GBT 30276-2013 信息安全技术 信息安全漏洞管理规范

GBT 30276-2013 信息安全技术 信息安全漏洞管理规范 本标准规定了信息安全漏洞的管理要求，涉及漏洞的发现、利用、修复和公开等环节。 本标准适用于用户、厂商和漏洞管理组织进行信息安全漏洞的管理活动，包括漏洞的预防、收集、消减和发布。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件，凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 18336.1-2008 信息技术 安全技术 信息技术安全性评估准则GB/T 25069-2010 信息安全技术 术语 GB/T 28458-2012 信息安全技术 安全漏洞标识与描述规范3 术语和定义 GB/T 25069-2010和GB/T 18336.1-2008中界定的以及下列术语和定义适用于本文件. 3.1修复措施 remediation用以修复漏洞的补丁、升级版本、配置策略等。 3.2用户 user使用信息系统的个人或组织， 3.3厂商 vendor开发信息系统的组织。 3.4漏洞管理组织 vulnerability management organization协调厂商和漏洞发现者处理漏洞信息的组织。 注：组织包括国家信息安全主管部门等。 3.5漏洞发现者 vulnerability finder发现信息系统中潜在漏洞的个人或组织。 信息安全漏洞生命周期 依据信息安全漏洞《简称漏洞）从产生到消亡的整个过程，信息安全漏洞生命周期分以下几个阶段： a） 漏洞的发现：通过人工或者自动的方法分析、挖掘漏洞的过程，并且该漏洞可以被验证和重现。 b）漏洞的利用；利用漏洞对计算机信息系统的保密性、完整性和可用性造成损害的过程。 c）漏洞的修复：通过补丁、开级版本或配置策略等对漏刮进行修补的过程，使得该漏洞不能够被愿意主体所利用。 d）漏制的公开：通过公开渠道（如网站、邮作列表等）公布漏洞信息的过程。 5 信息安全漏洞管理 5.1 原则 信息安全漏洞管理遵循以下原则： a）公平、公开、公正原则：厂商在处理白身产品的漏洞时应坚持公开、公正原则。漏洞管理组织在处理漏洞信息时应遵循公平、公开、公正原则。 b）及时处理原则：用户、厂商和漏洞管理组织在处理漏洞信息时都应遵循及时处理的原则，及时清除漏洞与隐患。 e）安全风险最小化原则：在处理漏洞信息时应以用户的风险最小化为原则，保障广大月户的利益。 5.2 规划 根据漏酬生命周期中漏洞所处的不同状态，将漏洞管理行为对应为预防、收集、消减和发布等实施活动如图 1 所示。 预防是指通过各种安全手段提高信息系统的安全水平，避免漏制的产生和恶意利用。 收集是针对已发现的漏洞进行信息的及时跟踪与获取。 消减是指在漏剂被发现后积极采取补救措施，最大限度减少漏洞带来的损失。发布是指在遵循一定的发布策略的前提下，对漏洞及其修复信息进行发布。 用户、厂商和漏洞管理组织应依据本标准建立符合自身特点的漏洞处理策略和处理流程。 5.3.1概述 在漏洞管理活动中，漏洞发现者、厂商、漏洞管理组织和用户应规范白身的行为，国家信息安全主管部门应在漏刮发现者、厂商和用户之间发挥协调者的作用，在漏洞处理过程中维护公平、公开、公正原则、及时处理原则和安全风险最小化原则，保障被发现的漏洞得到有效处置。 5.3.2 漏洞的预防 5.3.2.1 厂商 厂商应尽可能地采用安全开发生命周期，在需求、设计、实现、配置、运行等阶段采取风险分析、代码审查、渗透测试等手段，提高产品安全性。 5.3.2.2 用户 用户应对使用的计算机系统进行安全加固（如及时安装升级补丁，关闭不必要的服务等），安装安全防护产品和开启相应的安全配置。 5.3.3漏洞的收集 5.3.3.1 漏洞管理组织 漏洞管理组织应与漏洞发现者、用户、厂商等漏洞管理中涉及的各方进行沟通与协调，广泛收集并及时处置漏洞，具体活动包括： a）漏洞收集：漏洞管理组织应建立和维护公开的漏洞收集渠道。针对收集到的漏洞信息，应及时进行处置。 b）漏洞验证：漏洞管理组织应负责联合厂商在规定时间内（见 A.1）验证收集到漏洞是否已公布，漏洞是否真实存在，确定漏洞的危害等级，并依据GB/T 28458-2012确定漏洞的标识和描述。 c） 漏洞通报：漏洞管理组织应将漏洞信息及时通知厂商《见 A.3），危害等级高的漏洞优先处理，以降低因漏洞引起的安全威胁。 5.3.3.2 厂商 厂商应提供接收漏洞信息的渠道，例如，网站、邮件或电话等。 厂商应对漏洞发现者或漏洞管理组织报告的漏洞在规定时间（见A.1）内确认其是否真实存在，并回复报告方。 5.3.3.3 漏洞发现者 漏洞发现者在发现漏洞的第一时间应向该漏洞的受影响厂商或漏洞管理组织报告漏洞详情。