電信和互聯(lián)網行業(yè)網絡運營者漏洞管理平臺技術要求

1電信和互聯(lián)網行業(yè)網絡運營者漏洞管理平臺技術要求本文件規(guī)定了電信網和互聯(lián)網行業(yè)網絡運營者漏洞管理平臺的功能要求、接口要求以及安全管理要求。本文件適用于電信網和互聯(lián)網行業(yè)網絡運營者漏洞管理平臺。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件：不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。YD/T3803-2020電信網和互聯(lián)網資產安全管理平臺技術要求3術語和定義GB/T25069-2022界定的以及下列術語和定義適用于本文件。網絡運營者networkoperator網絡的所有者、管理者和網絡服務提供者，包括基礎電信企業(yè)集團公司、基礎電信企業(yè)省分公司、基礎電信企業(yè)專業(yè)公司、增值電信企業(yè)一二級機構(有關行業(yè)關鍵信息基礎設施運營者)等。構成信息系統(tǒng)的軟件、硬件、服務等IT和loT類資源的集合，是安全機制保護的對象，例如網絡產品、安全產品、物聯(lián)網設備、辦公外設，企業(yè)應用、系統(tǒng)軟件、支撐系統(tǒng)，詳細分類見附錄A。通用脆弱性描述，包括漏洞信息、受影響資產類型范圍、危險等級、修復建議等內容。具備通用漏洞屬性數(shù)據，以及關聯(lián)到資產對象后具體資產實例維度信息的漏洞。接收漏洞信息的過程。對漏洞的存在性、等級、類別、影響程度等進行技術驗證的過程。2漏洞預警vulnerabilitywarning將漏洞信息向社會或可能受影響的用戶發(fā)布預警通知的過程。用于描述網絡資產的一組屬性信息集合，包括設備類型、設備廠商、系統(tǒng)信息(如操作系統(tǒng)的版本信息、設備類型信息、系統(tǒng)名稱、廠商信息等)、端口信息(系統(tǒng)開放的遠程端口信息)、服務信ApacheActiveMQ等)、數(shù)據庫(Mysql、Oracle、SQLServer等)、程序應用框架信息(程序開發(fā)或應用所使用的框架，如ApacheStruts、SpringFramework等)、應用軟件信息(系統(tǒng)正在運行的應用類軟4漏洞管理平臺概述行業(yè)網絡運營者漏洞管理平臺是由基礎電信企業(yè)在內的網絡運營者建設，對于企業(yè)所掌握的安全漏洞數(shù)據、以及監(jiān)管范圍內IP化實體及虛擬資產的潛在漏洞風險提供安全管理。行業(yè)網絡運營者漏洞管理平臺具備行業(yè)安全漏洞信息統(tǒng)籌管理、資產漏洞安全監(jiān)測稽查、行業(yè)漏洞信息知識庫以及安全事件預警與閉環(huán)處置響應等功能，實現(xiàn)行業(yè)安全漏洞態(tài)勢感知、風險預警、協(xié)同處置，提升行業(yè)安全漏洞管理能力。電信和互聯(lián)網行業(yè)網絡運營者漏洞管理平臺(以下簡稱“平臺”)實現(xiàn)漏洞全生命周期管理、漏洞信息管理和漏洞可視化管理功能，除此之外，還應具備系統(tǒng)安全管理功能和系統(tǒng)接口。漏洞接收：漏洞接收功能實現(xiàn)對上級平臺下發(fā)、掃描工具發(fā)現(xiàn)、漏洞情報訂閱以及組織或個人上報等多渠道漏洞信息及漏洞所關聯(lián)網絡資產信息的收錄。漏洞驗證：漏洞驗證功能實現(xiàn)對漏洞驗證任務的管理以及對漏洞存在性、漏洞等級、驗證方式受影響網絡資產類型和范圍等驗證結果的跟蹤記錄。漏洞預警：漏洞預警功能實現(xiàn)對漏洞可能影響的相關部門或人員發(fā)布漏洞預警信息。漏洞處置：漏洞處置功能實現(xiàn)對漏洞處置任務的管理和漏洞處置結果的跟蹤記錄。漏洞復測：漏洞復測功能通過不同角色或方式核實已完成的工單和任務記錄。漏洞信息管理：漏洞信息管理功能實現(xiàn)對漏洞信息的全流程、多維度跟蹤管理。通過建立企業(yè)自身安全漏洞庫實現(xiàn)對漏洞全生命周期的跟蹤管理、資產指紋關聯(lián)分析、漏洞信息全文檢索以及漏洞數(shù)據多維度可視化展現(xiàn)等。系統(tǒng)安全管理：系統(tǒng)安全管理實現(xiàn)安全管理能力，保障平臺安全運行系統(tǒng)接口：系統(tǒng)接口實現(xiàn)數(shù)據開放共享的能力5平臺功能要求5.1漏洞接收5.1.1漏洞接收渠道本項要求包括：a)應支持接收上級監(jiān)管部門相關平臺下發(fā)的漏洞信息；b)應支持接收第三方漏洞掃描工具發(fā)現(xiàn)的漏洞信息；c)應支持通過漏洞情報訂閱等方式定期接收安全廠商、網絡產品廠商發(fā)布的漏洞信息；3d)應支持接收從事漏洞發(fā)現(xiàn)的組織或個人上報的漏洞信息。5.1.2漏洞接收方式本項要求包括：a)應支持通過API接口的方式自動化接收漏洞信息：b)應支持手工錄入的方式接收漏洞信息：c)應支持批量導入的方式接收漏洞信息。5.1.3漏洞信息接收規(guī)范本項要求包括：a)所接收漏洞信息應包括標識號、漏洞名稱、發(fā)布時間、發(fā)布單位、漏洞類別、漏洞等級以及影響系統(tǒng)等安全漏洞描述項：b)所接收漏洞信息宜包括與漏洞關聯(lián)的網絡資產信息。5.1.4漏洞接收反饋應支持對漏洞報告方進行確認或反饋，可通過短信、郵件、系統(tǒng)短消息、工單等方式中的一種或多種方式。本項要求包括：a)應提供工單功能。或與現(xiàn)有工單系統(tǒng)進行對接。向相關人員、系統(tǒng)下發(fā)漏洞驗證任務；b)應支持接收相關人員、系統(tǒng)反饋的漏洞驗證結果。結果應包括漏洞存在性、漏洞名稱、漏洞描述、漏洞等級、驗證方式、受影響網絡資產類型和范圍等。本項要求包括：a)應支持短信，郵件、系統(tǒng)短消息、工單方式中的至少一種預警方式，向網絡運營者安全管理部門、相關業(yè)務部門或資產責任人發(fā)布漏洞預警信息；b)漏洞預警信息包含但不限干：漏洞名稱、漏洞描述、漏洞影響范圍、漏洞預警響應級別(高、中、低)、漏洞處置建議等c)應根據漏洞情況、資產范圍等自定義漏洞預警規(guī)則策略。本項要求包括：a)應提供工單功能，或與現(xiàn)有工單系統(tǒng)進行對接，向相關人員、系統(tǒng)下發(fā)漏洞處置任務；b)漏洞處置參數(shù)應包含但不限于：漏洞名稱、漏洞描述、漏洞等級、受影響網絡資產范圍、處置優(yōu)先級、處置期限、處置建議；c)應支持根據漏洞等級、類別、影響范圍等自定義漏洞處置期限；d)應支持接收相關人員、系統(tǒng)反饋的漏洞處置結果；——對于完成處置的漏洞，漏洞處置結果信息應包括漏洞名稱、修復網絡資產范圍、漏洞處置措施(升級補丁、更改配置、系統(tǒng)下線等)、處置相關日志記錄、處置效果驗證報告(由業(yè)務和安全管理部門簽字蓋章)等；——對于無法處置的漏洞，應反饋理由，并支持相關負責人進行審批：56.2接口格式要求本項要求包括：a)接口技術應支持包括不限于WEBSERVICE、REST技術；b)接口內容格式應支持包括不限于JSON、XML格式。本項要求包括：a)應支持接口認證功能，對接口的連接進行有效性驗證：b)應支持接口加密傳送信息，對接口內容進行安全保護：c)應通過專線或其他安全通道傳送信息。7安全管理要求7.1用戶標識7.1.1屬性定義系統(tǒng)應為每個管理員規(guī)定與之相關的安全屬性，包括：管理角色標識、鑒別信息、隸屬組、權限7.1.2屬性初始化系統(tǒng)應提供使用默認值對創(chuàng)建的每個管理角色的屬性進行初始化的能力。7.1.3唯一性標識系統(tǒng)應保證任何用戶都具備唯一的標識，用戶標識與產品自身審計相關聯(lián)，并在產品的生命周期內唯一。7.2.1鑒別數(shù)據初始化系統(tǒng)應根據規(guī)定的鑒別機制，提供授權管理員鑒別數(shù)據的初始化功能，并確保僅允許授權管理員使用這些功能。7.2.2鑒別失敗處理本項要求包括：a)當管理員鑒別嘗試失敗連續(xù)達到指定次數(shù)后，系統(tǒng)應阻止管理員進一步的鑒別請求，并將有關信息生成審計事件。最多失敗次數(shù)僅由授權管理員設定：b)系統(tǒng)連續(xù)多次鑒別失敗，系統(tǒng)應支持并根據配置的鎖定策略，對當前操作IP鎖定，并提供解鎖功能。7.3.1審計數(shù)據生成系統(tǒng)應對下列可審計事件生成一個審計記錄：7(資料性)資產大類包括主要硬件、安全系統(tǒng)、基礎軟件、應用軟件四類。資產二級分類包括網絡產品、安全產品、電信設備、物聯(lián)網設備、辦公外設、基礎軟件、應用軟件七類。具體詳見表A.1。表A1資產大類分類表主要硬件(01)網絡產品(01)安全系統(tǒng)(02)安全產品(02)網絡隔離和單向導入產品網絡接入控制(NAC)終端防護/防病毒產品數(shù)據防泄露系統(tǒng)(DLP)身份認證與權限管理產品(LAM)安全信息和事件管理(SIEM)安全運營中心(SOC)安全編排與自動化響應(SOAR)主要硬件(01)電信設備(03)(U)SIM卡/eS