NIST
保护受控未分类信息 Rev 3
控制项模式在非联邦系统和组织中保护受控非机密信息的安全要求。
版本: Rev 3•覆盖状态: 完整覆盖 (194/194)•控制项/量表/总计: 97/97/194•当前展示: 1 / 97•17 个分类
03.11.02漏洞监测与扫描控制项
风险评估 / 漏洞监测与扫描
组织确定系统组件所需的漏洞扫描,并确保不会忽略潜在的漏洞来源(例如,联网打印机、扫描仪和复印机)。自定义软件的漏洞分析可能需要额外的方法,例如静态分析、动态分析或二进制分析。组织可以在源代码审查和工具中使用这些方法。例如,静态分析工具、基于网络的应用扫描器、二进制分析器。漏洞扫描包括扫描补丁级别;扫描用户或设备不应访问的功能、端口、协议和服务;以及扫描配置不当或运行不正确的流量控制机制。为了促进互操作性,组织考虑使用以通用漏洞与披露(CVE)命名规范表示漏洞的扫描工具。漏洞信息的来源还包括通用弱点枚举(CWE)列表、国家漏洞数据库(NVD)以及通用漏洞评分系统(CVSS)。
评估
评估状态:
评估备注: