信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞管理規(guī)范-編制說(shuō)明

國(guó)家標(biāo)準(zhǔn)報(bào)批資料一、工作簡(jiǎn)況1、任務(wù)來(lái)源隨著網(wǎng)絡(luò)安全形勢(shì)的日益嚴(yán)峻，對(duì)網(wǎng)絡(luò)安全漏洞管理要求也越來(lái)越高，現(xiàn)行的《信息安全技術(shù)信息安全漏洞管理規(guī)范》（GB/T30276-2013）標(biāo)準(zhǔn)不能適應(yīng)管理的要求，此外，現(xiàn)行的《信息安全技術(shù)安全漏洞分類(lèi)》（GB/T33561-2017）、《信息安全技術(shù)安全漏洞等級(jí)劃分指南》（GB/T30279-2013）、《信息安全技術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范》（GB/T28458-2012）和《信息安全技術(shù)信息安全漏洞管理規(guī)范》（GB/T30276-2013）四個(gè)漏洞標(biāo)準(zhǔn)也缺乏銜接。因此，有必要對(duì)現(xiàn)行的漏洞管理標(biāo)準(zhǔn)進(jìn)行修訂。2018年,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出了對(duì)現(xiàn)行四個(gè)漏洞標(biāo)準(zhǔn)的修訂計(jì)劃，將對(duì)其中的GB/T33561-2017和GB/T30279-2013兩個(gè)標(biāo)準(zhǔn)合并成《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類(lèi)分級(jí)劃分指南》（GB/T30279-XXXX）并進(jìn)行修訂，對(duì)GB/T28458-2012、GB/T30276-2013兩個(gè)標(biāo)準(zhǔn)直接進(jìn)行修訂。四個(gè)標(biāo)準(zhǔn)均由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口，修訂計(jì)劃獲得國(guó)標(biāo)委批準(zhǔn)。2、標(biāo)準(zhǔn)編制的主要成員單位《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范》（GB/T30276-XXXX）由國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心牽頭修訂，參與單位有中國(guó)信息安全測(cè)評(píng)中心、國(guó)家信息技術(shù)安全研究中心、上海交通大學(xué)等。3、主要工作過(guò)程項(xiàng)目啟動(dòng)階段：2018年5月25日，TC260秘書(shū)處組織召開(kāi)了這三個(gè)標(biāo)準(zhǔn)修訂的啟動(dòng)會(huì)。各牽頭單位分別介紹了標(biāo)準(zhǔn)修訂思路、主要內(nèi)容，進(jìn)度計(jì)劃和存在的難點(diǎn)問(wèn)題等。2018年6月6日，本標(biāo)準(zhǔn)修訂組向標(biāo)準(zhǔn)參與單位發(fā)了《網(wǎng)絡(luò)安全漏洞管理規(guī)范修訂調(diào)查問(wèn)卷》，調(diào)研現(xiàn)有漏洞管理的生命周期和流程。標(biāo)準(zhǔn)修訂草案階段：2018年6月－10月期間，標(biāo)準(zhǔn)修訂組組織標(biāo)準(zhǔn)起草并經(jīng)過(guò)多次集中討論，形成了標(biāo)準(zhǔn)修訂草案（工作組討論稿），主要工作過(guò)程：2018年6月13日，標(biāo)準(zhǔn)修訂組邀請(qǐng)部分漏洞企業(yè)和收錄組織召開(kāi)標(biāo)準(zhǔn)修改研討會(huì)，確定了標(biāo)準(zhǔn)修訂的主要內(nèi)容和結(jié)構(gòu)。2018年6月21日，TC260秘書(shū)處組織網(wǎng)絡(luò)安全漏洞標(biāo)準(zhǔn)討論會(huì)，三個(gè)牽頭單位分別介紹了標(biāo)準(zhǔn)修訂內(nèi)容，進(jìn)度計(jì)劃，調(diào)查問(wèn)卷反饋等情況。2018年7月8日，TC260秘書(shū)處再次組織召開(kāi)網(wǎng)絡(luò)安全漏洞協(xié)調(diào)會(huì)，三個(gè)牽頭單位分別介紹了標(biāo)準(zhǔn)修訂進(jìn)度及標(biāo)準(zhǔn)修訂草案。2018年7月18日，標(biāo)準(zhǔn)修訂組集中討論起草，形成標(biāo)準(zhǔn)修訂草案（初稿），并征求部分廠商，運(yùn)營(yíng)商，漏洞收錄組織和科研院所意見(jiàn)，標(biāo)準(zhǔn)修訂組根據(jù)討論意見(jiàn)進(jìn)行修訂，形成標(biāo)準(zhǔn)修訂草案（第一稿）。2018年8月8日，標(biāo)準(zhǔn)修訂組再次召集廠商，運(yùn)營(yíng)商，漏洞收錄組織和科研院所集中討論，聽(tīng)取對(duì)標(biāo)準(zhǔn)修訂草案的意見(jiàn)。標(biāo)準(zhǔn)修訂組根據(jù)討論意見(jiàn)進(jìn)行修訂，形成標(biāo)準(zhǔn)修訂草案（第二稿）。2018年10月16日，TC260WG5組織專(zhuān)家對(duì)標(biāo)準(zhǔn)修訂草案（第二稿）進(jìn)行，標(biāo)準(zhǔn)修訂組根據(jù)專(zhuān)家意見(jiàn)進(jìn)行修訂，形成標(biāo)準(zhǔn)修訂草案（第三稿）。2018年10月21日，TC260秘書(shū)處組織標(biāo)準(zhǔn)協(xié)調(diào)會(huì)，三個(gè)牽頭單位進(jìn)行討論，標(biāo)準(zhǔn)修訂組會(huì)議意見(jiàn)進(jìn)行修訂，形成標(biāo)準(zhǔn)修訂草案（工作組討論稿）二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題1、編制原則通過(guò)對(duì)《信息安全技術(shù)信息安全漏洞管理規(guī)范》（GB/T30276-2013）進(jìn)行修訂完善，調(diào)整標(biāo)準(zhǔn)中與當(dāng)前網(wǎng)絡(luò)安全漏洞管理形式不一致、或在標(biāo)準(zhǔn)應(yīng)用過(guò)程中不適宜的內(nèi)容，優(yōu)化網(wǎng)絡(luò)安全漏洞的管理過(guò)程，提升標(biāo)準(zhǔn)的科學(xué)性、實(shí)用性、普適性。在研制過(guò)程中遵循的漏洞管理原則包括：（一）客觀性原則漏洞管理應(yīng)依據(jù)漏洞危害等級(jí)，影響范圍和可利用性等客觀因素，遵循必要、真實(shí)、客觀及有利于防范和應(yīng)對(duì)漏洞威脅的原則。（二）及時(shí)有效性原則漏洞管理過(guò)程中，對(duì)漏洞應(yīng)及時(shí)發(fā)現(xiàn)、及時(shí)溝通、及時(shí)處置,并遵循有效消除漏洞威脅，進(jìn)行漏洞處置的原則。（三）風(fēng)險(xiǎn)最小化原則漏洞管理各生命周期，都應(yīng)盡可能消除漏洞風(fēng)險(xiǎn)與隱患，以將用戶(hù)風(fēng)險(xiǎn)降至最小。（四）閉環(huán)原則漏洞管理過(guò)程，應(yīng)具備閉環(huán)的漏洞管理全生命周期跟蹤處置機(jī)制。（五）合規(guī)性原則遵循國(guó)家以及各行業(yè)的漏洞管理相關(guān)規(guī)定，進(jìn)行漏洞的發(fā)現(xiàn)、接收、驗(yàn)證、處置、發(fā)布和督促核查，控制漏洞風(fēng)險(xiǎn)的傳播。2、主要修訂內(nèi)容本標(biāo)準(zhǔn)對(duì)網(wǎng)絡(luò)安全漏洞管理生命周期各階段進(jìn)行規(guī)范，以及漏洞相關(guān)角色在漏洞管理生命周期各階段的管理活動(dòng)。本標(biāo)準(zhǔn)適用于廠商、網(wǎng)絡(luò)運(yùn)營(yíng)者、漏洞收錄組織、漏洞應(yīng)急組織、行業(yè)管理部門(mén)（漏洞管理部門(mén)）和網(wǎng)絡(luò)安全管理協(xié)調(diào)部門(mén)等進(jìn)行網(wǎng)絡(luò)安全漏洞的管理活動(dòng)。本標(biāo)準(zhǔn)對(duì)《信息安全技術(shù)信息安全漏洞管理規(guī)范》（GB/T30276-2013）進(jìn)行了修訂完善，調(diào)整原標(biāo)準(zhǔn)中在標(biāo)準(zhǔn)應(yīng)用中不適宜的內(nèi)容，優(yōu)化漏洞管理的流程，補(bǔ)充完善在漏洞管理各階段漏洞相關(guān)角色的管理活動(dòng)內(nèi)容，提升標(biāo)準(zhǔn)的適應(yīng)性，為漏洞管理活動(dòng)奠定基礎(chǔ)。本次標(biāo)準(zhǔn)修訂的主要內(nèi)容包括術(shù)語(yǔ)修訂、漏洞管理生命周期和流程、以及在漏洞生命周期管理流程中各相關(guān)實(shí)體的活動(dòng)等。標(biāo)準(zhǔn)結(jié)構(gòu)修訂調(diào)整了標(biāo)準(zhǔn)結(jié)構(gòu)，將原標(biāo)準(zhǔn)章節(jié)“范圍、規(guī)范性引用文件、術(shù)語(yǔ)和定義、信息安全漏洞生命周期、信息安全漏洞管理”調(diào)整為“范圍、規(guī)范性引用文件、術(shù)語(yǔ)和定義、網(wǎng)絡(luò)安全漏洞管理生命周期、網(wǎng)絡(luò)安全漏洞管理”。（2）術(shù)語(yǔ)修訂根據(jù)漏洞管理生命周期涉及的角色，對(duì)術(shù)語(yǔ)定義做了以下修訂，并保證與漏洞其他兩個(gè)標(biāo)準(zhǔn)協(xié)調(diào)一致：a）新增術(shù)語(yǔ)：網(wǎng)絡(luò)安全漏洞、網(wǎng)絡(luò)運(yùn)營(yíng)者、漏洞關(guān)聯(lián)廠商、漏洞收錄組織、漏洞應(yīng)急組織、漏洞管理組織。b）刪除術(shù)語(yǔ)：修復(fù)措施。（3）重新定義了漏洞管理生命周期的各階段現(xiàn)行標(biāo)準(zhǔn)以漏洞管理活動(dòng)的實(shí)施為各階段劃分，未能充分考慮漏洞各生命周期內(nèi)關(guān)聯(lián)角色的活動(dòng)，不便于進(jìn)行管理規(guī)范。因此，本次修訂中將以網(wǎng)絡(luò)安全漏洞管理生命周期為階段劃分，重新定義了漏洞管理生命周期的各階段，將原來(lái)的“預(yù)防、收集、消減、發(fā)布”管理階段調(diào)整為“漏洞發(fā)現(xiàn)、漏洞接收、漏洞驗(yàn)證、漏洞處置、漏洞發(fā)布、督促核查”。（4）補(bǔ)充完善了在漏洞生命周期各階段中，漏洞關(guān)聯(lián)角色的漏洞管理活動(dòng)，對(duì)關(guān)聯(lián)角色的漏洞管理活動(dòng)進(jìn)行規(guī)范和指導(dǎo)。3、主要章節(jié)內(nèi)容（一）范圍本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全漏洞生命周期各階段的管理要求，包括漏洞發(fā)現(xiàn)、接收、驗(yàn)證、處置、發(fā)布、督促等階段，以及漏洞管理相關(guān)角色在生命周期各階段的管理活動(dòng)。本標(biāo)準(zhǔn)適用于廠商、網(wǎng)絡(luò)運(yùn)營(yíng)者、漏洞收錄組織、漏洞應(yīng)急組織、行業(yè)管理部門(mén)（漏洞管理部門(mén)）和網(wǎng)絡(luò)安全管理協(xié)調(diào)部門(mén)等進(jìn)行網(wǎng)絡(luò)安全漏洞的管理活動(dòng)。（二）網(wǎng)絡(luò)安全漏洞管理生命周期依據(jù)網(wǎng)絡(luò)安全漏洞（簡(jiǎn)稱(chēng)漏洞）從產(chǎn)生到消亡的整個(gè)過(guò)程，漏洞生命周期管理包含漏洞發(fā)現(xiàn)、漏洞接收、漏洞驗(yàn)證、漏洞處置、漏洞發(fā)布、督促核查幾個(gè)階段。（三）網(wǎng)絡(luò)安全漏洞管理規(guī)定了漏洞生命周期管理流程，以及在漏洞發(fā)現(xiàn)、漏洞接收、漏洞驗(yàn)證、漏洞處置、漏洞發(fā)布、督促核查各階段漏洞相關(guān)角色的管理活動(dòng)。三、主要試驗(yàn)[或驗(yàn)證]情況分析接收反饋接收反饋驗(yàn)證反饋漏洞驗(yàn)證漏洞關(guān)聯(lián)廠商網(wǎng)絡(luò)運(yùn)營(yíng)者漏洞收錄組織漏洞處置漏洞關(guān)聯(lián)廠商網(wǎng)絡(luò)運(yùn)營(yíng)者漏洞收錄組織漏洞應(yīng)急組織漏洞管理組織漏洞發(fā)布個(gè)人漏洞關(guān)聯(lián)廠商網(wǎng)絡(luò)運(yùn)營(yíng)者漏洞收錄組織漏洞應(yīng)急組織漏洞報(bào)告漏洞發(fā)現(xiàn)個(gè)人廠商網(wǎng)絡(luò)運(yùn)營(yíng)者漏洞收錄組織漏洞消控處置反饋漏洞接收漏洞關(guān)聯(lián)廠商網(wǎng)絡(luò)運(yùn)營(yíng)者漏洞收錄組織漏洞應(yīng)急組織漏洞管理組織督促核查漏洞管理組織四、知識(shí)產(chǎn)權(quán)情況說(shuō)明本標(biāo)準(zhǔn)不涉及專(zhuān)利。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果無(wú)。六、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況參考了以下幾個(gè)國(guó)際標(biāo)準(zhǔn):ISO/IEC30111,Informationtechnology—Securitytechniques—Vulnerabilityhandingprocesses；ISO/IEC29147,Informationtechnology—Securitytechniques—Vulnerabilitydisclosure；CMU/SEI-2017-SR-022SpecialReport，TheCERT?GuidetoCoordinatedVulnerabilityDisclosure。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性本標(biāo)準(zhǔn)嚴(yán)格遵循《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的要求，與正在修訂的GB/T28458-XXXX《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范》以及GB/T30279-XXXX《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類(lèi)分級(jí)劃分指南》等相關(guān)標(biāo)準(zhǔn)的修訂內(nèi)容協(xié)調(diào)一致。八、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)本標(biāo)準(zhǔn)編制過(guò)程中，標(biāo)準(zhǔn)修訂組認(rèn)真聽(tīng)取專(zhuān)家及各成員單位的意見(jiàn)，并對(duì)標(biāo)準(zhǔn)文稿進(jìn)行修改。詳見(jiàn)標(biāo)準(zhǔn)意見(jiàn)匯總處理表。九、標(biāo)準(zhǔn)性質(zhì)的建議建議本標(biāo)準(zhǔn)作為推薦性國(guó)家標(biāo)準(zhǔn)發(fā)布實(shí)施。十、貫徹標(biāo)準(zhǔn)的要求和措施建議在正式執(zhí)行本標(biāo)準(zhǔn)之前，對(duì)標(biāo)準(zhǔn)中的條款進(jìn)行宣貫，以在利益相關(guān)方之間達(dá)成標(biāo)準(zhǔn)條款理解上的一致性。建議在標(biāo)準(zhǔn)實(shí)施過(guò)程，漏洞管理部門(mén)要加強(qiáng)對(duì)管理，督促核查標(biāo)準(zhǔn)更好落地實(shí)施。十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議替代《信息安全技術(shù)信息安全漏洞管理規(guī)范》