信息安全技术 信息安全漏洞管理规范-编制说明.docVIP

《信息安全技术信息安全漏洞管理规范》

(送审稿)编制说明

一、任务来源

2010年，经国标委批准，全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过，研究制定《信息安全技术信息安全漏洞管理规范》国家标准，国标计划号：T-469。该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由中国信息安全测评中心负责主办。

二、编制目标

《信息安全技术信息安全漏洞管理规范》通过对信息安全漏洞的发现、验证、修复和发布等环节进行研究，探讨用户、厂商以及漏洞管理组织在处理漏洞过程中所应遵循的原则、采取的措施、应尽的责任和义务，通过建立有效的漏洞处置机制，使得因漏洞带来的损失减少到最低，有效提高我国的信息安全保障水平。

三、国内外信息安全漏洞管理情况

3.1国际现状

(1)目前国外主要的信息安全漏洞管理方面的标准：

1)漏洞和补丁管理方案(SP800-40v2)

2)ISO/IEC27001信息技术安全技术信息安全管理系统-要求

3)ISO/IEC27034信息技术安全技术应用安全

4)ISO/IEC28001供应链安全管理体系实施、评估和规划供应链安全的最佳实践-要求和指南

5)ISO/IEC17799信息安全管理实践指南

6)ISO/IEC29147信息技术安全技术漏洞披露

7)ISO/IEC30111信息技术安全技术漏洞处理过程

(2)漏洞处理组织或厂商及其主要管理措施：

1)CVE通用漏洞和暴露。

CVE在漏洞管理方面已获得世界各国的认可，CVE编号已成为漏洞的通用标识，被广泛引用。CVE的编辑部决定哪些漏洞和暴露要包含进CVE,编辑部(EditorialBoard)成员包括了各类信息安全的组织，包括：商业安全工具厂商，学术界，研究机构，政府机构和业界知名的安全专家。通过开放和合作式的讨论，确定每个条目的公共名称和描述。编辑部会议和讨论的内容会保存在网站中。

CVE的漏洞处理过程主要包括收集、编号、提案、修改、中间决策、最终决策、正式发布、再次评估和撤销。CVE为每个漏洞确定唯一的名称和标准化描述。

2)NVD(NationalVulnerabilityDatabase)

美国国家漏洞库NVD由美国国家标准与技术委员会中的计算机安全资源中心创建，是美国政府基于标准的漏洞管理数据资源库，这些数据使用SCAP(SecurityContentAutomationProtocol)表示，这些数据实现了自动化漏洞管理、度量，以及安全策略符合性评估。

NVD严格采用《通用漏洞披露》CVE(CommonVulnerabilityandExposures)的命名标准，即所有的漏洞都有CVE编号；漏洞评级遵照《通用漏洞评估系统》CVSS(CommonVulnerabilityScoringSystem)进行危害性评估；受影响的系统和软件使用《通用平台列举》CPE(CommonPlatformEnumeration)规范的语言进行描述；漏洞分类则按照《通用缺陷列举》CWE(CommonWeaknessEnumeration)进行划分。

3)微软公司漏洞处理措施

微软公司成立可信赖计算中心负责微软的产品安全，其主要职责是1)开发高质量的安全更新；2)利用基于社区的防御，通过行业的力量(通过合作伙伴、公共组织、客户和安全研究人员)来减少漏洞攻击；3)利用全面的安全响应流程，最大限度地减少业务中断。

微软公司通过安全响应中心及时对外发布必威体育精装版漏洞的机理分析、处理方法以及临时的解决方案，及时处理由于微软产品而导致的各类安全事件，使安全问题得到及时沟通和有效处置。

微软公司通过严格实行安全开发生命周期以保证产品的安全，通过利用DEP、SHE等安全及时有效提高产品的安全防护水平，有效防范软件漏洞的恶意利用。

(3)学术界在漏洞的披露、漏洞处置策略和漏洞管理方面进行广泛深入研究，发表了多篇有价值的论文。

3.2国内现状

国内在信息安全漏洞管理方面处于发展阶段，目前国内已建立了第三方漏洞库和厂商依托于自身业务的漏洞库，已建立了漏洞的收集与处置机制，对我国信息技术产品的漏洞发现、验证和修复起到了积极的推动作用。

表1国内主要安全漏洞库情况介绍

漏洞库

运营单位

介绍

备注

中国国家信息安全漏洞库

中国信息安全测评中心

已建立漏洞的收集、验证、修复、发布等

漏洞处置与管理规范，通过

网站对外发布漏洞及修

复措施。其漏洞主要涵盖CVE、Bugtraq

和公开收集漏洞。

国家