在資訊安全管理的作業中,針對資訊資産的定期性的弱點評估已經是必要的日常工作。企業或機關期望透過有效的弱點管理作業,來降低資訊資産可能發生的潛在風險。然而,在中大型企業或機關中,由於資訊資産數量較多,弱點評估結果(尤其是技術性弱點掃描的結果)同様的也經常多到讓資安管理人員相當煩惱,同様的弱點管理的相關工作也佔據了他們大部份的工作時間,特別在弱點的通報、處理及追蹤這類非專業性的人工作業。

弱點案件管理系統就是設計用來降低企業或機關在弱點管理工作上的負擔,透過自動化的弱點案件管理系統有效落實弱點管理作業,降低潛在的資安風險。

系統功能說明

vms-fig-02

  • 弱點掃描結果匯入
    目前可支援下列弱點評估工具之掃描結果直接匯入:
    • McAfee Vulnerability Manager(FoundScan)
    • Tenable Nessus
    • HP WebInspect
    • IBM AppScan
    • Acunetix Web Vulnerability Scanner

    也可以將弱點評估結果轉換成「標準CSV弱點淸單」批次匯入本系統,或者直接手動輸入弱點,適合用於人工弱點評估(如:滲透測試服務)所發現的弱點。

    *註:其他目前尚未支援的弱點掃描工具之匯入,可採用客製方式整合。

  • 組織架構及人員管理
    弱點案件的管理需要弱點處理人員回報修補結果,且弱點處理的方式及結果應由主管進行審查,以滿足資安稽核的要求。因此本系統必須提供有關組織架構及人員的管理的相關功能,但為降低本系統在人組織架構及人員管理上的額外負擔,可提供下列方式來同步目前已經存在的組織架構及人員資料。
    • Windows Active Directory 同步
    • 標準CSV組織及人員淸單匯入

    *註:本公司提供客製服務,可自動同步其他組織架構及人員的資料來源,例如:人事系統。

  • 資訊資産管理
    本系統提供資訊資産管理功能的主要目有二,其一、是將資訊資産與處理人員建立連結,在弱點資訊匯入後,系統能自動判斷弱點的處理人員。其二、是透過資産的價值及資産的暴露等級決定弱點案件的等級。可透過下列方式來建立及管理資産:
    • 弱點匯入時自動建立或更新資産内容
    • 標準CSV資産淸單匯入
    • 手動自行建立或更新資産
  • 弱點案件管理
    vms-fig-03

 

本系統中的主要功能,包含下列弱點案件管理功能:
  • 弱點案件建立及通報:建案時自動判斷案件處理人員,依據資産價值及弱點嚴重性決定案件等級及處理期限。
  • 弱點案件處理回報:回報弱點案件之處理說明,提供主管進行審查,亦可保存弱點處理的紀錄,滿足資安稽核的要求。
  • 弱點案件的轉件:若原案件處理人員因任何原因需將案件移轉給他人處理時,可透過案件轉件功能將案件移轉其他人員來處理。
  • 弱點案件的簽核:當弱點案件處理完畢後依其處理人員之組織階層架構,可將案件呈請其主管進行審查及簽核結案。
弱點管理報表
本系統内建提供下列弱點管理相關報表:
  • 弱點案件處理統計報表
  • 弱點分析報表(含趨勢分析)
  • 接受風險與誤判弱點統計報表
  • 未修補弱點統計報表
  • 資產弱點修補歷史報表

      *註:本公司提供報表客製服務,可依需求提供客製化報表。

vms-fig-04
 其他功能
  • 同時支援本機使用者及外部 Acitive Directory 或 LDAP 的身份認證
  • 提供完整使用者及管理者的稽核軌稽,可存放在本機檔案中或透過 Syslog協定即時抛轉至稽核紀錄管理系統中
 

主要效益

  • 降低弱點管理相關人員的工作負擔
  • 保留所有弱點管理作業中所有稽核的證據
    • 弱點掃描/評估
    • 弱點處理紀錄
    • 弱點處理的簽核
    • 弱點接受的簽核及定期再評估
  • 提升弱點處理的反應時效降低潛在風險
  • 減少紙張的消耗及保存的困難

 

作業環境需求

  • 作業系統:Windows 2008 或 Winodws 2012
  • 資料庫:SQL Server 2008 或 SQL Server 2012
  • 網站伺服器:IIS 7.5

相關連結

  • 如您有本產品更進一步需求,請聯繫 Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它