《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞管理規(guī)范-編制說明》

國家標(biāo)準(zhǔn)報批資料

一、工作簡況

1、任務(wù)來源

隨著網(wǎng)絡(luò)安全形勢的日益嚴(yán)峻，對網(wǎng)絡(luò)安全漏洞管理要求也越來越高，現(xiàn)行

的《信息安全技術(shù)信息安全漏洞管理規(guī)范》（GB/T30276-2013）標(biāo)準(zhǔn)不能適應(yīng)

管理的要求，此外，現(xiàn)行的《信息安全技術(shù)安全漏洞分類》（GB/T33561-2017）、

《信息安全技術(shù)安全漏洞等級劃分指南》（GB/T30279-2013）、《信息安全技

術(shù)安全漏洞標(biāo)識與描述規(guī)范》（GB/T28458-2012）和《信息安全技術(shù)信息安

全漏洞管理規(guī)范》（GB/T30276-2013）四個漏洞標(biāo)準(zhǔn)也缺乏銜接。因此，有必

要對現(xiàn)行的漏洞管理標(biāo)準(zhǔn)進(jìn)行修訂。

2018年,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)提出了對現(xiàn)行四個漏

洞標(biāo)準(zhǔn)的修訂計劃，將對其中的GB/T33561-2017和GB/T30279-2013兩個標(biāo)準(zhǔn)合

并成《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級劃分指南》（GB/T30279-XXXX）

并進(jìn)行修訂，對GB/T28458-2012、GB/T30276-2013兩個標(biāo)準(zhǔn)直接進(jìn)行修訂。四

個標(biāo)準(zhǔn)均由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口，修訂計劃獲得國標(biāo)委批

準(zhǔn)。

2、標(biāo)準(zhǔn)編制的主要成員單位

《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范》（GB/T30276-XXXX）由國家計算

機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心牽頭修訂，參與單位有中國信息安全測評中心、國

家信息技術(shù)安全研究中心、上海交通大學(xué)等。

3、主要工作過程

項目啟動階段：

2018年5月25日，TC260秘書處組織召開了這三個標(biāo)準(zhǔn)修訂的啟動會。各

牽頭單位分別介紹了標(biāo)準(zhǔn)修訂思路、主要內(nèi)容，進(jìn)度計劃和存在的難點問題等。

2018年6月6日，本標(biāo)準(zhǔn)修訂組向標(biāo)準(zhǔn)參與單位發(fā)了《網(wǎng)絡(luò)安全漏洞管理

規(guī)范修訂調(diào)查問卷》，調(diào)研現(xiàn)有漏洞管理的生命周期和流程。

標(biāo)準(zhǔn)修訂草案階段：

2018年6月－10月期間，標(biāo)準(zhǔn)修訂組組織標(biāo)準(zhǔn)起草并經(jīng)過多次集中討論，

形成了標(biāo)準(zhǔn)修訂草案（工作組討論稿），主要工作過程：

國家標(biāo)準(zhǔn)報批資料

2018年6月13日，標(biāo)準(zhǔn)修訂組邀請部分漏洞企業(yè)和收錄組織召開標(biāo)準(zhǔn)修改

研討會，確定了標(biāo)準(zhǔn)修訂的主要內(nèi)容和結(jié)構(gòu)。

2018年6月21日，TC260秘書處組織網(wǎng)絡(luò)安全漏洞標(biāo)準(zhǔn)討論會，三個牽頭

單位分別介紹了標(biāo)準(zhǔn)修訂內(nèi)容，進(jìn)度計劃，調(diào)查問卷反饋等情況。

2018年7月8日，TC260秘書處再次組織召開網(wǎng)絡(luò)安全漏洞協(xié)調(diào)會，三個牽

頭單位分別介紹了標(biāo)準(zhǔn)修訂進(jìn)度及標(biāo)準(zhǔn)修訂草案。

2018年7月18日，標(biāo)準(zhǔn)修訂組集中討論起草，形成標(biāo)準(zhǔn)修訂草案（初稿），

并征求部分廠商，運營商，漏洞收錄組織和科研院所意見，標(biāo)準(zhǔn)修訂組根據(jù)討論

意見進(jìn)行修訂，形成標(biāo)準(zhǔn)修訂草案（第一稿）。

2018年8月8日，標(biāo)準(zhǔn)修訂組再次召集廠商，運營商，漏洞收錄組織和科

研院所集中討論，聽取對標(biāo)準(zhǔn)修訂草案的意見。標(biāo)準(zhǔn)修訂組根據(jù)討論意見進(jìn)行修

訂，形成標(biāo)準(zhǔn)修訂草案（第二稿）。

2018年10月16日，TC260WG5組織專家對標(biāo)準(zhǔn)修訂草案（第二稿）進(jìn)行，

標(biāo)準(zhǔn)修訂組根據(jù)專家意見進(jìn)行修訂，形成標(biāo)準(zhǔn)修訂草案（第三稿）。

2018年10月21日，TC260秘書處組織標(biāo)準(zhǔn)協(xié)調(diào)會，三個牽頭單位進(jìn)行討

論，標(biāo)準(zhǔn)修訂組會議意見進(jìn)行修訂，形成標(biāo)準(zhǔn)修訂草案（工作組討論稿）

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1、編制原則

通過對《信息安全技術(shù)信息安全漏洞管理規(guī)范》（GB/T30276-2013）進(jìn)行

修訂完善，調(diào)整標(biāo)準(zhǔn)中與當(dāng)前網(wǎng)絡(luò)安全漏洞管理形式不一致、或在標(biāo)準(zhǔn)應(yīng)用過程

中不適宜的內(nèi)容，優(yōu)化網(wǎng)絡(luò)安全漏洞的管理過程，提升標(biāo)準(zhǔn)的科學(xué)性、實用性、

普適性。在研制過程中遵循的漏洞管理原則包括：

（一）客觀性原則

漏洞管理應(yīng)依據(jù)漏洞危害等級，影響范圍和可利用性等客觀因素，遵循必要、

真實、客觀及有利于防范和應(yīng)對漏洞威脅的原則。

（二）及時有效性原則

漏洞管理過程中，對漏洞應(yīng)及時發(fā)現(xiàn)、及時溝通、及時處置,并遵循有效消

除漏洞威脅，進(jìn)行漏洞處置的原則。

（三）風(fēng)險最小化原則

國家標(biāo)準(zhǔn)報批資料

漏洞管理各生命周期，都應(yīng)盡可能消除漏洞風(fēng)險與隱患，以將用戶風(fēng)險降至

最小。

（四）閉環(huán)原則

漏洞管理過程，應(yīng)具備閉環(huán)的漏洞管理全生命周期跟蹤處置機(jī)制。

（五）合規(guī)性原則

遵循國家以及各行業(yè)的漏洞管理相關(guān)規(guī)定，進(jìn)行漏洞的發(fā)現(xiàn)、接收、驗證、

處置、發(fā)布和督促核查，控制漏洞風(fēng)險的傳播。

2、主要修訂內(nèi)容

本標(biāo)準(zhǔn)對網(wǎng)絡(luò)安全漏洞管理生命周期各階段進(jìn)行規(guī)范，以及漏洞相關(guān)角色在

漏洞管理生命周期各階段的管理活動。

本標(biāo)準(zhǔn)適用于廠商、網(wǎng)絡(luò)運營者、漏洞收錄組織、漏洞應(yīng)急組織、行業(yè)管理

部門（漏洞管理部門）和網(wǎng)絡(luò)安全管理協(xié)調(diào)部門等進(jìn)行網(wǎng)絡(luò)安全漏洞的管理活動。

本標(biāo)準(zhǔn)對《信息安全技術(shù)信息安全漏洞管理規(guī)范》（GB/T30276-2013）進(jìn)

行了修訂完善，調(diào)整原標(biāo)準(zhǔn)中在標(biāo)準(zhǔn)應(yīng)用中不適宜的內(nèi)容，優(yōu)化漏洞管理的流程，

補(bǔ)充完善在漏洞管理各階段漏洞相關(guān)角色的管理活動內(nèi)容，提升標(biāo)準(zhǔn)的適應(yīng)性，

為漏洞管理活動奠定基礎(chǔ)。

本次標(biāo)準(zhǔn)修訂的主要內(nèi)容包括術(shù)語修訂、漏洞管理生命周期和流程、以及在

漏洞生命周期管理流程中各相關(guān)實體的活動等。

（1）標(biāo)準(zhǔn)結(jié)構(gòu)修訂

調(diào)整了標(biāo)準(zhǔn)結(jié)構(gòu)，將原標(biāo)準(zhǔn)章節(jié)“范圍、規(guī)范性引用文件、術(shù)語和定義、信

息安全漏洞生命周期、信息安全漏洞管理”調(diào)整為“范圍、規(guī)范性引用文件、術(shù)

語和定義、網(wǎng)絡(luò)安全漏洞管理生命周期、網(wǎng)絡(luò)安全漏洞管理”。

（2）術(shù)語修訂

根據(jù)漏洞管理生命周期涉及的角色，對術(shù)語定義做了以下修訂，并保證與漏

洞其他兩個標(biāo)準(zhǔn)協(xié)調(diào)一致：

a）新增術(shù)語：網(wǎng)絡(luò)安全漏洞、網(wǎng)絡(luò)運營者、漏洞關(guān)聯(lián)廠商、漏洞收錄組織、

漏洞應(yīng)急組織、漏洞管理組織。

b）刪除術(shù)語：修復(fù)措施。

（3）重新定義了漏洞管理生命周期的各階段

國家標(biāo)準(zhǔn)報批資料

現(xiàn)行標(biāo)準(zhǔn)以漏洞管理活動的實施為各階段劃分，未能充分考慮漏洞各生命周

期內(nèi)關(guān)聯(lián)角色的活動，不便于進(jìn)行管理規(guī)范。因此，本次修訂中將以網(wǎng)絡(luò)安全漏

洞管理生命周期為階段劃分，重新定義了漏洞管理生命周期的各階段，將原來的

“預(yù)防、收集、消減、發(fā)布”管理階段調(diào)整為“漏洞發(fā)現(xiàn)、漏洞接收、漏洞驗證、

漏洞處置、漏洞發(fā)布、督促核查”。

（4）補(bǔ)充完善了在漏洞生命周期各階段中，漏洞關(guān)聯(lián)角色的漏洞管理活動，

對關(guān)聯(lián)角色的漏洞管理活動進(jìn)行規(guī)范和指導(dǎo)。

3、主要章節(jié)內(nèi)容

（一）范圍

本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全漏洞生命周期各階段的管理要求，包括漏洞發(fā)現(xiàn)、接

收、驗證、處置、發(fā)布、督促等階段，以及漏洞管理相關(guān)角色在生命周期各階段

的管理活動。

本標(biāo)準(zhǔn)適用于廠商、網(wǎng)絡(luò)運營者、漏洞收錄組織、漏洞應(yīng)急組織、行業(yè)管理

部門（漏洞管理部門）和網(wǎng)絡(luò)安全管理協(xié)調(diào)部門等進(jìn)行網(wǎng)絡(luò)安全漏洞的管理活動。

（二）網(wǎng)絡(luò)安全漏洞管理生命周期

依據(jù)網(wǎng)絡(luò)安全漏洞（簡稱漏洞）從產(chǎn)生到消亡的整個過程，漏洞生命周期

管理包含漏洞發(fā)現(xiàn)、漏洞接收、漏洞驗證、漏洞處置、漏洞發(fā)布、督促核查幾個

階段。

（三）網(wǎng)絡(luò)安全漏洞管理

規(guī)定了漏洞生命周期管理流程，以及在漏洞發(fā)現(xiàn)、漏洞接收、漏洞驗證、漏

洞處置、漏洞發(fā)布、督促核查各階段漏洞相關(guān)角色的管理活動。

三、主要試驗[或驗證]情況分析

漏洞消控

國家標(biāo)準(zhǔn)報批資料

處置反饋

漏洞發(fā)現(xiàn)漏洞接收漏洞驗證漏洞處置漏洞發(fā)布

個人漏洞報告漏洞關(guān)聯(lián)廠商漏洞關(guān)聯(lián)廠商漏洞關(guān)聯(lián)廠商個人

廠商網(wǎng)絡(luò)運營者網(wǎng)絡(luò)運營者網(wǎng)絡(luò)運營者漏洞關(guān)聯(lián)廠商

網(wǎng)絡(luò)運營者漏洞收錄組織漏洞收錄組織漏洞收錄組織網(wǎng)絡(luò)運營者

漏洞收錄組織漏洞應(yīng)急組織漏洞應(yīng)急組織漏洞收錄組織

漏洞管理組織漏洞管理組織漏洞應(yīng)急組織

接收反饋驗證反饋

督促核查

漏洞管理組織

編制組在編制過程中，廣泛聽取漏洞管理部門、漏洞收錄組組織、漏洞關(guān)聯(lián)

廠商、漏洞應(yīng)急組織的意見。

四、知識產(chǎn)權(quán)情況說明

本標(biāo)準(zhǔn)不涉及專利。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

無。

六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況

參考了以下幾個國際標(biāo)準(zhǔn):

ISO/IEC30111,Informationtechnology—Securitytechniques—

Vulnerabilityhandingprocesses；

ISO/IEC29147,Informationtechnology—Securitytechniques—

Vulnerabilitydisclosure；

CMU/SEI-2017-SR-022SpecialReport，TheCERT?GuidetoCoordinated

VulnerabilityDisclosure。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

本標(biāo)準(zhǔn)嚴(yán)格遵循《中華人民共和國網(wǎng)絡(luò)安全法》的要求，與正在修訂的GB/T

28458-XXXX《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識與描述規(guī)范》以及GB/T

30279-XXXX《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級劃分指南》等相關(guān)標(biāo)準(zhǔn)的修

訂內(nèi)容協(xié)調(diào)一致。

八、重大分歧意見的處理經(jīng)過和依據(jù)

本標(biāo)準(zhǔn)編制過程中，標(biāo)準(zhǔn)修訂組認(rèn)真聽取專家及各成員單位的意見，并對標(biāo)

準(zhǔn)文稿進(jìn)行修改。詳見標(biāo)準(zhǔn)意見匯總處理表。

國家標(biāo)準(zhǔn)報批資料

九、標(biāo)準(zhǔn)性質(zhì)的建議

建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實施。

十、貫徹標(biāo)準(zhǔn)的要求和措施建議

在正式執(zhí)行本標(biāo)準(zhǔn)之前，對標(biāo)準(zhǔn)中的條款進(jìn)行宣貫，以在利益相關(guān)方之間達(dá)

成標(biāo)準(zhǔn)條款理解上的一致性。建議在標(biāo)準(zhǔn)實施過程，漏洞管理部門要加強(qiáng)對管理，

督促核查