- 1、本文档共53页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
电信和互联网行业网络运营者漏洞管理平台接口要求
1范围
本文件规定了电信和互联网行业网络运营者漏洞管理平台的接口功能要求、接口协议要求、指令交
互类和数据传输类接口要求。
本文件适用于管理侧与企业侧的行业网络运营者漏洞管理平台之间接口的设计、开发和测试。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
GB/T25069-2022信息安全技术术语
GB/T28458-2020信息安全技术网络安全漏洞标识与描述规范
GB/T30279-2020信息安全技术网络安全漏洞分类分级指南
3术语和定义
GB/T25069-2022所确立界定的以及下列术语和定义适用于本文件。
3.1
网络运营者networkoperator
网络的所有者、管理者和网络服务提供者,包括基础电信企业集团公司、基础电信企业省分公司、
企业专业公司、增值电信企业一二级机构(有关行业关键信息基础设施运营者)等。
3.2
网络资产networkasset
构成信息系统的软件、硬件、服务等IT和IoT类资源的集合,是安全机制保护的对象,例如网络产
品、安全产品、物联网设备、办公外设、企业应用、系统软件、支撑系统,详细分类见附录A。
3.3
产品漏洞commonvulnerability
通用脆弱性描述,包括漏洞信息、受影响资产类型范围、危险等级、修复建议等内容。
3.4
系统漏洞instancevulnerability
具备通用漏洞属性数据,以及关联到资产对象后具体资产实例维度信息的漏洞。
3.5
漏洞信息vulnerabilityinformation
漏洞信息包括标识号、漏洞名称、发布时间、发布单位、漏洞类别、漏洞等级以及影响系统等安全
漏洞描述项。适用于产品漏洞或系统漏洞的描述。
3.6
漏洞接收vulnerabilityreception
1
通过不同渠道接收各类公开或未公开发布漏洞信息的过程。例如情报导入、手动录入、扫描发现、
渗透测试等来源。
3.7
漏洞验证vulnerabilityverification
对漏洞的存在性、等级、类别、影响程度等进行技术验证的过程。
3.8
漏洞预警vulnerabilitywarning
将漏洞信息向社会或可能受影响的用户发布预警通知的过程。
3.9
资产标记assetIdentifier
代表资产唯一身份,用于标识网络资产的名称字符串。例如NISTCPE是一类资产标记的规范。
3.10
资产指纹assetproperty
可唯一映射到某资产标记,用于描述对应资产的一组关键属性信息集合。包括设备类型、设备厂商、
系统信息(如操作系统的版本信息、设备类型信息、系统名称、厂商信息等)、端口信息(系统开放的
远程端口信息)、服务信息(系统实时运行的服务,如rsync、DHCP服务等)、中间件信息(应用程序中
间件,如Tomcat、ApacheActiveMQ等)、数据库(Mysql、Oracle、SQLServer等)、程序应用框架信息
(程序开发或应用所使用的框架,如ApacheStruts、SpringFramework等)、应用软件信息(如Web应
用WordPress、系统应用OpenSSH等)。
4缩略语
下列缩略语适用于本文件。
CVE通用脆弱性CommonVulnerabilityEnumeration
CPE通用资产枚举CommonPlatformEnumeration
SLA服务等级保障ServiceLevelAssurance
SFTP安全文件传输协议SecureFileTransferPro
文档评论(0)