《信息安全技术 信息安全漏洞管理规范》.docVIP

GB/TXXXXX—XXXX

PAGE2

ICS?FORMTEXT35.040

FORMTEXTL80

中华人民共和国国家标准

GB/TFORMTEXTXXXXX—FORMTEXTXXXX

FORMTEXT?????

FORMTEXT信息安全技术信息安全漏洞管理规范

FORMTEXTInformationsecuritytechnology-

Vulnerabilitymanagementcriterionspecification

FORMTEXT?????

FORMDROPDOWN

FORMTEXT（本稿完成日期：2013年4月10日）

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

GB/TXXXXX—XXXX

PAGE3

信息安全技术信息安全漏洞管理规范

范围

本标准规定了信息安全漏洞的管理要求，涉及漏洞的发现、利用、修复和公开等环节。

本标准适用于用户、厂商和漏洞管理组织进行信息安全漏洞的管理活动，包括漏洞的预防、收集、消减和发布。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T18336.1-2008信息技术安全技术信息技术安全性评估准则

GB/T25069-2010信息安全技术术语

GB/T28458-2012信息安全技术安全漏洞标识与描述规范

GB/TAAAAA-20XX信息安全技术安全漏洞等级划分指南

术语和定义

GB/T25069-2010和GB/T18336.1-2008中界定的以及下列术语和定义适用于本文件。

修复措施remediation

用以修复漏洞的补丁、升级版本、配置策略等。

用户user

使用信息系统的个人或组织。

厂商vendor

开发信息系统的组织。

漏洞管理组织vulnerabilitymanagementorganization

协调厂商和漏洞发现者处理漏洞信息的组织。

注：组织包括国家信息安全主管部门等。

漏洞发现者vulnerabilityfinder

发现信息系统中潜在漏洞的个人或组织。

信息安全漏洞生命周期

依据信息安全漏洞（简称漏洞）从产生到消亡的整个过程，信息安全漏洞生命周期分以下几个阶段：

漏洞的发现：通过人工或者自动的方法分析、挖掘出漏洞的过程，并且该漏洞可以被验证和重现。

漏洞的利用：利用漏洞对计算机信息系统的保密性、完整性和可用性造成损害的过程。

漏洞的修复：通过补丁、升级版本或配置策略等对漏洞进行修补的过程，使得该漏洞不能够被恶意主体所利用。

漏洞的公开：通过公开渠道（如网站、邮件列表等）公布漏洞信息的过程。

信息安全漏洞管理

原则

信息安全漏洞管理遵循以下原则：

公平、公开、公正原则：厂商在处理自身产品的漏洞时应坚持公开、公正原则。漏洞管理组织在处理漏洞信息时应遵循公平、公开、公正原则。

及时处理原则：用户、厂商和漏洞管理组织在处理漏洞信息时都应遵循及时处理的原则，及时消除漏洞与隐患。

安全风险最小化原则：在处理漏洞信息时应以用户的风险最小化为原则，保障广大用户的利益。

规划

根据漏洞生命周期中漏洞所处的不同状态，将漏洞管理行为对应为预防、收集、消减和发布等实施活动如图1所示。

预防是指通过各种安全手段提高信息系统的安全水平，避免漏洞的产生和恶意利用。

收集是针对已发现的漏洞进行信息的及时跟踪与获取。

消减是指在漏洞被发现后积极采取补救措施，最大限度减少漏洞带来的损失。

发布是指在遵循一定的发布策略的前提下，对漏洞及其修复信息进行发布。

用户、厂商和漏洞管理组织应依据本标准建立符合自身特点的漏洞处理策略和处理流程。

漏洞生命周期和管理活动对应关系

实施

在漏洞管理活动中，漏洞发现者、厂商、漏洞管理组织和用户应规范自身的行为，国家信息安全主管部门应在漏洞发现者、厂商和用户之间发挥协调者的作用，在漏洞处理过程中维护公平、公开、公正原则、及时处理原则和安全风险最小化原则，保障被发现的漏洞得到有效处置。

漏洞的预防

厂商

厂商应尽可能地采用安全开发生命周期，在需求、设计、实现、配置、运行等阶段采取风险分析、代码审查、渗透测试等手段，提高产品安全性。

用户

用户应对使用的计算机系统进行安全加固（如及时安装升级补丁、关闭不必要的服务等）、安装安全防护产品和开启相应的安全配置。

漏洞的收集

漏洞管理组织

漏洞管理组织应与漏洞发现者、用户、厂商等漏洞管理中涉及的各方进行沟通与