《信息安全技术信息安全漏洞管理规范》(征求意见稿)..doc

ICS35.040 L80 中华人民共和国国家标准 GB/T XXXXX—XXXX 信息安全技术 信息安全漏洞管理规范 Information security technology —— Vulnerability management criterion specification 点击此处添加与国际标准一致性程度的标识 （本稿完成日期：2012年7月30日） 在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。 - XX - XX发布 XXXX - XX - XX实施 目次 前言 II 1　范围 1 2　规范性引用文件 1 3　术语和定义 1 4　漏洞生命周期 2 5　信息安全漏洞管理 2 5.1　原则 2 5.2　规划 2 5.3　实施 3 5.3.1　漏洞的预防 3 　厂商 3 　用户 3 5.3.2　漏洞的收集 3 　漏洞管理组织 4 　厂商 4 　漏洞发现者 4 5.3.3　漏洞的消减 4 　厂商 4 　漏洞管理组织 4 　用户 4 5.3.4　漏洞的发布 4 　漏洞管理组织 4 　厂商 5 5.4　评审 5 5.5　改进 5 附录A（规范性附录）　 6 A.1　漏洞处理时间表 6 A.2　厂商针对漏洞的消减处理策略 6 A.3　漏洞管理组织关于漏洞通报的处理策略 6 A.4　漏洞管理组织关于厂商修复漏洞的处理策略 6 参考文献 7 前言 本标准按照 GB/T 1.1-2009 给出的规则起草。 本标准由全国信息安全标准化技术委员会提出并归口。 本标准起草单位：中国信息安全测评中心。 本标准主要起草人：刘晖、易锦、刘彦钊、熊琦、张磊、赵向辉、刘林、吴润浦、李娟。 信息安全技术　信息安全漏洞管理规范 范围 本标准规定了信息安全漏洞的管理要求，涉及漏洞的产生、发现、利用、公开和修复等环节。 本标准适用于用户、厂商和漏洞管理组织进行信息安全漏洞的管理活动，包括漏洞的预防、收集、消减和发布。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T AAAA-20xx　信息安全技术　安全漏洞标识与描述规范 GB/T BBBB-20xx　信息安全技术　安全漏洞分类规范 GB/T CCCC-20xx　信息安全技术　安全漏洞等级划分指南 术语和定义 下列术语和定义适用于本文件。 信息安全 Information security 保护、维持信息的保密性、完整性和可用性，也可包括真实性、可核查性、抗抵赖性、可靠性等性质。 [GB/T 25069-2010] 计算机信息系统 Computer information system 由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 [GB/T25069-2010，2.1.13] 注：计算机信息系统简称信息系统。 信息安全漏洞 Information security vulnerability 计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷，这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体所利用，就会对计算机信息系统的安全造成损害，从而影响计算机信息系统的正常运行。 [信息安全漏洞标识与描述规范，3.2]。 修复措施 Remediation 用以修复漏洞的补丁、升级版本、配置策略等。 资产 Asset 信息系统安全策略中所保护的信息或资源。 [GB/T 18336.1-2001，3.3.1] 风险 Risk 一个给定的威胁，利用一项资产或多项资产的脆弱性，对组织造成损害的潜能。可通过事件的概率及其后果进行度量。 [GB/T 25069-2010] 用户 User 使用信息系统的个人或组织。 厂商 Vendor 开发信息系统的组织。 漏洞管理组织 Vulnerability management organization 协调厂商和漏洞发现者处理漏洞信息的组织。 注：组织包括国家信息安全主管部门等。 漏洞发现者 Vulnerability finder 发现信息系统中潜在漏洞的个人或组织。 信息安全漏洞生命周期 依据信息安全漏洞（简称漏洞）从产生到消亡的整个过程，信息安全漏洞生命周期分以下几个阶段： 漏洞的发现：通过人工或者自动的方法分析、挖掘出漏洞的过程，并且该漏洞可以被验证和重现。 漏洞的利用：利用漏洞对计算机信息系统的保密性、完整性和可用性造成损害的过程。 漏洞的修复：通过补丁、升级版本或配置策略等对漏洞进行修补的过程，使得该漏洞不能够被恶意主体所利用。 漏洞的公开：通过公开渠道（如网站