GB∕T 30276-2020 信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞管理規(guī)范

ICS35.040L80中華人民共和國國家標(biāo)準(zhǔn)代替GB/T30276—2013信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范I—國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會GB／T30276—2020 1范圍 2規(guī)范性引用文件 3術(shù)語和定義 4網(wǎng)絡(luò)安全漏洞管理流程 5網(wǎng)絡(luò)安全漏洞管理要求 5.1漏洞發(fā)現(xiàn)和報告 5.2漏洞接收 5.3漏洞驗證 5.4漏洞處置 5.5漏洞發(fā)布 5.6漏洞跟蹤 6證實方法 參考文獻(xiàn) ⅠGB／T30276—2020本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。本標(biāo)準(zhǔn)代替GB/T30276—2013《信息安全技術(shù)信息安全漏洞管理規(guī)范》，與GB/T30276—2013相比，主要技術(shù)變化如下：—修改了范圍的表述（見第1章，2013年版的第1章—增加了規(guī)范性引用文件GB/T30279—2020,刪除了規(guī)范性引用文件GB/T18336.1—2008（見—增加了術(shù)語“（網(wǎng)絡(luò)產(chǎn)品和服務(wù)的）提供者”“網(wǎng)絡(luò)運(yùn)營者”“漏洞收錄組織”“漏洞應(yīng)急組織”“漏—修改了漏洞管理流程，從漏洞管理的角度出發(fā)，重新定義了漏洞管理流程的各階段，將原來的“預(yù)防、收集、消減、發(fā)布”管理階段調(diào)整為“漏洞發(fā)現(xiàn)和報告、漏洞接收、漏洞驗證、漏洞處置、漏洞發(fā)布、漏洞跟蹤”，并提出各管理階段中各相關(guān)角色應(yīng)遵循的要求（見第4章、第5章，2013年版的第4章、第5章—刪除了“附錄A（規(guī)范性附錄）漏洞處理策略”(2013年版的附錄A)。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任。本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)提出并歸口。本標(biāo)準(zhǔn)起草單位：國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國信息安全測評中心、國家信息技術(shù)安全研究中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、上海交通大學(xué)、恒安嘉新（北京）科技股份公司、網(wǎng)神信息技術(shù)（北京）股份有限公司、上海斗象信息科技有限公司、北京數(shù)字觀星科技有限公司、阿里巴巴（北京）軟件服務(wù)有限公司、公安部第三研究所、中國科學(xué)院大學(xué)、北京奇虎科技有限公司。本標(biāo)準(zhǔn)主要起草人：云曉春、舒敏、崔牧凡、王文磊、嚴(yán)寒冰、賈子驍、陳悅、任澤君、崔婷婷、高繼明、劉楠、張玉清、姚一楠。本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為：—GB/T30276—2013。1GB／T30276—2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全漏洞管理流程各階段（包括漏洞發(fā)現(xiàn)和報告、接收、驗證、處置、發(fā)布、跟蹤等）的管理流程、管理要求以及證實方法。本標(biāo)準(zhǔn)適用于網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者、網(wǎng)絡(luò)運(yùn)營者、漏洞收錄組織、漏洞應(yīng)急組織等開展的網(wǎng)絡(luò)安全漏洞管理活動。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069信息安全技術(shù)術(shù)語GB/T28458—2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識與描述規(guī)范GB/T30279—2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級指南3術(shù)語和定義GB/T25069、GB/T28458—2020界定的以及下列術(shù)語和定義適用于本文件。3.1使用網(wǎng)絡(luò)產(chǎn)品和服務(wù)的個人或組織。3.2提供網(wǎng)絡(luò)產(chǎn)品和服務(wù)的個人或組織。3.3網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。3.4提供公開渠道接收漏洞信息，并建有相應(yīng)工作流程的組織。3.5與提供者、網(wǎng)絡(luò)運(yùn)營者、漏洞收錄組織、網(wǎng)絡(luò)運(yùn)營者、安全研究機(jī)構(gòu)、網(wǎng)絡(luò)安全企業(yè)等建有成熟的技術(shù)協(xié)作體系、負(fù)責(zé)安全漏洞的響應(yīng)和處置工作的網(wǎng)絡(luò)安全應(yīng)急協(xié)調(diào)組織。3.6通過技術(shù)手段，識別出網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在漏洞的過程。GB／T30276—20203.7獲得漏洞信息并將漏洞信息進(jìn)行報告的過程。3.8接收漏洞信息的過程。3.9對漏洞的存在性、等級、類別等進(jìn)行技術(shù)驗證的過程。將漏洞信息向社會或受影響的用戶等發(fā)布的過程。4網(wǎng)絡(luò)安全漏洞管理流程網(wǎng)絡(luò)安全漏洞管理流程如圖1所示。圖1網(wǎng)絡(luò)安全漏洞管理流程網(wǎng)絡(luò)安全漏洞管理包含以下階段：—漏洞發(fā)現(xiàn)和報告：漏洞發(fā)現(xiàn)者通過人工或者自動的方法對漏洞進(jìn)行探測、分析，證實漏洞存在的真實性，并由漏洞報告者將獲得的漏洞信息向漏洞接收者報告；—漏洞接收：通過相應(yīng)途徑接收漏洞信息；—漏洞驗證：收到漏洞報告后，進(jìn)行漏洞信息的技術(shù)驗證；滿足相應(yīng)要求可終止后續(xù)漏洞管理流程；—漏洞處置：對漏洞進(jìn)行修復(fù)，或制定并測試漏洞修復(fù)或防范措施，可包括升級版本、補(bǔ)丁、更改配置等方式；—漏洞發(fā)布：通過網(wǎng)站、郵件列表等渠道將漏洞信息向社會或受影響的用戶發(fā)布；—漏洞跟蹤：在漏洞發(fā)布后跟蹤監(jiān)測漏洞修復(fù)情況、產(chǎn)品或服務(wù)的穩(wěn)定性等；視情況對漏洞修復(fù)或防范措施做進(jìn)一步改進(jìn)；滿足相應(yīng)要求可終止漏洞管理流程。漏洞管理流程中各階段的管理要求見第5章。23GB／T30276—20205網(wǎng)絡(luò)安全漏洞管理要求5.1漏洞發(fā)現(xiàn)和報告在漏洞發(fā)現(xiàn)和報告階段，要求如下：—遵循國家相關(guān)法律、法規(guī)的前提下，可通過人工或者自動化方法對漏洞進(jìn)行探測、分析，并證實漏洞存在的真實性；—在實施漏洞發(fā)現(xiàn)活動時，不應(yīng)對用戶的系統(tǒng)運(yùn)行和數(shù)據(jù)安全造成影響和損害，不應(yīng)有為了發(fā)現(xiàn)漏洞而侵犯其他組織的業(yè)務(wù)運(yùn)行和數(shù)據(jù)安全的行為；—在識別網(wǎng)絡(luò)產(chǎn)品或服務(wù)的潛在漏洞時，應(yīng)主動評估可能存在的安全風(fēng)險；—應(yīng)采取防止漏洞信息泄露的有效措施?！l(fā)現(xiàn)網(wǎng)絡(luò)或產(chǎn)品服務(wù)的漏洞后，應(yīng)及時報告漏洞信息；—報告漏洞時，應(yīng)客觀、真實地對漏洞進(jìn)行描述。在漏洞接收階段，要求如下：保密接收；范圍、漏洞接收渠道、漏洞接收要求、漏洞接收流程等內(nèi)容；滿足如下要求：—提供技術(shù)措施保證信息流轉(zhuǎn)渠道安全；—如果發(fā)現(xiàn)漏洞涉及其他提供者或網(wǎng)絡(luò)運(yùn)營者，及時向相關(guān)提供者或網(wǎng)絡(luò)運(yùn)營者報告，當(dāng)需要協(xié)調(diào)時可請求漏洞應(yīng)急組織的幫助。在漏洞驗證階段，要求如下：—應(yīng)及時對漏洞的存在性、等級、類別等進(jìn)行技術(shù)驗證，向漏洞報告者發(fā)送漏洞報告接收確認(rèn)或反饋，可聯(lián)合漏洞報告者等對漏洞進(jìn)行驗證；—如果該漏洞涉及其他提供者或網(wǎng)絡(luò)運(yùn)營者，應(yīng)及時通知相關(guān)提供者或網(wǎng)絡(luò)運(yùn)營者共同進(jìn)行驗證；—應(yīng)客觀地對漏洞信息進(jìn)行驗證和確認(rèn)，不應(yīng)對漏洞報告者等進(jìn)行誤導(dǎo)；—在漏洞驗證后，應(yīng)根據(jù)漏洞驗證情況并依據(jù)GB/T28458—2020中5.3的要求對漏洞進(jìn)行描述，同時將驗證結(jié)果反饋給漏洞報告者，也可反饋給漏洞應(yīng)急組織等；—如果被報告的漏洞是在提供者或網(wǎng)絡(luò)運(yùn)營者目前不提供支持的產(chǎn)品或服務(wù)中發(fā)現(xiàn)的，提供者或網(wǎng)絡(luò)運(yùn)營者應(yīng)繼續(xù)完成調(diào)查和漏洞驗證，并確認(rèn)該漏洞對其他支持的產(chǎn)品或在線4GB／T30276—2020服務(wù)的影響?！_認(rèn)漏洞接收后應(yīng)及時協(xié)調(diào)對漏洞信息的驗證，協(xié)調(diào)方式可包括：告知與漏洞相關(guān)的產(chǎn)品或服務(wù)的提供者進(jìn)行驗證和確認(rèn)；與該漏洞相關(guān)聯(lián)的提供者或者網(wǎng)絡(luò)運(yùn)營者共同進(jìn)行驗證和確認(rèn)；聯(lián)合漏洞報告者共同進(jìn)行漏洞信息的驗證和確認(rèn)；—應(yīng)客觀、真實地反映漏洞情況，不應(yīng)對與該漏洞相關(guān)聯(lián)的提供者或網(wǎng)絡(luò)運(yùn)營者、漏洞報告者等進(jìn)行誤導(dǎo)；—驗證完成后應(yīng)及時通知與該漏洞相關(guān)聯(lián)的提供者或網(wǎng)絡(luò)運(yùn)營者?！_認(rèn)漏洞接收后應(yīng)及時協(xié)調(diào)對漏洞信息的驗證，協(xié)調(diào)方式可包括：告知與漏洞相關(guān)的產(chǎn)品或服務(wù)的提供者進(jìn)行驗證和確認(rèn)；與該漏洞相關(guān)聯(lián)的提供者或網(wǎng)絡(luò)運(yùn)營者共同進(jìn)行驗證和確認(rèn)；—驗證完成后應(yīng)及時通知與該漏洞相關(guān)聯(lián)的提供者或網(wǎng)絡(luò)運(yùn)營者?！貜?fù)漏洞：該漏洞是個已重復(fù)的漏洞，已解決或已修復(fù)的漏洞；—無法驗證漏洞：該漏洞是提供者、網(wǎng)絡(luò)運(yùn)營者、漏洞收錄組織等無法驗證的漏洞；—無危害漏洞：該漏洞是一個無安全影響，或無法被現(xiàn)有技術(shù)利用的漏洞；注：漏洞利用方法可能隨著新的技術(shù)或攻擊方法的出現(xiàn)而改變，提供者及網(wǎng)絡(luò)運(yùn)營者宜時刻保持對當(dāng)前漏洞攻擊手段的了解?！撀┒此嬖诘漠a(chǎn)品或服務(wù)均已超過規(guī)定期限以及當(dāng)事人約定的期限，法律法規(guī)另有規(guī)定的除外。在漏洞處置階段，要求如下：—應(yīng)與相關(guān)提供者、網(wǎng)絡(luò)運(yùn)營者協(xié)同開展漏洞處置工作，可與漏洞收錄組織、漏洞應(yīng)急組織協(xié)同開展漏洞處置工作；—在漏洞處置過程中應(yīng)進(jìn)行深入分析，判斷該漏洞是否影響其他產(chǎn)品或服務(wù)；—對已確認(rèn)的漏洞，在考慮漏洞嚴(yán)重程度、受影響用戶的范圍、被利用的潛在影響等因素的基礎(chǔ)上，立即進(jìn)行漏洞修復(fù)，或制定漏洞修復(fù)或防范措施；—在發(fā)布補(bǔ)丁和升級版本前應(yīng)進(jìn)行充分嚴(yán)格的有效性和安全性測試，避免補(bǔ)丁衍生的應(yīng)用功能和安全缺陷。對于不能通過補(bǔ)丁或版本升級解決的漏洞風(fēng)險，應(yīng)提出有效的臨時處置建議，出具指導(dǎo)技術(shù)說明；—對于依據(jù)GB/T30279—2020中6.3.3評定的技術(shù)分級為超危、高危的漏洞，若不能立即給出修復(fù)措施，應(yīng)給出有效的臨時防護(hù)建議，并可聯(lián)合漏洞應(yīng)急組織根據(jù)漏洞影響范圍及發(fā)展情況制定下一步處置方案和解決措施；—應(yīng)向漏洞報告者和用戶及時告知漏洞的處置措施，必要時向漏洞應(yīng)急組織報告；—應(yīng)提供有效途徑和便利的條件，供用戶獲取補(bǔ)丁、升級版本和臨時處置建議；—應(yīng)對受影響的用戶提供必要的技術(shù)支持，支持其完成漏洞修復(fù)；—宜調(diào)查漏洞更深層的原因，以及確定自身其他產(chǎn)品或服務(wù)是否有同樣或者類似的漏洞?！膳c漏洞應(yīng)急組織及相關(guān)網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)運(yùn)營者協(xié)同開展漏洞處置工作；—在漏洞處置過程中應(yīng)保持客觀、準(zhǔn)確的態(tài)度，及時將經(jīng)過驗證的漏洞信息與該漏洞相關(guān)聯(lián)5GB／T30276—2020的提供者、網(wǎng)絡(luò)運(yùn)營者、漏洞應(yīng)急組織共享；—可向與該漏洞相關(guān)聯(lián)的提供者、網(wǎng)絡(luò)運(yùn)營者等提供漏洞處置建議及相關(guān)技術(shù)支持工作；—應(yīng)采取相應(yīng)必要措施保護(hù)與被報告漏洞相關(guān)信息的安全和保密性，防止信息泄露、被他人利用?！蓪β┒刺幹霉ぷ鬟M(jìn)行協(xié)調(diào)和監(jiān)督，向相關(guān)漏洞接收者反饋漏洞歸屬、漏洞處置建議等處理意見和結(jié)果；—可督促與該漏洞相關(guān)聯(lián)的提供者、網(wǎng)絡(luò)運(yùn)營者及時采取漏洞修復(fù)或者防范措施，防范因漏洞大規(guī)模利用傳播引起的網(wǎng)絡(luò)安全威脅；—可聯(lián)合與該漏洞相關(guān)聯(lián)的提供者或網(wǎng)絡(luò)運(yùn)營者對漏洞處置情況進(jìn)行持續(xù)跟蹤，根據(jù)漏洞影響范圍及發(fā)展情況制定下一步處置方案及解決措施；—應(yīng)采取相應(yīng)必要措施保護(hù)與被報告漏洞相關(guān)信息的安全，防止信息泄露、被他人利用。5.5漏洞發(fā)布在漏洞發(fā)布階段，要求如下：絡(luò)攻擊事件進(jìn)行發(fā)布