GB/T 30276-2020 代替 GB/T 30276-2013 信息安全技术 网络安全漏洞管理规范
Information security technology – Specification for cybersecurity vulnerability management
主要内容
主要内容如下:
- 适用范围:
- 适用于网络产品和服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织等开展的网络安全漏洞管理活动。
- 术语和定义:对网络安全漏洞管理过程中涉及的相关术语,如 “用户”“(网络产品和服务的)提供者”“网络运营者”“漏洞收录组织”“漏洞应急组织” 等进行了明确的定义,为后续管理流程的理解和执行奠定基础。
- 管理流程:
- 漏洞发现和报告:规定了漏洞发现的途径和方法,以及漏洞报告的内容、格式、途径等要求。漏洞发现者应遵循相关法律法规和道德规范进行漏洞探测,确保不影响用户系统的正常运行和数据安全。报告内容应包含漏洞的基本信息、发现时间、发现途径等。
- 漏洞接收:明确了漏洞接收方应建立有效的接收渠道,确保能够及时、准确地接收漏洞信息,并对接收的信息进行登记和初步筛选。
- 漏洞验证:强调对接收的漏洞信息进行验证,以确定漏洞的真实性、危害性和可利用性。验证过程应采用科学、合理的方法和技术手段,确保验证结果的准确性。
- 漏洞处置:要求相关方根据漏洞的严重程度和影响范围,制定并实施相应的处置措施,如修复漏洞、发布安全公告、通知用户等。处置措施应及时、有效,以降低漏洞带来的安全风险。
- 漏洞发布:规定了漏洞发布的条件、方式和范围。漏洞发布应遵循相关法律法规和保密要求,确保发布的信息准确、完整,不泄露敏感信息。
- 漏洞跟踪:提出对已处置的漏洞进行跟踪和监测,以确保漏洞得到有效修复,防止漏洞再次被利用。跟踪过程应建立相应的记录和报告机制,便于对漏洞管理过程进行评估和改进。
- 管理要求:
- 对参与网络安全漏洞管理的各方,包括漏洞发现者、接收者、验证者、处置者等,提出了具体的管理要求,如人员资质、保密要求、责任划分等。
- 强调了漏洞管理过程中的信息安全保护,确保漏洞信息在传输、存储和处理过程中不被泄露、篡改或滥用。
- 证实方法:为了确保网络安全漏洞管理的有效性和合规性,规定了相应的证实方法,如文件审查、记录检查、技术验证等,以便对漏洞管理过程和结果进行验证和评估。
术语和定义
1 用户 user
使用网络产品和服务的个人或组织。
2(网络产品和服务的)提供者 provider of network products and services
提供网络产品和服务的个人或组织。
3 网络运营者 network operator
网络的所有者、管理者和网络服务提供者。
4 漏洞收录组织 vulnerability repository organization
提供公开渠道接收漏洞信息,并建有相应工作流程的组织。
5 漏洞应急组织 vulnerability emergency response organization
与提供者、网络运营者、漏洞收录组织、网络运营者、安全研究机构、网络安全企业等建有成熟的技术协作体系、负责安全漏洞的响应和处置工作的网络安全应急协调组织。
6 漏洞发现 vulnerability discovery
通过技术手段,识别出网络产品和服务存在漏洞的过程。
7 漏洞报告 vulnerability report
获得漏洞信息并将漏洞信息进行报告的过程。
8 漏洞接收 vulnerability receipt
接收漏洞信息的过程。
9 漏洞验证 vulnerability verification
对漏洞的存在性、等级、类别等进行技术验证的过程。
10 漏洞发布 vulnerability release
将漏洞信息向社会或受影响的用户等发布的过程。
暂无评论内容