1. 弱點清單常見問題如下:
(1)弱點清單上傳後系統顯示有錯誤資產
(2)弱點清單沒有資料
(3)弱點清單資料與系統不符
(4)弱點清單沒有最近填寫的改善措施
以上問題該如何處理?
2.於系統上傳資訊資產時,資訊資產清單之檔名是否須與範本檔檔名一致?
上傳清單檔名可自行命名,但檔案內的欄位順序須一致,否則系統無法解析。
3.若機關使用者電腦由多人分工管理,當一項資產出現在多台電腦時,該如何填寫弱點改善措施呢?
建議負責管理伺服器主機與使用者電腦之各負責人皆可申請VANS一般使用者帳號,即可進入系統更新資產與填寫弱點改善措施,或以機關為單位,指派專人彙整資料並登入VANS系統填寫弱點改善措施。
4.機關管理者帳號與一般使用者帳號之權限有何差異?
在VANS系統中,除下列2項差異外,其餘權限皆相同:
(1)機關管理者帳號可重新產生API KEY,但一般使用者帳號僅可查看API KEY。
(2)機關管理者帳號可查看機關內各帳號的資產異動歷程記錄,但一般使用者帳號僅可查看自身資產異動歷程記錄。
5.弱點比對通知功能列表顯示的弱點數量,為何與通知展開後顯示的弱點數量不同呢?
弱點比對通知功能列表顯示的是「弱點種類數量」,因此若此則通知內包含重複的CVE編號,則僅會算1個。
6.系統比對出弱點後,下載弱點清單進行改善措施填寫時,若僅填寫部份弱點項目之改善措施,並移除未填寫之項目後,重新上傳至系統,系統會如何處理呢?
弱點清單若僅填寫部份弱點項目之改善措施,並移除未填寫之項目後,重新上傳至系統時,系統只會針對有填寫改善措施的部分進行覆蓋。
7.帳號已具備VANS系統機關管理者權限,但登入VANS系統時顯示「沒有使用系統之權限」,請問該如何解決?
(1)請至資安人員身分驗證(iAuth)系統,於「個人帳號管理-->權限異動申請」功能中,確認所登入之帳號是否已具備VANS系統一般權限。
(2)若尚未具有一般權限,請參閱「資通安全弱點通報系統(VANS系統)帳號申請說明文件」之2.5節,針對該帳號提出一般權限申請。
8.VANS系統「資訊資產管理」功能中,「資通系統資產列表」與「使用者電腦資產列表」功能有何差異?
兩者功能相同,主要依據盤點對象分為「資通系統」與「使用者電腦」,以方便機關區分與管理。
9.如何知道資產是否上傳成功與弱點比對完成?
(1)當機關收到由VANS系統寄發之「資訊資產清單解析完成」通知信時,即表示資產已上傳成功。
(2)當機關收到由VANS系統寄發之「資產風險項目比對完成」通知信時,即表示弱點比對已完成,依據上傳資產與弱點數量多寡,弱點比對約需1~3天。
10.如何申請VANS系統API KEY?
請至VANS系統「設定管理 > 資產管理API設定」產生專屬之API KEY。
11.主管機關如欲使用同一套工具代為上傳所屬機關之CPE資產至VANS系統,並在系統上查看個別機關之資產與弱點內容,請問要如何實作?
VANS系統具有主管機關代所屬機關上傳CPE資產之功能,主管機關使用同一套工具取得所屬機關之資產內容後, 可透過「主管機關API KEY」+「所屬機關OID」+「所屬機關資產」方式代為上傳,即可在系統上查看該所屬機關之資產與弱點內容。惟請留意, 上傳前務必確認「所屬機關OID」正確性,以免所屬機關資產蓋掉主管機關資產。
12.有關VANS系統上傳功能釋疑:
(1)已曾上傳資產至VANS系統,再次上傳時系統會如何處理?
(2)透過API上傳時,系統也是以覆蓋方式處理嗎?
(3)若是透過覆蓋方式上傳,已填寫之改善措施是否也會被覆蓋呢?
(4)為何上傳資產清單後,「資產清單上傳」或「已安裝KBID清單上傳」按鈕會消失不見?
(1)系統會透過覆蓋方式處理,僅留存最後一次上傳之資產。
(2)透過API上傳之資產同樣以覆蓋方式處理,僅留存最後一次上傳之資產。
(3)重新上傳後,系統會依據新上傳之資產進行弱點比對。若已填寫改善措施之弱點項目未變動,則改善措施仍會存在。
(4)資產清單上傳後,為避免重覆進行上傳動作,故VANS系統之弱點比對完成前,會暫時停用「資產清單上傳」或「已安裝KBID清單上傳」功能,待收到「弱點比對完成」通知信後方可執行下一次上傳。
13.VANS系統資產清單為何要同時使用常見格式與CPE格式呢?
常見格式欄位目的為便於使用者查看與辨識資產,CPE格式則供VANS系統進行自動化弱點比對使用。
14.為何部分CPE條目沒有對應之CVE弱點?
當有CVE弱點發生時,NVD將針對受影響之軟體資產編列CPE條目,並將當前可用之版本預編對應之CPE條目,因此可能出現部分版本無對應弱點之情況。
15.是否無法修補弱點時,才會用到填寫改善措施功能?
該欄位主要提供機關管理弱點之用,若遇到未能即時更新軟體版本或經評估後欲接受風險時,可透過填寫改善措施功能記錄弱點處理進度。
16.VANS系統之「查看修補KBID」功能是否已有考量KB取代關係呢?
VANS系統已有考量KB取代關係,請點擊CVE弱點之「查看修補KBID」欄位,彈出清單內容即顯示可修補此弱點之所有KB編號。
17.若不同電腦缺漏相同之安全性更新檔時,系統會如何顯示?
VANS系統係呈現機關整體資產與弱點資訊,未對應至個別電腦,當不同電腦缺漏相同之安全性更新檔時,系統會以機關整體數量資訊(已安裝之安全性更新數量/應安裝之安全性更新數量)呈現。
18.若欲大量移除VANS系統上資產資料,除了透過使用者介面逐筆刪除外,是否有其他方法?
可於VANS系統下載資訊資產清單,移除多餘資料後重新上傳,即可達到大量刪除資產資料之目的。
19.若資產風險列表已出現弱點比對結果,卻沒收到弱點比對通知,有何可能原因?
1.同一項資產的同一個弱點只會於首次比對到時進行1次通知,之後不會再出現相同之弱點通知。
2.可於「設定管理-->通知設定」頁面確認以下幾項設定是否設定完成:
(1)已開啟弱點通知功能
(2)已設定接收弱點通知之電子郵件地址
(3)資產風險列表的弱點CVSS分數高於弱點通知分數門檻
20.上傳已安裝KBID至VANS系統後,要如何查看哪些弱點尚未修補?
可至資訊資產風險列表中,查看各資產「詳細資訊」之「修補KBID」欄位,該數字代表該CVE弱點之「已安裝KBID數量/應安裝KBID數量」,若已安裝KBID數量小於應安裝KBID數量,則表示該弱點尚未修補。
21.為何收不到VANS系統寄發之通知信呢?
請依序確認下列設定:
(1)請確認「設定管理」→「弱點通知之電子郵件設定」是否已經正確設定電子郵件
(2)請確認「設定管理」→「通知設定」是否開啟(紅框處必須為「ON」狀態)
22.資產上傳出現錯誤該如何排除?
23.該如何於VANS系統檢視與管理所屬機關資訊資產與弱點處理情形?
24.「資產風險狀態」的「風險指數」是什麼,若沒有超過通報的分數就不需要修補了嗎?
「風險指數」是該項資訊資產「所有弱點CVSS 3.X分數總和/該項資產弱點數」,主要是在呈現該資產目前風險平均樣態,弱點是否修補還須參考個別弱點分數是否超過規定之通報分數。
25. 帳號無法登入,登入畫面顯示「沒有使用系統之權限」 該怎麼處理?
(1)請確認帳號具備「一般使用者權限」方可進行登入。
(2)若登入之帳號僅具「一般使用者權限」但無「機關管理者」權限,請點選畫面右上「一般權限帳號登入」按鈕,切換至一般使用者登入頁面後,再進行登入。
26. 已經刪除VANS帳號了,卻一直收到VANS相關通知信件,該怎麼處理?
若已刪除VANS帳號,需請擁有權限的使用者協助取消信箱通知,請至「設定管理>通知設定」頁面,點選欲刪除郵件之對應「刪除欄位」按鈕,VANS即不再寄送通知信件。
