電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)運營者漏洞管理平臺技術(shù)要求

1電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)運營者漏洞管理平臺技術(shù)要求本文件規(guī)定了電信網(wǎng)和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)運營者漏洞管理平臺的功能要求、接口要求以及安全管理要求。本文件適用于電信網(wǎng)和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)運營者漏洞管理平臺。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件：不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。YD/T3803-2020電信網(wǎng)和互聯(lián)網(wǎng)資產(chǎn)安全管理平臺技術(shù)要求3術(shù)語和定義GB/T25069-2022界定的以及下列術(shù)語和定義適用于本文件。網(wǎng)絡(luò)運營者networkoperator網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者，包括基礎(chǔ)電信企業(yè)集團公司、基礎(chǔ)電信企業(yè)省分公司、基礎(chǔ)電信企業(yè)專業(yè)公司、增值電信企業(yè)一二級機構(gòu)(有關(guān)行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運營者)等。構(gòu)成信息系統(tǒng)的軟件、硬件、服務(wù)等IT和loT類資源的集合，是安全機制保護的對象，例如網(wǎng)絡(luò)產(chǎn)品、安全產(chǎn)品、物聯(lián)網(wǎng)設(shè)備、辦公外設(shè)，企業(yè)應(yīng)用、系統(tǒng)軟件、支撐系統(tǒng)，詳細分類見附錄A。通用脆弱性描述，包括漏洞信息、受影響資產(chǎn)類型范圍、危險等級、修復(fù)建議等內(nèi)容。具備通用漏洞屬性數(shù)據(jù)，以及關(guān)聯(lián)到資產(chǎn)對象后具體資產(chǎn)實例維度信息的漏洞。接收漏洞信息的過程。對漏洞的存在性、等級、類別、影響程度等進行技術(shù)驗證的過程。2漏洞預(yù)警vulnerabilitywarning將漏洞信息向社會或可能受影響的用戶發(fā)布預(yù)警通知的過程。用于描述網(wǎng)絡(luò)資產(chǎn)的一組屬性信息集合，包括設(shè)備類型、設(shè)備廠商、系統(tǒng)信息(如操作系統(tǒng)的版本信息、設(shè)備類型信息、系統(tǒng)名稱、廠商信息等)、端口信息(系統(tǒng)開放的遠程端口信息)、服務(wù)信ApacheActiveMQ等)、數(shù)據(jù)庫(Mysql、Oracle、SQLServer等)、程序應(yīng)用框架信息(程序開發(fā)或應(yīng)用所使用的框架，如ApacheStruts、SpringFramework等)、應(yīng)用軟件信息(系統(tǒng)正在運行的應(yīng)用類軟4漏洞管理平臺概述行業(yè)網(wǎng)絡(luò)運營者漏洞管理平臺是由基礎(chǔ)電信企業(yè)在內(nèi)的網(wǎng)絡(luò)運營者建設(shè)，對于企業(yè)所掌握的安全漏洞數(shù)據(jù)、以及監(jiān)管范圍內(nèi)IP化實體及虛擬資產(chǎn)的潛在漏洞風險提供安全管理。行業(yè)網(wǎng)絡(luò)運營者漏洞管理平臺具備行業(yè)安全漏洞信息統(tǒng)籌管理、資產(chǎn)漏洞安全監(jiān)測稽查、行業(yè)漏洞信息知識庫以及安全事件預(yù)警與閉環(huán)處置響應(yīng)等功能，實現(xiàn)行業(yè)安全漏洞態(tài)勢感知、風險預(yù)警、協(xié)同處置，提升行業(yè)安全漏洞管理能力。電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)運營者漏洞管理平臺(以下簡稱“平臺”)實現(xiàn)漏洞全生命周期管理、漏洞信息管理和漏洞可視化管理功能，除此之外，還應(yīng)具備系統(tǒng)安全管理功能和系統(tǒng)接口。漏洞接收：漏洞接收功能實現(xiàn)對上級平臺下發(fā)、掃描工具發(fā)現(xiàn)、漏洞情報訂閱以及組織或個人上報等多渠道漏洞信息及漏洞所關(guān)聯(lián)網(wǎng)絡(luò)資產(chǎn)信息的收錄。漏洞驗證：漏洞驗證功能實現(xiàn)對漏洞驗證任務(wù)的管理以及對漏洞存在性、漏洞等級、驗證方式受影響網(wǎng)絡(luò)資產(chǎn)類型和范圍等驗證結(jié)果的跟蹤記錄。漏洞預(yù)警：漏洞預(yù)警功能實現(xiàn)對漏洞可能影響的相關(guān)部門或人員發(fā)布漏洞預(yù)警信息。漏洞處置：漏洞處置功能實現(xiàn)對漏洞處置任務(wù)的管理和漏洞處置結(jié)果的跟蹤記錄。漏洞復(fù)測：漏洞復(fù)測功能通過不同角色或方式核實已完成的工單和任務(wù)記錄。漏洞信息管理：漏洞信息管理功能實現(xiàn)對漏洞信息的全流程、多維度跟蹤管理。通過建立企業(yè)自身安全漏洞庫實現(xiàn)對漏洞全生命周期的跟蹤管理、資產(chǎn)指紋關(guān)聯(lián)分析、漏洞信息全文檢索以及漏洞數(shù)據(jù)多維度可視化展現(xiàn)等。系統(tǒng)安全管理：系統(tǒng)安全管理實現(xiàn)安全管理能力，保障平臺安全運行系統(tǒng)接口：系統(tǒng)接口實現(xiàn)數(shù)據(jù)開放共享的能力5平臺功能要求5.1漏洞接收5.1.1漏洞接收渠道本項要求包括：a)應(yīng)支持接收上級監(jiān)管部門相關(guān)平臺下發(fā)的漏洞信息；b)應(yīng)支持接收第三方漏洞掃描工具發(fā)現(xiàn)的漏洞信息；c)應(yīng)支持通過漏洞情報訂閱等方式定期接收安全廠商、網(wǎng)絡(luò)產(chǎn)品廠商發(fā)布的漏洞信息；3d)應(yīng)支持接收從事漏洞發(fā)現(xiàn)的組織或個人上報的漏洞信息。5.1.2漏洞接收方式本項要求包括：a)應(yīng)支持通過API接口的方式自動化接收漏洞信息：b)應(yīng)支持手工錄入的方式接收漏洞信息：c)應(yīng)支持批量導(dǎo)入的方式接收漏洞信息。5.1.3漏洞信息接收規(guī)范本項要求包括：a)所接收漏洞信息應(yīng)包括標識號、漏洞名稱、發(fā)布時間、發(fā)布單位、漏洞類別、漏洞等級以及影響系統(tǒng)等安全漏洞描述項：b)所接收漏洞信息宜包括與漏洞關(guān)聯(lián)的網(wǎng)絡(luò)資產(chǎn)信息。5.1.4漏洞接收反饋應(yīng)支持對漏洞報告方進行確認或反饋，可通過短信、郵件、系統(tǒng)短消息、工單等方式中的一種或多種方式。本項要求包括：a)應(yīng)提供工單功能。或與現(xiàn)有工單系統(tǒng)進行對接。向相關(guān)人員、系統(tǒng)下發(fā)漏洞驗證任務(wù)；b)應(yīng)支持接收相關(guān)人員、系統(tǒng)反饋的漏洞驗證結(jié)果。結(jié)果應(yīng)包括漏洞存在性、漏洞名稱、漏洞描述、漏洞等級、驗證方式、受影響網(wǎng)絡(luò)資產(chǎn)類型和范圍等。本項要求包括：a)應(yīng)支持短信，郵件、系統(tǒng)短消息、工單方式中的至少一種預(yù)警方式，向網(wǎng)絡(luò)運營者安全管理部門、相關(guān)業(yè)務(wù)部門或資產(chǎn)責任人發(fā)布漏洞預(yù)警信息；b)漏洞預(yù)警信息包含但不限干：漏洞名稱、漏洞描述、漏洞影響范圍、漏洞預(yù)警響應(yīng)級別(高、中、低)、漏洞處置建議等c)應(yīng)根據(jù)漏洞情況、資產(chǎn)范圍等自定義漏洞預(yù)警規(guī)則策略。本項要求包括：a)應(yīng)提供工單功能，或與現(xiàn)有工單系統(tǒng)進行對接，向相關(guān)人員、系統(tǒng)下發(fā)漏洞處置任務(wù)；b)漏洞處置參數(shù)應(yīng)包含但不限于：漏洞名稱、漏洞描述、漏洞等級、受影響網(wǎng)絡(luò)資產(chǎn)范圍、處置優(yōu)先級、處置期限、處置建議；c)應(yīng)支持根據(jù)漏洞等級、類別、影響范圍等自定義漏洞處置期限；d)應(yīng)支持接收相關(guān)人員、系統(tǒng)反饋的漏洞處置結(jié)果；——對于完成處置的漏洞，漏洞處置結(jié)果信息應(yīng)包括漏洞名稱、修復(fù)網(wǎng)絡(luò)資產(chǎn)范圍、漏洞處置措施(升級補丁、更改配置、系統(tǒng)下線等)、處置相關(guān)日志記錄、處置效果驗證報告(由業(yè)務(wù)和安全管理部門簽字蓋章)等；——對于無法處置的漏洞，應(yīng)反饋理由，并支持相關(guān)負責人進行審批：56.2接口格式要求本項要求包括：a)接口技術(shù)應(yīng)支持包括不限于WEBSERVICE、REST技術(shù)；b)接口內(nèi)容格式應(yīng)支持包括不限于JSON、XML格式。本項要求包括：a)應(yīng)支持接口認證功能，對接口的連接進行有效性驗證：b)應(yīng)支持接口加密傳送信息，對接口內(nèi)容進行安全保護：c)應(yīng)通過專線或其他安全通道傳送信息。7安全管理要求7.1用戶標識7.1.1屬性定義系統(tǒng)應(yīng)為每個管理員規(guī)定與之相關(guān)的安全屬性，包括：管理角色標識、鑒別信息、隸屬組、權(quán)限7.1.2屬性初始化系統(tǒng)應(yīng)提供使用默認值對創(chuàng)建的每個管理角色的屬性進行初始化的能力。7.1.3唯一性標識系統(tǒng)應(yīng)保證任何用戶都具備唯一的標識，用戶標識與產(chǎn)品自身審計相關(guān)聯(lián)，并在產(chǎn)品的生命周期內(nèi)唯一。7.2.1鑒別數(shù)據(jù)初始化系統(tǒng)應(yīng)根據(jù)規(guī)定的鑒別機制，提供授權(quán)管理員鑒別數(shù)據(jù)的初始化功能，并確保僅允許授權(quán)管理員使用這些功能。7.2.2鑒別失敗處理本項要求包括：a)當管理員鑒別嘗試失敗連續(xù)達到指定次數(shù)后，系統(tǒng)應(yīng)阻止管理員進一步的鑒別請求，并將有關(guān)信息生成審計事件。最多失敗次數(shù)僅由授權(quán)管理員設(shè)定：b)系統(tǒng)連續(xù)多次鑒別失敗，系統(tǒng)應(yīng)支持并根據(jù)配置的鎖定策略，對當前操作IP鎖定，并提供解鎖功能。7.3.1審計數(shù)據(jù)生成系統(tǒng)應(yīng)對下列可審計事件生成一個審計記錄：7(資料性)資產(chǎn)大類包括主要硬件、安全系統(tǒng)、基礎(chǔ)軟件、應(yīng)用軟件四類。資產(chǎn)二級分類包括網(wǎng)絡(luò)產(chǎn)品、安全產(chǎn)品、電信設(shè)備、物聯(lián)網(wǎng)設(shè)備、辦公外設(shè)、基礎(chǔ)軟件、應(yīng)用軟件七類。具體詳見表A.1。表A1資產(chǎn)大類分類表主要硬件(01)網(wǎng)絡(luò)產(chǎn)品(01)安全系統(tǒng)(02)安全產(chǎn)品(02)網(wǎng)絡(luò)隔離和單向?qū)氘a(chǎn)品網(wǎng)絡(luò)接入控制(NAC)終端防護/防病毒產(chǎn)品數(shù)據(jù)防泄露系統(tǒng)(DLP)身份認證與權(quán)限管理產(chǎn)品(LAM)安全信息和事件管理(SIEM)安全運營中心(SOC)安全編排與自動化響應(yīng)(SOAR)主要硬件(01)電信設(shè)備(03)(U)SIM卡/eS