证和修复发现的漏洞,特别是在发现新威胁时。
该策略适用于所有IS&T管理的系统。我们强烈鼓励大学里所有的非is&t IT组织也采用这一政策。
基线的期望
根据大学政策最低安全标准,系统预计将运行当前支持的操作系统,打补丁,并定期维护。
根据该政策,负责连接到大学网络的系统的个人应分配或获取资源,以修复由漏洞扫描发现的问题,这些问题不能通过定期修补来解决。
项目管理
脆弱性管理是一种服务组件的的服务器安全服务客户服务. 导演信息安全的标准是S服务方面Own和是对此负责监督程序。 导演应指定一名服务组件管理器,该管理器同时也是此策略下的漏洞管理器。
技术
漏洞管理工具评估补丁级别并应用补丁,扫描和修复配置漏洞,识别电子设备及其上运行的软件应用程序的软件漏洞。常见的漏洞管理工具包括补丁管理工具、漏洞扫描器以及报告和验证工具。漏洞扫描工具通过执行已验证和未验证的检查来工作。需要经过身份验证的检查,因为它们要准确得多。
扫描认证要求
扫描通过执行检查,技术才能发挥最佳作用直接在系统上。一个服务帐户或同等与适当的特权是需要艾德 为这些工具有效地工作。的脆弱性管理者应提供有关如何配置所需设备的文件特权.
过程
信息安全总监应组建一个漏洞咨询委员会(VAB),由漏洞经理领导,由VAB章程中详述的成员组成。
VAB定期召开会议,审查和评估补丁和漏洞扫描数据,为漏洞分配优先级,并确定将在未来几天/几个月分配和执行哪些修复项目。为处理紧急威胁,将根据需要召开紧急小组会议。
VAB创建并分配修复项目,报告修复漏洞的进度,升级与未修复漏洞相关的问题和风险,并授权系统管理部门代表无响应的系统所有者分配补丁和重新启动时间表。
修复目标优先级
下表定义了如何分配补救优先级以及每个优先级中漏洞的目标解决时间框架。在表示时间时使用“天”和“工作日”是很重要的—并不是所有的漏洞都可以等到下一个工作日的开始。
| 优先等级 | 定义 | 初始赋值 | 目标分辨率 | |||
| P1 | 可以在没有补偿控制的情况下远程利用的漏洞 | 1天 | 2天 | |||
| P2 | 可以通过补偿控件远程利用的漏洞 | 2个工作日 | 1周 | |||
| P3 | 不能远程利用的漏洞 | 常规修补 | 45 - 60天 | |||
| P4 | 不能立即被利用的弱点。 | 常规修补 | 90天 | |||
可能有必要在上述优先级排名中进一步对主机进行优先级排序。主机应根据数据分类进行优先级排序,首先修复包含限制使用数据的主机。请注意,一些遵从性需求(如PCI)可能要求更短的解析时间框架。一旦限制使用系统得到保护,应根据风险,考虑到破坏的影响和妥协的可能性,对其余系统进行补救。可以使用专用网络寻址和其他补偿控制来确定列表的优先级。VAB可以根据具体情况提供额外的指导。
扫描过程中的豁免
漏洞管理扫描是一个安全组织的基本实践,目标是有100%的参与。如果参与对系统产生问题,系统所有者或管理员应直接与信息安全和/或VAB合作,审查可能的选择。这些选项可能包括禁用可能导致问题的特定漏洞检查。解决具体问题的方法将优于一般豁免,因为更一般的豁免可能会导致错过关键漏洞。
只有在单位负责人签署风险接受表并提交给信息安全部门并获得IS&T副总裁或指定人员的批准后,才能授予整个系统的漏洞扫描豁免。
注意:专用网络和/或部门或基于主机的防火墙规则通常不被认为是充分的补偿控制,因为这些规则经常被禁用和/或删除以进行故障排除,这将使这些系统容易受到攻击。
权威
大学政策最低安全标准指出,“应该定期扫描系统的漏洞,发现的漏洞应该迅速修复。”根据网络安全培训、合规和补救政策,IS&T将对连接到大学网络的计算技术进行例行扫描和审计,以寻找可能表明不符合最低安全标准的漏洞。
参考文献
漏洞管理服务页面
最低保安标准
网络安全培训、合规和补救