电信和互联网行业网络运营者漏洞管理平台接口要求.pdf

电信和互联网行业网络运营者漏洞管理平台接口要求

1范围

本文件规定了电信和互联网行业网络运营者漏洞管理平台的接口功能要求、接口协议要求、指令交

互类和数据传输类接口要求。

本文件适用于管理侧与企业侧的行业网络运营者漏洞管理平台之间接口的设计、开发和测试。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069-2022信息安全技术术语

GB/T28458-2020信息安全技术网络安全漏洞标识与描述规范

GB/T30279-2020信息安全技术网络安全漏洞分类分级指南

3术语和定义

GB/T25069-2022所确立界定的以及下列术语和定义适用于本文件。

3.1

网络运营者networkoperator

网络的所有者、管理者和网络服务提供者，包括基础电信企业集团公司、基础电信企业省分公司、

企业专业公司、增值电信企业一二级机构（有关行业关键信息基础设施运营者）等。

3.2

网络资产networkasset

构成信息系统的软件、硬件、服务等IT和IoT类资源的集合，是安全机制保护的对象，例如网络产

品、安全产品、物联网设备、办公外设、企业应用、系统软件、支撑系统，详细分类见附录A。

3.3

产品漏洞commonvulnerability

通用脆弱性描述，包括漏洞信息、受影响资产类型范围、危险等级、修复建议等内容。

3.4

系统漏洞instancevulnerability

具备通用漏洞属性数据，以及关联到资产对象后具体资产实例维度信息的漏洞。

3.5

漏洞信息vulnerabilityinformation

漏洞信息包括标识号、漏洞名称、发布时间、发布单位、漏洞类别、漏洞等级以及影响系统等安全

漏洞描述项。适用于产品漏洞或系统漏洞的描述。

3.6

漏洞接收vulnerabilityreception

1

通过不同渠道接收各类公开或未公开发布漏洞信息的过程。例如情报导入、手动录入、扫描发现、

渗透测试等来源。

3.7

漏洞验证vulnerabilityverification

对漏洞的存在性、等级、类别、影响程度等进行技术验证的过程。

3.8

漏洞预警vulnerabilitywarning

将漏洞信息向社会或可能受影响的用户发布预警通知的过程。

3.9

资产标记assetIdentifier

代表资产唯一身份，用于标识网络资产的名称字符串。例如NISTCPE是一类资产标记的规范。

3.10

资产指纹assetproperty

可唯一映射到某资产标记，用于描述对应资产的一组关键属性信息集合。包括设备类型、设备厂商、

系统信息（如操作系统的版本信息、设备类型信息、系统名称、厂商信息等）、端口信息（系统开放的

远程端口信息）、服务信息（系统实时运行的服务，如rsync、DHCP服务等）、中间件信息（应用程序中

间件，如Tomcat、ApacheActiveMQ等）、数据库（Mysql、Oracle、SQLServer等）、程序应用框架信息

（程序开发或应用所使用的框架，如ApacheStruts、SpringFramework等）、应用软件信息（如Web应

用WordPress、系统应用OpenSSH等）。

4缩略语

下列缩略语适用于本文件。

CVE通用脆弱性CommonVulnerabilityEnumeration

CPE通用资产枚举CommonPlatformEnumeration

SLA服务等级保障ServiceLevelAssurance

SFTP安全文件传输协议SecureFileTransferPro