近年來,隨著企業數位化程度提高,資訊設備與系統數量持續增加,資訊安全的重要性也逐年受到重視。 在實務環境中,常會面臨以下情境: • 公司內部同時存在多台資訊設備與伺服器 • 各系統版本更新狀況不一,難以即時掌握 • 部分設備仍使用過時或停止支援的版本 當設備版本未能有效控管時,已知弱點便可能持續累積,進而提高整體資安風險,甚至成為駭客入侵的入口。 基於上述背景,實務上常導入 資通安全弱點通報系統(Vulnerability Analysis and Notice System, VANS)。 VANS 是一種結合資訊資產管理與弱點管理的系統,主要目的在於: • 彙整公開已知的 CVE 弱點資訊 • 將弱點對應至組織內部的實際資訊資產 • 協助管理人員快速辨識需優先處理的風險項目 從管理角度來看,VANS 不僅是技術工具,也是一項資安治理與風險管理的輔助機制。 目前市面上已有多家廠商提供 VANS 相關產品,但在實務導入上,常會遇到以下問題: • 各家廠商產出的弱點報表格式不一致 • 產品名稱與版本標示方式不同 • 不利於跨系統整合或向管理階層說明 因此,為了提升弱點資訊的一致性與可讀性,實務上逐漸採用 CPE(Common Platform Enumeration) 作為標準化命名方式。 透過 CPE,可以用統一且結構化的方式描述軟體、硬體與作業系統,讓弱點資訊更容易被理解與管理。 CPE 2.3 是目前主流的 CPE 版本,主要用於: • 識別資訊資產(軟體/硬體/作業系統) • 作為 CVE 與弱點管理系統的對應依據 • 支援資訊資產盤點與資安稽核作業 CPE 2.3 一共包含 13 個欄位,並以 冒號(:) 作為分隔: cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other CPE 2.3 各欄位重點說明 part:產品類型 a:應用程式(Application) o:作業系統(Operating System) h:硬體(Hardware) vendor:廠商名稱 例如:microsoft、apache product:產品名稱 例如:windows_10、http_serv...