- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
《信息安全技术信息安全漏洞管理规范》(征求意见稿).
ICS35.040
L80
中华人民共和国国家标准
GB/T XXXXX—XXXX
信息安全技术 信息安全漏洞管理规范
Information security technology —— Vulnerability management criterion specification
点击此处添加与国际标准一致性程度的标识
(本稿完成日期:2012年7月30日)
在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上。 - XX - XX发布
XXXX - XX - XX实施
目次
前言 II
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 漏洞生命周期 2
5 信息安全漏洞管理 2
5.1 原则 2
5.2 规划 2
5.3 实施 3
5.3.1 漏洞的预防 3
厂商 3
用户 3
5.3.2 漏洞的收集 3
漏洞管理组织 4
厂商 4
漏洞发现者 4
5.3.3 漏洞的消减 4
厂商 4
漏洞管理组织 4
用户 4
5.3.4 漏洞的发布 4
漏洞管理组织 4
厂商 5
5.4 评审 5
5.5 改进 5
附录A(规范性附录) 6
A.1 漏洞处理时间表 6
A.2 厂商针对漏洞的消减处理策略 6
A.3 漏洞管理组织关于漏洞通报的处理策略 6
A.4 漏洞管理组织关于厂商修复漏洞的处理策略 6
参考文献 7
前言
本标准按照 GB/T 1.1-2009 给出的规则起草。
本标准由全国信息安全标准化技术委员会提出并归口。
本标准起草单位:中国信息安全测评中心。
本标准主要起草人:刘晖、易锦、刘彦钊、熊琦、张磊、赵向辉、刘林、吴润浦、李娟。
信息安全技术 信息安全漏洞管理规范
范围
本标准规定了信息安全漏洞的管理要求,涉及漏洞的产生、发现、利用、公开和修复等环节。
本标准适用于用户、厂商和漏洞管理组织进行信息安全漏洞的管理活动,包括漏洞的预防、收集、消减和发布。
规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T AAAA-20xx 信息安全技术 安全漏洞标识与描述规范
GB/T BBBB-20xx 信息安全技术 安全漏洞分类规范
GB/T CCCC-20xx 信息安全技术 安全漏洞等级划分指南
术语和定义
下列术语和定义适用于本文件。
信息安全 Information security
保护、维持信息的保密性、完整性和可用性,也可包括真实性、可核查性、抗抵赖性、可靠性等性质。
[GB/T 25069-2010]
计算机信息系统 Computer information system
由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
[GB/T25069-2010,2.1.13]
注:计算机信息系统简称信息系统。
信息安全漏洞 Information security vulnerability
计算机信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对计算机信息系统的安全造成损害,从而影响计算机信息系统的正常运行。
[信息安全漏洞标识与描述规范,3.2]。
修复措施 Remediation
用以修复漏洞的补丁、升级版本、配置策略等。
资产 Asset
信息系统安全策略中所保护的信息或资源。
[GB/T 18336.1-2001,3.3.1]
风险 Risk
一个给定的威胁,利用一项资产或多项资产的脆弱性,对组织造成损害的潜能。可通过事件的概率及其后果进行度量。
[GB/T 25069-2010]
用户 User
使用信息系统的个人或组织。
厂商 Vendor
开发信息系统的组织。
漏洞管理组织 Vulnerability management organization
协调厂商和漏洞发现者处理漏洞信息的组织。
注:组织包括国家信息安全主管部门等。
漏洞发现者 Vulnerability finder
发现信息系统中潜在漏洞的个人或组织。
信息安全漏洞生命周期
依据信息安全漏洞(简称漏洞)从产生到消亡的整个过程,信息安全漏洞生命周期分以下几个阶段:
漏洞的发现:通过人工或者自动的方法分析、挖掘出漏洞的过程,并且该漏洞可以被验证和重现。
漏洞的利用:利用漏洞对计算机信息系统的保密性、完整性和可用性造成损害的过程。
漏洞的修复:通过补丁、升级版本或配置策略等对漏洞进行修补的过程,使得该漏洞不能够被恶意主体所利用。
漏洞的公开:通过公开渠道(如网站
文档评论(0)