信息安全技术 信息安全漏洞管理规范-编制说明

《信息安全技术信息安全漏洞管理规范》(送审稿)编制说明2010年，经国标委批准，全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过，研究制定《信息安全技术信息安全漏洞管理规范》国家标准，国标计划号：《信息安全技术信息安全漏洞管理规范》通过对信息安全漏洞的发现、验证、修复和3.1国际现状(1)目前国外主要的信息安全漏洞管理方面的标准：1)漏洞和补丁管理方案(SP800-40v2)2)ISO/IEC27001信息技术安全技术信息安全管理系统-要求3)ISO/IEC27034信息技术安全技术应用安全4)ISO/IEC28001供应链安全管理体系实施、评估和规划供应链安全的最佳实践-要6)ISO/IEC29147信息技术安全技术漏洞披露7)ISO/IEC30111信息技术安全技术漏洞处理过程(2)漏洞处理组织或厂商及其主要管理措施：2)NVD(NationalVulnerabilityDatabase)美国国家漏洞库NVD由美国国家标准与技术委员会中的计算机安全资源中心创建，是美国政府基于标准的漏洞管理数据资源库，这些数据使用SCAP(SecurityContentAutomationProtocol)表示，这些数据实现了自动化漏洞管理、度量，以及安全策略符合准，即所有的漏洞都有CVE编号；漏洞评级遵照《通用漏洞评估系统》CVSS(CommonVulnerabilityScoringSystem)进行危害性评估；受影响的系统和软件使用《通用平举》CPE(CommonPlatformEnumeration)规范的语言进行描3)微软公司漏洞处理措施微软公司成立可信赖计算中心负责微软的产品安全，其主要职责是1)开发高质量的安全更新；2)利用基于社区的防御，通过行业的力量(通过合作伙伴、公共组织、客户和安全研究人员)来减少漏洞攻击；3)利用全面的安全响应流程，最大限度地减少业务中断。(3)学术界在漏洞的披露、漏洞处置策略和漏洞管理方面进行广泛深入研究，发表了3.2国内现状表1国内主要安全漏洞库情况介绍介绍中国国家信息安全中国信息安全测评中心已建立漏洞的收集、验证、修复、发布等网站对外发布漏洞和公开收集漏洞。国家信息安全漏洞共享平台国家互联网应急中心和国家信息技术安全研究中心通过漏洞共享平台收集和处置漏洞信息，通过网站对外发布漏洞及修复措施。其漏洞主要涵盖CVE、Bugtraq和公开收集漏洞。国家计算机网络入侵防范中心通过发布漏洞信息，具有良好的漏洞分类、产品分类信息。乌云漏洞库主要公开收集和处置Web类漏洞，已与国内146家厂商或组织建立了合作关系，协调漏洞的收集与修复。绿盟科技漏洞库中联绿盟信息技术(北京)有限公司知名漏洞库CVE、Bugtraq和Secunia。启明星辰漏洞库北京启明星辰信息技术有限公司和Secunia。从表1可以看出，我国现在已经建立了漏洞处置的渠道，但3.3比较在ISO/IEC29147中定义的漏洞利益相洞，详细阐述了厂商在漏洞披露过程中应做的工作f)可理解性：各要素易于被安全g)可接受性：评级科学、合理、准确，能够被行业五、编制依据组织在漏洞管理方面的处理策略、已形成的惯例、以及1)借鉴了PDCA(PlanDoCheckAct)通用管理模型，对信息安全漏洞管理的内容进2)建立漏洞管理生命周期，管理活动是对整个漏洞生命周期的管理，保证漏洞的每个阶段都得到有效处置。3)借鉴ISO/IEC29147中漏洞发现者、厂商、协调者在处理漏洞时的相关策略。4)借鉴了CVE、微软公司、思科公司在处理漏洞、开发修复补丁时已形成的惯例。5)借鉴了中国国家信息安全漏洞库(CNNVD)在漏洞处置时的具体处理策略。《信息技术信息安全漏洞管理规范》制定过程包括前期的预研、标准立项、草案拟定、征求意见、专家评审、修改草案等过程。其中“评审-修改”过程为反复执行过程，如图1所示。图1工作过程流程图2009年12月，《信息安全技术信息安全漏洞管理规范》被全国信息安全标准化技术委员会正式立项，定性为国家推荐性标准。中国信息安全测评中心成立标准编制组，并于2010年3月召开第一次课题组会议，明确标准研制目标并制定标准编制计划。2009年12月-2010年12月，课题组研究、分析信息安全漏洞管理方面的国内外标准， (通用漏洞和暴露)、Secunia(丹麦安全公司)、美国国家漏洞库NVD等在内的权威漏洞库在处理漏洞方面的政策和方法；调研微软公司在漏洞收集、响应、修复等方面的做法；研究其在漏洞处置过程中的一贯做法、处理策略、流程和规范，编制标准草案。标准大纲包括：2规范性引用文件4概述5信息安全漏洞管理策略制定原则6信息安全漏洞报告要求7信息安全漏洞验证要求8信息安全漏洞处理要求9信息安全漏洞发布要求10附录在信息安全漏洞管理规范中，主要介绍了信息安全管理策略制定原则，包括社会利益最6.3专家评审2011年6月15日，举行信息安全漏洞管理规范专家评审会，与会专家针对《信息安全漏洞管理规范(草案第一版)》提出修改建议。专家建议及修改方案，请参看【信息安全漏6.4草案第二版2011年6月21日，课题组召开标准研制讨论会，讨论专家评审意见修改事宜。课题组了4.2节“信息安全漏洞管理的主客体”,根据信息安全漏洞管理涉及的各个主客提取出来，划分为新的段落“信息安全漏洞管理目标”,●添加4.1节“信息安全漏洞的定义与现状”,加入部分文字根据以上修改形成《信息安全漏洞管理规范(草案第二版)》,其宏观环境宏观环境缺陷漏洞发现者地下渠道花未公开漏xa漏洞发图1信息安全漏洞管理体系模型6.5专家评审6.6草案第三版6.7专家评审6.8草案第四版漏洞发现者漏洞发现者漏洞管理组织信息系统用户信息技术厂商图2信息安全漏洞处理示意图6.9专家评审2012年3月1日，举行信息安全漏洞管理规范专家评审会，与会专家针对《信息安全漏洞管理规范(草案第四版)》提出修改建议。专家建议及修改方案，请参看【信息安全漏6.10草案第五版2012年3月9日，课题组召开标准研制讨论会，讨论专家评审意见修改事宜。课题组●调整了阐述角度，以漏洞生命周期以及对应的管理活动作为整个标准的主线●针对漏洞生命周期做了进一步修订●危害等级较高的漏洞，提出更高要求●建立了漏洞生命周期与漏洞管理活动之间的对应关系，如图3所示：图3漏洞生命周期和管理活动对应关系6.11专家评审2012年7月25日，安标委组织举行《信息安全漏洞管理规范》草案审查会，与会专家针对《信息安全漏洞管理规范(草案第五版)》提出修改建议。专家建议及修改方案，请参6.12征求意见稿2012年7月26日，课题组召开标准研制讨论会，讨论专家评审意见修改事宜。课题组6.13专家评审2013年1月6日，安标委组织举行《信息安全漏洞管理规范》草案审查会，与会专家针对《信息安全漏洞管理规范(征求意见稿)》提出修改建议。专家建议及修改方案，请参6.14送审稿2013年1月6日，课题组于应物会议中心参加安标委组织的标准讨论会，讨论专家评6.15报批稿2013年1月6日至2013年1月21日