端点防护软件 - 弱点通报机制 VANS

可以这样点了又点，扫了还要扫吗

适用人员: 技术人员。
适用法规: 资通安全责任等级分级办法 - 附表技术面之资通安全弱点通报机制

技术面分类提要

• 网路架构
• 端点安全防护
  • 防毒软件与软件防火墙
  • 端点防护软件 EDR
  • 政府组态基准 GCB
  • 弱点通报机制 VANS
• 应用开发

资通安全弱点通报机制，指结合资讯资产管理与弱点管理，掌握整体风险情势，并协助机关落实本法有关资产盘点及风险评估应办事项之作业。

VANS (Vulnerability Alert and Notification System)这项应办事项是在今年9月正式通过的修法内容。所以单位内还未正式有一个准则施行，以下就目前所知说明 VANS 的目要以及要求。

VANS 虽然是资安法中最新的防护措施，其实内容就是行之有年的弱点通报。一般可以看做是会报欲统整所有机关的(CVE)弱点修补，可参照推广说明:

• VANS 的主要流程有两个，一是盘点资产、二是弱点通报。只需在 Windows 平台 盘点。
• VANS 也是技服中心设立的一个专区名字。上述的资产盘点结果就必须依照CPE格式上传至此区。
• 技服会定时对这些清单内容定时比对是否有严重弱点
• 若有严重弱点会告知该单位的管理者，必须修补後再上传回报

整理以上流程，预见的实际执行过程可能是由上级统一采购厂商产品後(技服也有提到内建工具可达成)，由各单位产出 CPE 格式後交付。待日後有弱点通知时，上级会再通知各单位修补并填表回报。最後再由上级单位统整上传至 VANS 系统。

待日後有标准处理流程再修补本篇内容。

参考资源

技服中心政府机关资安弱点通报机制(VANS)专区