犐犆犛犔中华人民共和国国家标准犌犅代替犜信息安全技术网络安全漏洞管理规范犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔犛狆犲犮犻犳犻犮犪狋犻狅狀犳狅狉犮狔犫犲狉狊犲犮狌狉犻狋狔狏狌犾狀犲狉犪犫犻犾犻狋狔犿犪狀犪犵犲犿犲狀狋发布实施国家市场监督管理总局国家标准化管理委员会发布犌犅犜目次前言范围规范性引用文件术语和定义网络安全漏洞管理流程网络安全漏洞管理要求漏洞发现和报告漏洞接收漏洞验证漏洞处置漏洞发布漏洞跟踪证实方法参考文献犌犅犜前言本标准按照给出的规则起草本标准代替信息安全技术信息安全漏洞管理规范与相比主要技术变化如下修改了范围的表述见第章年版的第章增加了规范性引用文件删除了规范性引用文件见第章年版的第章增加了术语网络产品和服务的提供者网络运营者漏洞收录组织漏洞应急组织漏洞发现漏洞报告漏洞接收漏洞验证漏洞发布见删除了术语修复措施厂商漏洞管理组织漏洞发现者年版的修改了漏洞管理流程从漏洞管理的角度出发重新定义了漏洞管理流程的各阶段将原来的预防收集消减发布管理阶段调整为漏洞发现和报告漏洞接收漏洞验证漏洞处置漏洞发布漏洞跟踪并提出各管理阶段中各相关角色应遵循的要求见第章第章年版的第章第章删除了附录规范性附录漏洞处理策略年版的附录请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位国家计算机网络应急技术处理协调中心中国信息安全测评中心国家信息技术安全研究中心中国电子技术标准化研究院上海交通大学恒安嘉新北京科技股份公司网神信息技术北京股份有限公司上海斗象信息科技有限公司北京数字观星科技有限公司阿里巴巴北京软件服务有限公司公安部第三研究所中国科学院大学北京奇虎科技有限公司本标准主要起草人云晓春舒敏崔牧凡王文磊严寒冰贾子骁陈悦任泽君崔婷婷高继明王桂温郭亮谢忱白晓媛王宏李斌孟魁姜开达黄道丽赵旭东赵芸伟蒋凌云郝永乐叶润国刘楠张玉清姚一楠本标准所代替标准的历次版本发布情况为犌犅犜信息安全技术网络安全漏洞管理规范范围本标准规定了网络安全漏洞管理流程各阶段包括漏洞发现和报告接收验证处置发布跟踪等的管理流程管理要求以及证实方法本标准适用于网络产品和服务的提供者网络运营者漏洞收录组织漏洞应急组织等开展的网络安全漏洞管理活动规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件信息安全技术术语信息安全技术网络安全漏洞标识与描述规范信息安全技术网络安全漏洞分类分级指南术语和定义界定的以及下列术语和定义适用于本文件用户狌狊犲狉使用网络产品和服务的个人或组织网络产品和服务的提供者狆狉狅狏犻犱犲狉狅犳狀犲狋狑狅狉犽狆狉狅犱狌犮狋狊犪狀犱狊犲狉狏犻犮犲狊提供网络产品和服务的个人或组织网络运营者狀犲狋狑狅狉犽狅狆犲狉犪狋狅狉网络的所有者管理者和网络服务提供者漏洞收录组织狏狌犾狀犲狉犪犫犻犾犻狋狔狉犲狆狅狊犻狋狅狉狔狅狉犵犪狀犻狕犪狋犻狅狀提供公开渠道接收漏洞信息并建有相应工作流程的组织漏洞应急组织狏狌犾狀犲狉犪犫犻犾犻狋狔犲犿犲狉犵犲狀犮狔狉犲狊狆狅狀狊犲狅狉犵犪狀犻狕犪狋犻狅狀与提供者网络运营者漏洞收录组织网络运营者安全研究机构网络安全企业等建有成熟的技术协作体系负责安全漏洞的响应和处置工作的网络安全应急协调组织漏洞发现狏狌犾狀犲狉犪犫犻犾犻狋狔犱犻狊犮狅狏犲狉狔通过技术手段识别出网络产品和服务存在漏洞的过程犌犅犜漏洞报告狏狌犾狀犲狉犪犫犻犾犻狋狔狉犲狆狅狉狋获得漏洞信息并将漏洞信息进行报告的过程漏洞接收狏狌犾狀犲狉犪犫犻犾犻狋狔狉犲犮犲犻狆狋接收漏洞信息的过程漏洞验证狏狌犾狀犲狉犪犫犻犾犻狋狔狏犲狉犻犳犻犮犪狋犻狅狀对漏洞的存在性等级类别等进行技术验证的过程漏洞发布狏狌犾狀犲狉犪犫犻犾犻狋狔狉犲犾犲犪狊犲将漏洞信息向社会或受影响的用户等发布的过程网络安全漏洞管理流程网络安全漏洞管理流程如图所示图网络安全漏洞管理流程网络安全漏洞管理包含以下阶段漏洞发现和报告漏洞发现者通过人工或者自动的方法对漏洞进行探测分析证实漏洞存在的真实性并由漏洞报告者将获得的漏洞信息向漏洞接收者报告漏洞接收通过相应途径接收漏洞信息漏洞验证收到漏洞报告后进行漏洞信息的技术验证满足相应要求可终止后续漏洞管理流程漏洞处置对漏洞进行修复或制定并测试漏洞修复或防范措施可包括升级版本补丁更改配置等方式漏洞发布通过网站邮件列表等渠道将漏洞信息向社会或受影响的用户发布漏洞跟踪在漏洞发布后跟踪监测漏洞修复情况产品或服务的稳定性等视情况对漏洞修复或防范措施做进一步改进满足相应要求可终止漏洞管理流程漏洞管理流程中各阶段的管理要求见第章犌犅犜网络安全漏洞管理要求漏洞发现和报告在漏洞发现和报告阶段要求如下对漏洞发现者的要求遵循国家相关法律法规的前提下可通过人工或者自动化方法对漏洞进行探测分析并证实漏洞存在的真实性在实施漏洞发现活动时不应对用户的系统运行和数据安全造成影响和损害不应有为了发现漏洞而侵犯其他组织的业务运行和数据安全的行为在识别网络产品或服务的潜在漏洞时应主动评估可能存在的安全风险应采取防止漏洞信息泄露的有效措施对漏洞报告者的要求发现网络或产品服务的漏洞后应及时报告漏洞信息报告漏洞时应客观真实地对漏洞进行描述漏洞接收在漏洞接收阶段要求如下应为漏洞报告者提供漏洞接收渠道如网站邮箱或电话等并采取措施保障漏洞信息的安全保密接收应制定并公开发布漏洞接收策略便于漏洞报告者报告漏洞接收策略包括但不限于漏洞接收范围漏洞接收渠道漏洞接收要求漏洞接收流程等内容在收到漏洞报告者的漏洞报告后应及时给予漏洞报告者确认或反馈不应以产品或服务已经终止维护为由拒绝接收漏洞报告应采取有效措施保护与被报告漏洞相关的信息的安全和保密性防止漏洞信息泄漏若由与该漏洞相关联的提供者或网络运营者进行漏洞接收时除满足的要求外还应满足如下要求提供技术措施保证信息流转渠道安全如果发现漏洞涉及其他提供者或网络运营者及时向相关提供者或网络运营者报告当需要协调时可请求漏洞应急组织的帮助漏洞验证在漏洞验证阶段要求如下若由与该漏洞相关联的提供者或网络运营者进行验证应及时对漏洞的存在性等级类别等进行技术验证向漏洞报告者发送漏洞报告接收确认或反馈可联合漏洞报告者等对漏洞进行验证如果该漏洞涉及其他提供者或网络运营者应及时通知相关提供者或网络运营者共同进行验证应客观地对漏洞信息进行验证和确认不应对漏洞报告者等进行误导在漏洞验证后应根据漏洞验证情况并依据中的要求对漏洞进行描述同时将验证结果反馈给漏洞报告者也可反馈给漏洞应急组织等如果被报告的漏洞是在提供者或网络运营者目前不提供支持的产品或服务中发现的提供者或网络运营者应继续完成调查和漏洞验证并确认该漏洞对其他支持的产品或在线犌犅犜服务的影响若由漏洞收录组织进行验证确认漏洞接收后应及时协调对漏洞信息的验证协调方式可包括告知与漏洞相关的产品或服务的提供者进行验证和确认与该漏洞相关联的提供者或者网络运营者共同进行验证和确认联合漏洞报告者共同进行漏洞信息的验证和确认应客观真实地反映漏洞情况不应对与该漏洞相关联的提供者或网络运营者漏洞报告者等进行误导验证完成后应及时通知与该漏洞相关联的提供者或网络运营者若由漏洞应急组织进行验证确认漏洞接收后应及时协调对漏洞信息的验证协调方式可包括告知与漏洞相关的产品或服务的提供者进行验证和确认与该漏洞相关联的提供者或网络运营者共同进行验证和确认验证完成后应及时通知与该漏洞相关联的提供者或网络运营者在漏洞验证过程中发生如下情况时可以终止后续的漏洞管理阶段并给予漏洞报告者反馈重复漏洞该漏洞是个已重复的漏洞已解决或已修复的漏洞无法验证漏洞该漏洞是提供者网络运营者漏洞收录组织等无法验证的漏洞无危害漏洞该漏洞是一个无安全影响或无法被现有技术利用的漏洞注漏洞利用方法可能随着新的技术或攻击方法的出现而改变提供者及网络运营者宜时刻保持对当前漏洞攻击手段的了解该漏洞所存在的产品或服务均已超过规定期限以及当事人约定的期限法律法规另有规定的除外漏洞处置在漏洞处置阶段要求如下对与该漏洞相关联的提供者网络运营者的要求应与相关提供者网络运营者协同开展漏洞处置工作可与漏洞收录组织漏洞应急组织协同开展漏洞处置工作在漏洞处置过程中应进行深入分析判断该漏洞是否影响其他产品或服务对已确认的漏洞在考虑漏洞严重程度受影响用户的范围被利用的潜在影响等因素的基础上立即进行漏洞修复或制定漏洞修复或防范措施在发布补丁和升级版本前应进行充分严格的有效性和安全性测试避免补丁衍生的应用功能和安全缺陷对于不能通过补丁或版本升级解决的漏洞风险应提出有效的临时处置建议出具指导技术说明对于依据中评定的技术分级为超危高危的漏洞若不能立即给出修复措施应给出有效的临时防护建议并可联合漏洞应急组织根据漏洞影响范围及发展情况制定下一步处置方案和解决措施应向漏洞报告者和用户及时告知漏洞的处置措施必要时向漏洞应急组织报告应提供有效途径和便利的条件供用户获取补丁升级版本和临时处置建议应对受影响的用户提供必要的技术支持支持其完成漏洞修复宜调查漏洞更深层的原因以及确定自身其他产品或服务是否有同样或者类似的漏洞对漏洞收录组织的要求可与漏洞应急组织及相关网络产品提供者网络运营者协同开展漏洞处置工作在漏洞处置过程中应保持客观准确的态度及时将经过验证的漏洞信息与该漏洞相关联犌犅犜的提供者网络运营者漏洞应急组织共享可向与该漏洞相关联的提供者网络运营者等提供漏洞处置建议及相关技术支持工作应采取相应必要措施保护与被报告漏洞相关信息的安全和保密性防止信息泄露被他人利用对漏洞应急组织的要求可对漏洞处置工作进行协调和监督向相关漏洞接收者反馈漏洞归属漏洞处置建议等处理意见和结果可督促与该漏洞相关联的提供者网络运营者及时采取漏洞修复或者防范措施防范因漏洞大规模利用传播引起的网络安全威胁可联合与该漏洞相关联的提供者或网络运营者对漏洞处置情况进行持续跟踪根据漏洞影响范围及发展情况制定下一步处置方案及解决措施应采取相应必要措施保护与被报告漏洞相关信息的安全防止信息泄露被他人利用漏洞发布在漏洞发布阶段要求如下漏洞发布应遵循国家漏洞相关规定要求在漏洞未修复或尚未制定漏洞修复或防范措施前不应发布漏洞信息漏洞信息涉及的目标对象风险情况描述等相关信息应真实客观不应将漏洞潜在风险作为网络攻击事件进行发布和引导不应发布专门用于危害网络安全的漏洞利用程序工具和方法应建立漏洞发布内部审核机制防范漏洞信息泄露和内部人员违规发布漏洞信息若由与该漏洞相关联的提供者或网络运营者进行漏洞发布时除满足的要求外还应满足根据漏洞的严重程度及时发布漏洞修复或者防范措施通过向社会发布或者通过其他方式告知所有可能受影响的用户漏洞跟踪在漏洞发布后进入漏洞跟踪阶段对与该漏洞相关的提供者或网络运营者的要求如下应收集用户反馈信息监测产品或服务是否稳定运行并视情对漏洞修复或防范