信息安全技術 信息安全漏洞管理規(guī)范-編制說明

PAGE《信息安全技術信息安全漏洞管理規(guī)范》（送審稿）編制說明一、任務來源2010年，經(jīng)國標委批準，全國信息安全標準化技術委員會（SAC/TC260）主任辦公會討論通過，研究制定《信息安全技術信息安全漏洞管理規(guī)范》國家標準,國標計劃號：20110388-T-469。該項目由全國信息安全標準化技術委員會提出，全國信息安全標準化技術委員會歸口，由中國信息安全測評中心負責主辦。二、編制目標《信息安全技術信息安全漏洞管理規(guī)范》通過對信息安全漏洞的發(fā)現(xiàn)、驗證、修復和發(fā)布等環(huán)節(jié)進行研究，探討用戶、廠商以及漏洞管理組織在處理漏洞過程中所應遵循的原則、采取的措施、應盡的責任和義務，通過建立有效的漏洞處置機制，使得因漏洞帶來的損失減少到最低，有效提高我國的信息安全保障水平。三、國內(nèi)外信息安全漏洞管理情況3.1國際現(xiàn)狀（1）目前國外主要的信息安全漏洞管理方面的標準：漏洞和補丁管理方案（SP800-40v2）ISO/IEC27001信息技術安全技術信息安全管理系統(tǒng)-要求ISO/IEC27034信息技術安全技術應用安全ISO/IEC28001供應鏈安全管理體系實施、評估和規(guī)劃供應鏈安全的最佳實踐-要求和指南ISO/IEC17799信息安全管理實踐指南ISO/IEC29147信息技術安全技術漏洞披露ISO/IEC30111信息技術安全技術漏洞處理過程（2）漏洞處理組織或廠商及其主要管理措施：CVE通用漏洞和暴露。CVE在漏洞管理方面已獲得世界各國的認可，CVE編號已成為漏洞的通用標識，被廣泛引用。CVE的編輯部決定哪些漏洞和暴露要包含進CVE，編輯部（EditorialBoard）成員包括了各類信息安全的組織，包括：商業(yè)安全工具廠商，學術界，研究機構(gòu)，政府機構(gòu)和業(yè)界知名的安全專家。通過開放和合作式的討論，確定每個條目的公共名稱和描述。編輯部會議和討論的內(nèi)容會保存在網(wǎng)站中。CVE的漏洞處理過程主要包括收集、編號、提案、修改、中間決策、最終決策、正式發(fā)布、再次評估和撤銷。CVE為每個漏洞確定唯一的名稱和標準化描述。NVD（NationalVulnerabilityDatabase）美國國家漏洞庫NVD由美國國家標準與技術委員會中的計算機安全資源中心創(chuàng)建，是美國政府基于標準的漏洞管理數(shù)據(jù)資源庫，這些數(shù)據(jù)使用SCAP（SecurityContentAutomationProtocol）表示，這些數(shù)據(jù)實現(xiàn)了自動化漏洞管理、度量，以及安全策略符合性評估。NVD嚴格采用《通用漏洞披露》CVE（CommonVulnerabilityandExposures）的命名標準，即所有的漏洞都有CVE編號；漏洞評級遵照《通用漏洞評估系統(tǒng)》CVSS（CommonVulnerabilityScoringSystem）進行危害性評估；受影響的系統(tǒng)和軟件使用《通用平臺列舉》CPE（CommonPlatformEnumeration）規(guī)范的語言進行描述；漏洞分類則按照《通用缺陷列舉》CWE（CommonWeaknessEnumeration）進行劃分。微軟公司漏洞處理措施微軟公司成立可信賴計算中心負責微軟的產(chǎn)品安全，其主要職責是1）開發(fā)高質(zhì)量的安全更新；2）利用基于社區(qū)的防御，通過行業(yè)的力量（通過合作伙伴、公共組織、客戶和安全研究人員）來減少漏洞攻擊；3）利用全面的安全響應流程，最大限度地減少業(yè)務中斷。微軟公司通過安全響應中心及時對外發(fā)布最新漏洞的機理分析、處理方法以及臨時的解決方案，及時處理由于微軟產(chǎn)品而導致的各類安全事件，使安全問題得到及時溝通和有效處置。微軟公司通過嚴格實行安全開發(fā)生命周期以保證產(chǎn)品的安全，通過利用DEP、SHE等安全及時有效提高產(chǎn)品的安全防護水平，有效防范軟件漏洞的惡意利用。（3）學術界在漏洞的披露、漏洞處置策略和漏洞管理方面進行廣泛深入研究，發(fā)表了多篇有價值的論文。3.2國內(nèi)現(xiàn)狀國內(nèi)在信息安全漏洞管理方面處于發(fā)展階段，目前國內(nèi)已建立了第三方漏洞庫和廠商依托于自身業(yè)務的漏洞庫，已建立了漏洞的收集與處置機制，對我國信息技術產(chǎn)品的漏洞發(fā)現(xiàn)、驗證和修復起到了積極的推動作用。表1國內(nèi)主要安全漏洞庫情況介紹漏洞庫運營單位介紹備注中國國家信息安全漏洞庫中國信息安全測評中心已建立漏洞的收集、驗證、修復、發(fā)布等漏洞處置與管理規(guī)范，通過網(wǎng)站對外發(fā)布漏洞及修復措施。其漏洞主要涵蓋CVE、Bugtraq和公開收集漏洞。國家信息安全漏洞共享平臺國家互聯(lián)網(wǎng)應急中心和國家信息技術安全研究中心通過漏洞共享平臺收集和處置漏洞信息，通過網(wǎng)站對外發(fā)布漏洞及修復措施。其漏洞主要涵蓋CVE、Bugtraq和公開收集漏洞。入侵防范中心安全漏洞庫國家計算機網(wǎng)絡入侵防范中心通過國家計算機網(wǎng)絡入侵防范中心網(wǎng)站發(fā)布漏洞信息。Sebug漏洞庫信息安全愛好者通過發(fā)布漏洞信息，具有良好的漏洞分類、產(chǎn)品分類信息。烏云漏洞庫信息安全愛好者主要公開收集和處置Web類漏洞，已與國內(nèi)146家廠商或組織建立了合作關系，協(xié)調(diào)漏洞的收集與修復。綠盟科技漏洞庫中聯(lián)綠盟信息技術（北京）有限公司在國內(nèi)最早建立的漏洞庫，長期跟蹤國際知名漏洞庫CVE、Bugtraq和Secunia。啟明星辰漏洞庫北京啟明星辰信息技術有限公司長期跟蹤國際知名漏洞庫CVE、Bugtraq和Secunia。從表1可以看出，我國現(xiàn)在已經(jīng)建立了漏洞處置的渠道，但是目前信息技術廠商、漏洞發(fā)現(xiàn)者、信息安全廠商和用戶之間相互協(xié)調(diào)、參與漏洞的發(fā)現(xiàn)、消除的積極程度并不高，尚未形成統(tǒng)一的管理規(guī)范，使得我國大部分信息技術產(chǎn)品的漏洞并未得到及時有效的發(fā)現(xiàn)、修復和發(fā)布，長此以往不利于提高我國信息技術產(chǎn)品的安全水平。3.3比較與信息安全漏洞管理規(guī)范有關的國際標準有ISO/IEC29147、ISO/IEC30111等。在ISO/IEC29147中定義的漏洞利益相關者包括用戶、廠商、漏洞發(fā)現(xiàn)者、協(xié)調(diào)員和漏洞，詳細闡述了廠商在漏洞披露過程中應做的工作，對廠商來說ISO/IEC29147有較強的可操作性。在ISO/IEC29147中廠商是整個漏洞披露過程的核心，漏洞的披露可以通過通過協(xié)調(diào)員來完成，也可以由廠商直接完成。ISO/IEC30111主要針對漏洞收集的過程進行詳細描述，主要包括報告接收、驗證、開發(fā)解決方案和發(fā)布漏洞及解決方案。介紹了廠商在處理漏洞時各相關部門的職責要求及相關協(xié)作。本標準根據(jù)漏洞生命周期，將漏洞管理行為對應為預防、收集、消減和發(fā)布等實施活動，將漏洞管理活動的參與者定為廠商、漏洞管理組織、用戶和漏洞發(fā)現(xiàn)者。在每個實施活動中對每個角色規(guī)定了相應的原則及操作?？傮w來說，信息安全漏洞管理規(guī)范概括全面，對于漏洞披露中的各個角色具有指導意義。四、編制原則信息安全漏洞管理的目的是通過建立信息安全漏洞的處置機制，使得漏洞發(fā)現(xiàn)者、用戶、信息技術廠商、信息安全廠商和漏洞管理組織之間能夠相互協(xié)調(diào)，通過履行自身的職責和義務，遵循一定的管理規(guī)范，使我國信息技術產(chǎn)品的漏洞能夠得到有效處置，有效降低由信息安全漏洞所帶來的損失。信息安全漏洞管理需要各個環(huán)節(jié)的參與者遵循一定的規(guī)范要求，切實發(fā)揮自身的作用，參與到信息安全漏洞的處理過程，因此在制定信息安全漏洞管理規(guī)范時應遵循以下原則：一致性：所用術語與已有的安全術語保持一致；開放性：必須是免費可利用可采納的，對任何人都開放使用。一個封閉的標準將不會被廣泛地實施，并且將不會幸存；廣泛性：信息安全漏洞的管理應當適應漏洞處理所涉及的各個環(huán)節(jié)以及各個環(huán)節(jié)的參與者的自身差異。簡易性：必須能夠簡單直接地理解、實現(xiàn)和使用；客觀性：要素的屬性值必須是從已知對象中獲得，并且能明確地觀測到；可理解性：各要素易于被安全知識和安全經(jīng)驗不足的用戶和管理員理解；可接受性：評級科學、合理、準確，能夠被行業(yè)廣泛接受。五、編制依據(jù)在標準編制過程中，標準研制組研究分析了國際主流的漏洞管理組織、廠商、國際標準組織在漏洞管理方面的處理策略、已形成的慣例、以及相應的標準規(guī)范等。主要參考如下：借鑒了PDCA（PlanDoCheckAct）通用管理模型，對信息安全漏洞管理的內(nèi)容進行組織。建立漏洞管理生命周期，管理活動是對整個漏洞生命周期的管理，保證漏洞的每個階段都得到有效處置。借鑒ISO/IEC29147中漏洞發(fā)現(xiàn)者、廠商、協(xié)調(diào)者在處理漏洞時的相關策略。借鑒了CVE、微軟公司、思科公司在處理漏洞、開發(fā)修復補丁時已形成的慣例。借鑒了中國國家信息安全漏洞庫（CNNVD）在漏洞處置時的具體處理策略。六、主要工作過程《信息技術信息安全漏洞管理規(guī)范》制定過程包括前期的預研、標準立項、草案擬定、征求意見、專家評審、修改草案等過程。其中“評審-修改”過程為反復執(zhí)行過程，如圖1所示。圖1工作過程流程圖6.1 標準立項2009年12月，《信息安全技術信息安全漏洞管理規(guī)范》被全國信息安全標準化技術委員會正式立項，定性為國家推薦性標準。中國信息安全測評中心成立標準編制組，并于2010年3月召開第一次課題組會議，明確標準研制目標并制定標準編制計劃。6.2 草案第一版2009年12月-2010年12月，課題組研究、分析信息安全漏洞管理方面的國內(nèi)外標準，包括NISTSP80040、ISO/IEC27001、ISO/IEC27034、ISO/IEC17799等；調(diào)查分析包括CVE（通用漏洞和暴露）、Secunia（丹麥安全公司）、美國國家漏洞庫NVD等在內(nèi)的權(quán)威漏洞庫在處理漏洞方面的政策和方法；調(diào)研微軟公司在漏洞收集、響應、修復等方面的做法；研究其在漏洞處置過程中的一貫做法、處理策略、流程和規(guī)范，編制標準草案。標準大綱包括：1范圍2規(guī)范性引用文件3定義4概述5信息安全漏洞管理策略制定原則6信息安全漏洞報告要求7信息安全漏洞驗證要求8信息安全漏洞處理要求9信息安全漏洞發(fā)布要求10附錄在信息安全漏洞管理規(guī)范中，主要介紹了信息安全管理策略制定原則，包括社會利益最大化原則、信息準確性原則、適當激勵原則、信息集中原則和信息接收原則；對信息安全漏洞報告、信息安全漏洞驗證和信息安全漏洞處理分別提出要求，用以規(guī)范漏洞處理各個環(huán)節(jié)中參與者的行為。6.3 專家評審2011年6月15日，舉行信息安全漏洞管理規(guī)范專家評審會，與會專家針對《信息安全漏洞管理規(guī)范（草案第一版）》提出修改建議。專家建議及修改方案，請參看【信息安全漏洞管理規(guī)范-專家意見匯總表及處理意見-2011.6.15】6.4 草案第二版2011年6月21日，課題組召開標準研制討論會，討論專家評審意見修改事宜。課題組全體成員仔細閱讀標準文稿，針對專家的每一條建議對其加以修改：針對什么是管理，管理的主客體，管理的要素，管理的環(huán)境等問題，在概述中添加了4.2節(jié)“信息安全漏洞管理的主客體”，根據(jù)信息安全漏洞管理涉及的各個主客體、環(huán)境和由這些要素組成的體系進行建模并進行圖解，闡述漏洞管理。針對專家提出的首先要明確什么是管理，管理處于什么位置以及管理沒有形成完整的體系等問題，引入信息安全漏洞體系模型，將參與漏洞處理的角色分為發(fā)現(xiàn)者、漏洞利用者、受影響用戶、安全廠商、漏洞發(fā)布者、漏洞修復者和漏洞收購者。將“社會效益最大化”和“信息準確性”從“信息安全漏洞管理策略制定原則”中提取出來，劃分為新的段落“信息安全漏洞管理目標”，將這兩點認定為管理的目標而不是管理策略制定原則。添加4.1節(jié)“信息安全漏洞的定義與現(xiàn)狀”，加入部分文字描述當前的安全形勢和漏洞管理的重要性和緊迫性，明確漏洞是一種特殊資源，對其的管理與其他管理的不同。根據(jù)以上修改形成《信息安全漏洞管理規(guī)范（草案第二版）》，其中信息安全漏洞管理體系模型，如下圖所示：圖1信息安全漏洞管理體系模型6.5 專家評審2011年7月20日，舉行信息安全漏洞管理規(guī)范專家評審會，與會專家針對《信息安全漏洞管理規(guī)范（草案第二版）》提出修改建議。專家建議及修改方案，請參看【信息安全漏洞管理規(guī)范-專家意見匯總表及處理意見-2011.7.20】6.6 草案第三版2011年8月2日，課題組召開標準研制討論會，討論專家評審意見修改事宜。課題組全體成員仔細閱讀標準文稿，針對專家的每一條建議對其加以修改：簡化漏洞生態(tài)模型。確立漏洞管理階段與漏洞生命周期之間的關聯(lián)。將PDCA引入信息安全漏洞管理規(guī)范。將信息安全漏洞管理在規(guī)劃環(huán)節(jié)分為漏洞信息管理方案、漏洞收集策略、漏洞初審策略、漏洞復審策略、漏洞發(fā)布框架和漏洞管理組織的建立，并對具體內(nèi)容進行詳細描述。將信息安全漏洞管理在實施階段分為漏洞的審查、漏洞入庫、漏洞的修補、漏洞及其修復措施的發(fā)布和漏洞庫的維護，并對具體內(nèi)容進行描述。6.7 專家評審2011年9月14日，舉行信息安全漏洞管理規(guī)范專家評審會，與會專家針對《信息安全漏洞管理規(guī)范（草案第三版）》提出修改建議。專家建議及修改方案，請參看【信息安全漏洞管理規(guī)范-專家意見匯總表及處理意見-2011.9.14】6.8 草案第四版2011年10月10日，課題組召開標準研制討論會，討論專家評審意見修改事宜。課題組全體成員仔細閱讀標準文稿，針對專家的每一條建議對其加以修改：將漏洞管理分為用戶、廠商和漏洞管理組織三個角色。在漏洞生命周期中分別明確用戶、廠商和漏洞管理組織的行為規(guī)范和要求。去除不必要的文字描述，簡化描述語言。明確廠商的責任和義務，在獲知漏洞信息時積極處置。確定用戶、廠商和漏洞管理組織在漏洞處理中的角色和作用，如圖2所示：圖2信息安全漏洞處理示意圖6.9 專家評審2012年3月1日，舉行信息安全漏洞管理規(guī)范專家評審會，與會專家針對《信息安全漏洞管理規(guī)范（草案第四版）》提出修改建議。專家建議及修改方案，請參看【信息安全漏洞管理規(guī)范-專家意見匯總表及處理意見-2012.3.1】6.10 草案第五版2012年3月9日，課題組召開標準研制討論會，討論專家評審意見修改事宜。課題組全體成員仔細閱讀標準文稿，針對專家的每一條建議對其加以修改：增加漏洞發(fā)現(xiàn)者，在標準定義中增加對風險的定義調(diào)整了闡述角度，以漏洞生命周期以及對應的管理活動作為整個標準的主線進一步明確漏洞管理活動中參與者的責任與分工針對漏洞生命周期做了進一步修訂危害等級較高的漏洞，提出更高要求重新調(diào)整PDCA的劃分，以及漏洞生命周期的劃分建立了漏洞生命周期與漏洞管理活動之間的對應關系，如圖3所示：圖3漏洞生命周期和管理活動對應關系6.11 專家評審2012年7月25日，安標委組織舉行《信息安全漏洞管理規(guī)范》草案審查會，與會專家針對《信息安全漏洞管理規(guī)范（草案第五版）》提出修改建議。專家建議及修改方案，請參看【信息安全漏洞管理規(guī)范-專家意見匯總表及處理意見-2012.7.25】6.12 征求意見稿2012年7月26日，課題組召開標準研制討論會，討論專家評審意見修改事宜。課題組全體成員仔細閱讀標準文稿，針對專家的每一條建議對其加以修改：在漏洞管理組織中加入了國家信息安全主管部門。在規(guī)劃（P）階段對漏洞管理活動進行了逐個介紹。增加用戶、廠商、漏洞發(fā)現(xiàn)者和漏洞管理組織的定義。在漏洞管理實施中增加國家信息安全主管部門的協(xié)調(diào)作用。修改相應的標準格式問題。6.13 專家評審2013年1月6日，安標委組織舉行《信息安全漏洞管理規(guī)范》草案審查會，與會專家針對《信息安全漏洞管理規(guī)范（征求意見稿）》提出修改建議。專家建議及修改方案，請參看【信息安全漏洞管理規(guī)范-專家意見匯總表及處理意見-2013.1.6】6.14 送審稿2013年1月6日，課題組于應物會議中心參加安標委組織的標準討論會，討論專家評審意見修改事宜。課題組全體成員仔細閱讀標準文稿，針對專家的每一條建議對其加以修改，并形成送審稿。6.15 報批稿2013年1月6日至2013年1月21日，由信安標委秘書處組織全體委員對標準送審稿進行函審。評審專家給出了兩條專家意見。課題組全體成員仔細閱讀標準文稿，針對專家的每一條建議對其加以修改，并形成報批稿。2013年4月10日，由信安標委秘書處組織對報批稿進一步修改完善。根據(jù)專家意見，對報批稿的語言和格式進行了細微修改，形成報批稿最