GB∕T 30276-2020 信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞管理規(guī)范

ICS35.040L80中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)代替GB/T30276—2013信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范I—國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)GB／T30276—2020 1范圍 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4網(wǎng)絡(luò)安全漏洞管理流程 5網(wǎng)絡(luò)安全漏洞管理要求 5.1漏洞發(fā)現(xiàn)和報(bào)告 5.2漏洞接收 5.3漏洞驗(yàn)證 5.4漏洞處置 5.5漏洞發(fā)布 5.6漏洞跟蹤 6證實(shí)方法 參考文獻(xiàn) ⅠGB／T30276—2020本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。本標(biāo)準(zhǔn)代替GB/T30276—2013《信息安全技術(shù)信息安全漏洞管理規(guī)范》，與GB/T30276—2013相比，主要技術(shù)變化如下：—修改了范圍的表述（見(jiàn)第1章，2013年版的第1章—增加了規(guī)范性引用文件GB/T30279—2020,刪除了規(guī)范性引用文件GB/T18336.1—2008（見(jiàn)—增加了術(shù)語(yǔ)“（網(wǎng)絡(luò)產(chǎn)品和服務(wù)的）提供者”“網(wǎng)絡(luò)運(yùn)營(yíng)者”“漏洞收錄組織”“漏洞應(yīng)急組織”“漏—修改了漏洞管理流程，從漏洞管理的角度出發(fā)，重新定義了漏洞管理流程的各階段，將原來(lái)的“預(yù)防、收集、消減、發(fā)布”管理階段調(diào)整為“漏洞發(fā)現(xiàn)和報(bào)告、漏洞接收、漏洞驗(yàn)證、漏洞處置、漏洞發(fā)布、漏洞跟蹤”，并提出各管理階段中各相關(guān)角色應(yīng)遵循的要求（見(jiàn)第4章、第5章，2013年版的第4章、第5章—?jiǎng)h除了“附錄A（規(guī)范性附錄）漏洞處理策略”(2013年版的附錄A)。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專(zhuān)利的責(zé)任。本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本標(biāo)準(zhǔn)起草單位：國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國(guó)信息安全測(cè)評(píng)中心、國(guó)家信息技術(shù)安全研究中心、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、上海交通大學(xué)、恒安嘉新（北京）科技股份公司、網(wǎng)神信息技術(shù)（北京）股份有限公司、上海斗象信息科技有限公司、北京數(shù)字觀星科技有限公司、阿里巴巴（北京）軟件服務(wù)有限公司、公安部第三研究所、中國(guó)科學(xué)院大學(xué)、北京奇虎科技有限公司。本標(biāo)準(zhǔn)主要起草人：云曉春、舒敏、崔牧凡、王文磊、嚴(yán)寒冰、賈子驍、陳悅、任澤君、崔婷婷、高繼明、劉楠、張玉清、姚一楠。本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為：—GB/T30276—2013。1GB／T30276—2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全漏洞管理流程各階段（包括漏洞發(fā)現(xiàn)和報(bào)告、接收、驗(yàn)證、處置、發(fā)布、跟蹤等）的管理流程、管理要求以及證實(shí)方法。本標(biāo)準(zhǔn)適用于網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者、網(wǎng)絡(luò)運(yùn)營(yíng)者、漏洞收錄組織、漏洞應(yīng)急組織等開(kāi)展的網(wǎng)絡(luò)安全漏洞管理活動(dòng)。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069信息安全技術(shù)術(shù)語(yǔ)GB/T28458—2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范GB/T30279—2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類(lèi)分級(jí)指南3術(shù)語(yǔ)和定義GB/T25069、GB/T28458—2020界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1使用網(wǎng)絡(luò)產(chǎn)品和服務(wù)的個(gè)人或組織。3.2提供網(wǎng)絡(luò)產(chǎn)品和服務(wù)的個(gè)人或組織。3.3網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。3.4提供公開(kāi)渠道接收漏洞信息，并建有相應(yīng)工作流程的組織。3.5與提供者、網(wǎng)絡(luò)運(yùn)營(yíng)者、漏洞收錄組織、網(wǎng)絡(luò)運(yùn)營(yíng)者、安全研究機(jī)構(gòu)、網(wǎng)絡(luò)安全企業(yè)等建有成熟的技術(shù)協(xié)作體系、負(fù)責(zé)安全漏洞的響應(yīng)和處置工作的網(wǎng)絡(luò)安全應(yīng)急協(xié)調(diào)組織。3.6通過(guò)技術(shù)手段，識(shí)別出網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在漏洞的過(guò)程。GB／T30276—20203.7獲得漏洞信息并將漏洞信息進(jìn)行報(bào)告的過(guò)程。3.8接收漏洞信息的過(guò)程。3.9對(duì)漏洞的存在性、等級(jí)、類(lèi)別等進(jìn)行技術(shù)驗(yàn)證的過(guò)程。將漏洞信息向社會(huì)或受影響的用戶(hù)等發(fā)布的過(guò)程。4網(wǎng)絡(luò)安全漏洞管理流程網(wǎng)絡(luò)安全漏洞管理流程如圖1所示。圖1網(wǎng)絡(luò)安全漏洞管理流程網(wǎng)絡(luò)安全漏洞管理包含以下階段：—漏洞發(fā)現(xiàn)和報(bào)告：漏洞發(fā)現(xiàn)者通過(guò)人工或者自動(dòng)的方法對(duì)漏洞進(jìn)行探測(cè)、分析，證實(shí)漏洞存在的真實(shí)性，并由漏洞報(bào)告者將獲得的漏洞信息向漏洞接收者報(bào)告；—漏洞接收：通過(guò)相應(yīng)途徑接收漏洞信息；—漏洞驗(yàn)證：收到漏洞報(bào)告后，進(jìn)行漏洞信息的技術(shù)驗(yàn)證；滿(mǎn)足相應(yīng)要求可終止后續(xù)漏洞管理流程；—漏洞處置：對(duì)漏洞進(jìn)行修復(fù)，或制定并測(cè)試漏洞修復(fù)或防范措施，可包括升級(jí)版本、補(bǔ)丁、更改配置等方式；—漏洞發(fā)布：通過(guò)網(wǎng)站、郵件列表等渠道將漏洞信息向社會(huì)或受影響的用戶(hù)發(fā)布；—漏洞跟蹤：在漏洞發(fā)布后跟蹤監(jiān)測(cè)漏洞修復(fù)情況、產(chǎn)品或服務(wù)的穩(wěn)定性等；視情況對(duì)漏洞修復(fù)或防范措施做進(jìn)一步改進(jìn)；滿(mǎn)足相應(yīng)要求可終止漏洞管理流程。漏洞管理流程中各階段的管理要求見(jiàn)第5章。23GB／T30276—20205網(wǎng)絡(luò)安全漏洞管理要求5.1漏洞發(fā)現(xiàn)和報(bào)告在漏洞發(fā)現(xiàn)和報(bào)告階段，要求如下：—遵循國(guó)家相關(guān)法律、法規(guī)的前提下，可通過(guò)人工或者自動(dòng)化方法對(duì)漏洞進(jìn)行探測(cè)、分析，并證實(shí)漏洞存在的真實(shí)性；—在實(shí)施漏洞發(fā)現(xiàn)活動(dòng)時(shí)，不應(yīng)對(duì)用戶(hù)的系統(tǒng)運(yùn)行和數(shù)據(jù)安全造成影響和損害，不應(yīng)有為了發(fā)現(xiàn)漏洞而侵犯其他組織的業(yè)務(wù)運(yùn)行和數(shù)據(jù)安全的行為；—在識(shí)別網(wǎng)絡(luò)產(chǎn)品或服務(wù)的潛在漏洞時(shí)，應(yīng)主動(dòng)評(píng)估可能存在的安全風(fēng)險(xiǎn)；—應(yīng)采取防止漏洞信息泄露的有效措施。—發(fā)現(xiàn)網(wǎng)絡(luò)或產(chǎn)品服務(wù)的漏洞后，應(yīng)及時(shí)報(bào)告漏洞信息；—報(bào)告漏洞時(shí)，應(yīng)客觀、真實(shí)地對(duì)漏洞進(jìn)行描述。在漏洞接收階段，要求如下：保密接收；范圍、漏洞接收渠道、漏洞接收要求、漏洞接收流程等內(nèi)容；滿(mǎn)足如下要求：—提供技術(shù)措施保證信息流轉(zhuǎn)渠道安全；—如果發(fā)現(xiàn)漏洞涉及其他提供者或網(wǎng)絡(luò)運(yùn)營(yíng)者，及時(shí)向相關(guān)提供者或網(wǎng)絡(luò)運(yùn)營(yíng)者報(bào)告，當(dāng)需要協(xié)調(diào)時(shí)可請(qǐng)求漏洞應(yīng)急組織的幫助。在漏洞驗(yàn)證階段，要求如下：—應(yīng)及時(shí)對(duì)漏洞的存在性、等級(jí)、類(lèi)別等進(jìn)行技術(shù)驗(yàn)證，向漏洞報(bào)告者發(fā)送漏洞報(bào)告接收確認(rèn)或反饋，可聯(lián)合漏洞報(bào)告者等對(duì)漏洞進(jìn)行驗(yàn)證；—如果該漏洞涉及其他提供者或網(wǎng)絡(luò)運(yùn)營(yíng)者，應(yīng)及時(shí)通知相關(guān)提供者或網(wǎng)絡(luò)運(yùn)營(yíng)者共同進(jìn)行驗(yàn)證；—應(yīng)客觀地對(duì)漏洞信息進(jìn)行驗(yàn)證和確認(rèn)，不應(yīng)對(duì)漏洞報(bào)告者等進(jìn)行誤導(dǎo)；—在漏洞驗(yàn)證后，應(yīng)根據(jù)漏洞驗(yàn)證情況并依據(jù)GB/T28458—2020中5.3的要求對(duì)漏洞進(jìn)行描述，同時(shí)將驗(yàn)證結(jié)果反饋給漏洞報(bào)告者，也可反饋給漏洞應(yīng)急組織等；—如果被報(bào)告的漏洞是在提供者或網(wǎng)絡(luò)運(yùn)營(yíng)者目前不提供支持的產(chǎn)品或服務(wù)中發(fā)現(xiàn)的，提供者或網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)繼續(xù)完成調(diào)查和漏洞驗(yàn)證，并確認(rèn)該漏洞對(duì)其他支持的產(chǎn)品或在線4GB／T30276—2020服務(wù)的影響?！_認(rèn)漏洞接收后應(yīng)及時(shí)協(xié)調(diào)對(duì)漏洞信息的驗(yàn)證，協(xié)調(diào)方式可包括：告知與漏洞相關(guān)的產(chǎn)品或服務(wù)的提供者進(jìn)行驗(yàn)證和確認(rèn)；與該漏洞相關(guān)聯(lián)的提供者或者網(wǎng)絡(luò)運(yùn)營(yíng)者共同進(jìn)行驗(yàn)證和確認(rèn)；聯(lián)合漏洞報(bào)告者共同進(jìn)行漏洞信息的驗(yàn)證和確認(rèn)；—應(yīng)客觀、真實(shí)地反映漏洞情況，不應(yīng)對(duì)與該漏洞相關(guān)聯(lián)的提供者或網(wǎng)絡(luò)運(yùn)營(yíng)者、漏洞報(bào)告者等進(jìn)行誤導(dǎo)；—驗(yàn)證完成后應(yīng)及時(shí)通知與該漏洞相關(guān)聯(lián)的提供者或網(wǎng)絡(luò)運(yùn)營(yíng)者。—確認(rèn)漏洞接收后應(yīng)及時(shí)協(xié)調(diào)對(duì)漏洞信息的驗(yàn)證，協(xié)調(diào)方式可包括：告知與漏洞相關(guān)的產(chǎn)品或服務(wù)的提供者進(jìn)行驗(yàn)證和確認(rèn)；與該漏洞相關(guān)聯(lián)的提供者或網(wǎng)絡(luò)運(yùn)營(yíng)者共同進(jìn)行驗(yàn)證和確認(rèn)；—驗(yàn)證完成后應(yīng)及時(shí)通知與該漏洞相關(guān)聯(lián)的提供者或網(wǎng)絡(luò)運(yùn)營(yíng)者。—重復(fù)漏洞：該漏洞是個(gè)已重復(fù)的漏洞，已解決或已修復(fù)的漏洞；—無(wú)法驗(yàn)證漏洞：該漏洞是提供者、網(wǎng)絡(luò)運(yùn)營(yíng)者、漏洞收錄組織等無(wú)法驗(yàn)證的漏洞；—無(wú)危害漏洞：該漏洞是一個(gè)無(wú)安全影響，或無(wú)法被現(xiàn)有技術(shù)利用的漏洞；注：漏洞利用方法可能隨著新的技術(shù)或攻擊方法的出現(xiàn)而改變，提供者及網(wǎng)絡(luò)運(yùn)營(yíng)者宜時(shí)刻保持對(duì)當(dāng)前漏洞攻擊手段的了解。—該漏洞所存在的產(chǎn)品或服務(wù)均已超過(guò)規(guī)定期限以及當(dāng)事人約定的期限，法律法規(guī)另有規(guī)定的除外。在漏洞處置階段，要求如下：—應(yīng)與相關(guān)提供者、網(wǎng)絡(luò)運(yùn)營(yíng)者協(xié)同開(kāi)展漏洞處置工作，可與漏洞收錄組織、漏洞應(yīng)急組織協(xié)同開(kāi)展漏洞處置工作；—在漏洞處置過(guò)程中應(yīng)進(jìn)行深入分析，判斷該漏洞是否影響其他產(chǎn)品或服務(wù)；—對(duì)已確認(rèn)的漏洞，在考慮漏洞嚴(yán)重程度、受影響用戶(hù)的范圍、被利用的潛在影響等因素的基礎(chǔ)上，立即進(jìn)行漏洞修復(fù)，或制定漏洞修復(fù)或防范措施；—在發(fā)布補(bǔ)丁和升級(jí)版本前應(yīng)進(jìn)行充分嚴(yán)格的有效性和安全性測(cè)試，避免補(bǔ)丁衍生的應(yīng)用功能和安全缺陷。對(duì)于不能通過(guò)補(bǔ)丁或版本升級(jí)解決的漏洞風(fēng)險(xiǎn)，應(yīng)提出有效的臨時(shí)處置建議，出具指導(dǎo)技術(shù)說(shuō)明；—對(duì)于依據(jù)GB/T30279—2020中6.3.3評(píng)定的技術(shù)分級(jí)為超危、高危的漏洞，若不能立即給出修復(fù)措施，應(yīng)給出有效的臨時(shí)防護(hù)建議，并可聯(lián)合漏洞應(yīng)急組織根據(jù)漏洞影響范圍及發(fā)展情況制定下一步處置方案和解決措施；—應(yīng)向漏洞報(bào)告者和用戶(hù)及時(shí)告知漏洞的處置措施，必要時(shí)向漏洞應(yīng)急組織報(bào)告；—應(yīng)提供有效途徑和便利的條件，供用戶(hù)獲取補(bǔ)丁、升級(jí)版本和臨時(shí)處置建議；—應(yīng)對(duì)受影響的用戶(hù)提供必要的技術(shù)支持，支持其完成漏洞修復(fù)；—宜調(diào)查漏洞更深層的原因，以及確定自身其他產(chǎn)品或服務(wù)是否有同樣或者類(lèi)似的漏洞?！膳c漏洞應(yīng)急組織及相關(guān)網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)運(yùn)營(yíng)者協(xié)同開(kāi)展漏洞處置工作；—在漏洞處置過(guò)程中應(yīng)保持客觀、準(zhǔn)確的態(tài)度，及時(shí)將經(jīng)過(guò)驗(yàn)證的漏洞信息與該漏洞相關(guān)聯(lián)5GB／T30276—2020的提供者、網(wǎng)絡(luò)運(yùn)營(yíng)者、漏洞應(yīng)急組織共享；—可向與該漏洞相關(guān)聯(lián)的提供者、網(wǎng)絡(luò)運(yùn)營(yíng)者等提供漏洞處置建議及相關(guān)技術(shù)支持工作；—應(yīng)采取相應(yīng)必要措施保護(hù)與被報(bào)告漏洞相關(guān)信息的安全和保密性，防止信息泄露、被他人利用?！蓪?duì)漏洞處置工作進(jìn)行協(xié)調(diào)和監(jiān)督，向相關(guān)漏洞接收者反饋漏洞歸屬、漏洞處置建議等處理意見(jiàn)和結(jié)果；—可督促與該漏洞相關(guān)聯(lián)的提供者、網(wǎng)絡(luò)運(yùn)營(yíng)者及時(shí)采取漏洞修復(fù)或者防范措施，防范因漏洞大規(guī)模利用傳播引起的網(wǎng)絡(luò)安全威脅；—可聯(lián)合與該漏洞相關(guān)聯(lián)的提供者或網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)漏洞處置情況進(jìn)行持續(xù)跟蹤，根據(jù)漏洞影響范圍及發(fā)展情況制定下一步處置方案及解決措施；—應(yīng)采取相應(yīng)必要措施保護(hù)與被報(bào)告漏洞相關(guān)信息的安全，防止信息泄露、被他人利用。5.5漏洞發(fā)布在漏洞發(fā)布階段，要求如下：絡(luò)攻擊事件進(jìn)行發(fā)布