信息安全技术 信息安全漏洞管理规范-编制说明

PAGE《信息安全技术信息安全漏洞管理规范》（送审稿）编制说明一、任务来源2010年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究制定《信息安全技术信息安全漏洞管理规范》国家标准,国标计划号：20110388-T-469。该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由中国信息安全测评中心负责主办。二、编制目标《信息安全技术信息安全漏洞管理规范》通过对信息安全漏洞的发现、验证、修复和发布等环节进行研究，探讨用户、厂商以及漏洞管理组织在处理漏洞过程中所应遵循的原则、采取的措施、应尽的责任和义务，通过建立有效的漏洞处置机制，使得因漏洞带来的损失减少到最低，有效提高我国的信息安全保障水平。三、国内外信息安全漏洞管理情况3.1国际现状（1）目前国外主要的信息安全漏洞管理方面的标准：漏洞和补丁管理方案（SP800-40v2）ISO/IEC27001信息技术安全技术信息安全管理系统-要求ISO/IEC27034信息技术安全技术应用安全ISO/IEC28001供应链安全管理体系实施、评估和规划供应链安全的最佳实践-要求和指南ISO/IEC17799信息安全管理实践指南ISO/IEC29147信息技术安全技术漏洞披露ISO/IEC30111信息技术安全技术漏洞处理过程（2）漏洞处理组织或厂商及其主要管理措施：CVE通用漏洞和暴露。CVE在漏洞管理方面已获得世界各国的认可，CVE编号已成为漏洞的通用标识，被广泛引用。CVE的编辑部决定哪些漏洞和暴露要包含进CVE，编辑部（EditorialBoard）成员包括了各类信息安全的组织，包括：商业安全工具厂商，学术界，研究机构，政府机构和业界知名的安全专家。通过开放和合作式的讨论，确定每个条目的公共名称和描述。编辑部会议和讨论的内容会保存在网站中。CVE的漏洞处理过程主要包括收集、编号、提案、修改、中间决策、最终决策、正式发布、再次评估和撤销。CVE为每个漏洞确定唯一的名称和标准化描述。NVD（NationalVulnerabilityDatabase）美国国家漏洞库NVD由美国国家标准与技术委员会中的计算机安全资源中心创建，是美国政府基于标准的漏洞管理数据资源库，这些数据使用SCAP（SecurityContentAutomationProtocol）表示，这些数据实现了自动化漏洞管理、度量，以及安全策略符合性评估。NVD严格采用《通用漏洞披露》CVE（CommonVulnerabilityandExposures）的命名标准，即所有的漏洞都有CVE编号；漏洞评级遵照《通用漏洞评估系统》CVSS（CommonVulnerabilityScoringSystem）进行危害性评估；受影响的系统和软件使用《通用平台列举》CPE（CommonPlatformEnumeration）规范的语言进行描述；漏洞分类则按照《通用缺陷列举》CWE（CommonWeaknessEnumeration）进行划分。微软公司漏洞处理措施微软公司成立可信赖计算中心负责微软的产品安全，其主要职责是1）开发高质量的安全更新；2）利用基于社区的防御，通过行业的力量（通过合作伙伴、公共组织、客户和安全研究人员）来减少漏洞攻击；3）利用全面的安全响应流程，最大限度地减少业务中断。微软公司通过安全响应中心及时对外发布最新漏洞的机理分析、处理方法以及临时的解决方案，及时处理由于微软产品而导致的各类安全事件，使安全问题得到及时沟通和有效处置。微软公司通过严格实行安全开发生命周期以保证产品的安全，通过利用DEP、SHE等安全及时有效提高产品的安全防护水平，有效防范软件漏洞的恶意利用。（3）学术界在漏洞的披露、漏洞处置策略和漏洞管理方面进行广泛深入研究，发表了多篇有价值的论文。3.2国内现状国内在信息安全漏洞管理方面处于发展阶段，目前国内已建立了第三方漏洞库和厂商依托于自身业务的漏洞库，已建立了漏洞的收集与处置机制，对我国信息技术产品的漏洞发现、验证和修复起到了积极的推动作用。表1国内主要安全漏洞库情况介绍漏洞库运营单位介绍备注中国国家信息安全漏洞库中国信息安全测评中心已建立漏洞的收集、验证、修复、发布等漏洞处置与管理规范，通过网站对外发布漏洞及修复措施。其漏洞主要涵盖CVE、Bugtraq和公开收集漏洞。国家信息安全漏洞共享平台国家互联网应急中心和国家信息技术安全研究中心通过漏洞共享平台收集和处置漏洞信息，通过网站对外发布漏洞及修复措施。其漏洞主要涵盖CVE、Bugtraq和公开收集漏洞。入侵防范中心安全漏洞库国家计算机网络入侵防范中心通过国家计算机网络入侵防范中心网站发布漏洞信息。Sebug漏洞库信息安全爱好者通过发布漏洞信息，具有良好的漏洞分类、产品分类信息。乌云漏洞库信息安全爱好者主要公开收集和处置Web类漏洞，已与国内146家厂商或组织建立了合作关系，协调漏洞的收集与修复。绿盟科技漏洞库中联绿盟信息技术（北京）有限公司在国内最早建立的漏洞库，长期跟踪国际知名漏洞库CVE、Bugtraq和Secunia。启明星辰漏洞库北京启明星辰信息技术有限公司长期跟踪国际知名漏洞库CVE、Bugtraq和Secunia。从表1可以看出，我国现在已经建立了漏洞处置的渠道，但是目前信息技术厂商、漏洞发现者、信息安全厂商和用户之间相互协调、参与漏洞的发现、消除的积极程度并不高，尚未形成统一的管理规范，使得我国大部分信息技术产品的漏洞并未得到及时有效的发现、修复和发布，长此以往不利于提高我国信息技术产品的安全水平。3.3比较与信息安全漏洞管理规范有关的国际标准有ISO/IEC29147、ISO/IEC30111等。在ISO/IEC29147中定义的漏洞利益相关者包括用户、厂商、漏洞发现者、协调员和漏洞，详细阐述了厂商在漏洞披露过程中应做的工作，对厂商来说ISO/IEC29147有较强的可操作性。在ISO/IEC29147中厂商是整个漏洞披露过程的核心，漏洞的披露可以通过通过协调员来完成，也可以由厂商直接完成。ISO/IEC30111主要针对漏洞收集的过程进行详细描述，主要包括报告接收、验证、开发解决方案和发布漏洞及解决方案。介绍了厂商在处理漏洞时各相关部门的职责要求及相关协作。本标准根据漏洞生命周期，将漏洞管理行为对应为预防、收集、消减和发布等实施活动，将漏洞管理活动的参与者定为厂商、漏洞管理组织、用户和漏洞发现者。在每个实施活动中对每个角色规定了相应的原则及操作。总体来说，信息安全漏洞管理规范概括全面，对于漏洞披露中的各个角色具有指导意义。四、编制原则信息安全漏洞管理的目的是通过建立信息安全漏洞的处置机制，使得漏洞发现者、用户、信息技术厂商、信息安全厂商和漏洞管理组织之间能够相互协调，通过履行自身的职责和义务，遵循一定的管理规范，使我国信息技术产品的漏洞能够得到有效处置，有效降低由信息安全漏洞所带来的损失。信息安全漏洞管理需要各个环节的参与者遵循一定的规范要求，切实发挥自身的作用，参与到信息安全漏洞的处理过程，因此在制定信息安全漏洞管理规范时应遵循以下原则：一致性：所用术语与已有的安全术语保持一致；开放性：必须是免费可利用可采纳的，对任何人都开放使用。一个封闭的标准将不会被广泛地实施，并且将不会幸存；广泛性：信息安全漏洞的管理应当适应漏洞处理所涉及的各个环节以及各个环节的参与者的自身差异。简易性：必须能够简单直接地理解、实现和使用；客观性：要素的属性值必须是从已知对象中获得，并且能明确地观测到；可理解性：各要素易于被安全知识和安全经验不足的用户和管理员理解；可接受性：评级科学、合理、准确，能够被行业广泛接受。五、编制依据在标准编制过程中，标准研制组研究分析了国际主流的漏洞管理组织、厂商、国际标准组织在漏洞管理方面的处理策略、已形成的惯例、以及相应的标准规范等。主要参考如下：借鉴了PDCA（PlanDoCheckAct）通用管理模型，对信息安全漏洞管理的内容进行组织。建立漏洞管理生命周期，管理活动是对整个漏洞生命周期的管理，保证漏洞的每个阶段都得到有效处置。借鉴ISO/IEC29147中漏洞发现者、厂商、协调者在处理漏洞时的相关策略。借鉴了CVE、微软公司、思科公司在处理漏洞、开发修复补丁时已形成的惯例。借鉴了中国国家信息安全漏洞库（CNNVD）在漏洞处置时的具体处理策略。六、主要工作过程《信息技术信息安全漏洞管理规范》制定过程包括前期的预研、标准立项、草案拟定、征求意见、专家评审、修改草案等过程。其中“评审-修改”过程为反复执行过程，如图1所示。图1工作过程流程图6.1 标准立项2009年12月，《信息安全技术信息安全漏洞管理规范》被全国信息安全标准化技术委员会正式立项，定性为国家推荐性标准。中国信息安全测评中心成立标准编制组，并于2010年3月召开第一次课题组会议，明确标准研制目标并制定标准编制计划。6.2 草案第一版2009年12月-2010年12月，课题组研究、分析信息安全漏洞管理方面的国内外标准，包括NISTSP80040、ISO/IEC27001、ISO/IEC27034、ISO/IEC17799等；调查分析包括CVE（通用漏洞和暴露）、Secunia（丹麦安全公司）、美国国家漏洞库NVD等在内的权威漏洞库在处理漏洞方面的政策和方法；调研微软公司在漏洞收集、响应、修复等方面的做法；研究其在漏洞处置过程中的一贯做法、处理策略、流程和规范，编制标准草案。标准大纲包括：1范围2规范性引用文件3定义4概述5信息安全漏洞管理策略制定原则6信息安全漏洞报告要求7信息安全漏洞验证要求8信息安全漏洞处理要求9信息安全漏洞发布要求10附录在信息安全漏洞管理规范中，主要介绍了信息安全管理策略制定原则，包括社会利益最大化原则、信息准确性原则、适当激励原则、信息集中原则和信息接收原则；对信息安全漏洞报告、信息安全漏洞验证和信息安全漏洞处理分别提出要求，用以规范漏洞处理各个环节中参与者的行为。6.3 专家评审2011年6月15日，举行信息安全漏洞管理规范专家评审会，与会专家针对《信息安全漏洞管理规范（草案第一版）》提出修改建议。专家建议及修改方案，请参看【信息安全漏洞管理规范-专家意见汇总表及处理意见-2011.6.15】6.4 草案第二版2011年6月21日，课题组召开标准研制讨论会，讨论专家评审意见修改事宜。课题组全体成员仔细阅读标准文稿，针对专家的每一条建议对其加以修改：针对什么是管理，管理的主客体，管理的要素，管理的环境等问题，在概述中添加了4.2节“信息安全漏洞管理的主客体”，根据信息安全漏洞管理涉及的各个主客体、环境和由这些要素组成的体系进行建模并进行图解，阐述漏洞管理。针对专家提出的首先要明确什么是管理，管理处于什么位置以及管理没有形成完整的体系等问题，引入信息安全漏洞体系模型，将参与漏洞处理的角色分为发现者、漏洞利用者、受影响用户、安全厂商、漏洞发布者、漏洞修复者和漏洞收购者。将“社会效益最大化”和“信息准确性”从“信息安全漏洞管理策略制定原则”中提取出来，划分为新的段落“信息安全漏洞管理目标”，将这两点认定为管理的目标而不是管理策略制定原则。添加4.1节“信息安全漏洞的定义与现状”，加入部分文字描述当前的安全形势和漏洞管理的重要性和紧迫性，明确漏洞是一种特殊资源，对其的管理与其他管理的不同。根据以上修改形成《信息安全漏洞管理规范（草案第二版）》，其中信息安全漏洞管理体系模型，如下图所示：图1信息安全漏洞管理体系模型6.5 专家评审2011年7月20日，举行信息安全漏洞管理规范专家评审会，与会专家针对《信息安全漏洞管理规范（草案第二版）》提出修改建议。专家建议及修改方案，请参看【信息安全漏洞管理规范-专家意见汇总表及处理意见-2011.7.20】6.6 草案第三版2011年8月2日，课题组召开标准研制讨论会，讨论专家评审意见修改事宜。课题组全体成员仔细阅读标准文稿，针对专家的每一条建议对其加以修改：简化漏洞生态模型。确立漏洞管理阶段与漏洞生命周期之间的关联。将PDCA引入信息安全漏洞管理规范。将信息安全漏洞管理在规划环节分为漏洞信息管理方案、漏洞收集策略、漏洞初审策略、漏洞复审策略、漏洞发布框架和漏洞管理组织的建立，并对具体内容进行详细描述。将信息安全漏洞管理在实施阶段分为漏洞的审查、漏洞入库、漏洞的修补、漏洞及其修复措施的发布和漏洞库的维护，并对具体内容进行描述。6.7 专家评审2011年9月14日，举行信息安全漏洞管理规范专家评审会，与会专家针对《信息安全漏洞管理规范（草案第三版）》提出修改建议。专家建议及修改方案，请参看【信息安全漏洞管理规范-专家意见汇总表及处理意见-2011.9.14】6.8 草案第四版2011年10月10日，课题组召开标准研制讨论会，讨论专家评审意见修改事宜。课题组全体成员仔细阅读标准文稿，针对专家的每一条建议对其加以修改：将漏洞管理分为用户、厂商和漏洞管理组织三个角色。在漏洞生命周期中分别明确用户、厂商和漏洞管理组织的行为规范和要求。去除不必要的文字描述，简化描述语言。明确厂商的责任和义务，在获知漏洞信息时积极处置。确定用户、厂商和漏洞管理组织在漏洞处理中的角色和作用，如图2所示：图2信息安全漏洞处理示意图6.9 专家评审2012年3月1日，举行信息安全漏洞管理规范专家评审会，与会专家针对《信息安全漏洞管理规范（草案第四版）》提出修改建议。专家建议及修改方案，请参看【信息安全漏洞管理规范-专家意见汇总表及处理意见-2012.3.1】6.10 草案第五版2012年3月9日，课题组召开标准研制讨论会，讨论专家评审意见修改事宜。课题组全体成员仔细阅读标准文稿，针对专家的每一条建议对其加以修改：增加漏洞发现者，在标准定义中增加对风险的定义调整了阐述角度，以漏洞生命周期以及对应的管理活动作为整个标准的主线进一步明确漏洞管理活动中参与者的责任与分工针对漏洞生命周期做了进一步修订危害等级较高的漏洞，提出更高要求重新调整PDCA的划分，以及漏洞生命周期的划分建立了漏洞生命周期与漏洞管理活动之间的对应关系，如图3所示：图3漏洞生命周期和管理活动对应关系6.11 专家评审2012年7月25日，安标委组织举行《信息安全漏洞管理规范》草案审查会，与会专家针对《信息安全漏洞管理规范（草案第五版）》提出修改建议。专家建议及修改方案，请参看【信息安全漏洞管理规范-专家意见汇总表及处理意见-2012.7.25】6.12 征求意见稿2012年7月26日，课题组召开标准研制讨论会，讨论专家评审意见修改事宜。课题组全体成员仔细阅读标准文稿，针对专家的每一条建议对其加以修改：在漏洞管理组织中加入了国家信息安全主管部门。在规划（P）阶段对漏洞管理活动进行了逐个介绍。增加用户、厂商、漏洞发现者和漏洞管理组织的定义。在漏洞管理实施中增加国家信息安全主管部门的协调作用。修改相应的标准格式问题。6.13 专家评审2013年1月6日，安标委组织举行《信息安全漏洞管理规范》草案审查会，与会专家针对《信息安全漏洞管理规范（征求意见稿）》提出修改建议。专家建议及修改方案，请参看【信息安全漏洞管理规范-专家意见汇总表及处理意见-2013.1.6】6.14 送审稿2013年1月6日，课题组于应物会议中心参加安标委组织的标准讨论会，讨论专家评审意见修改事宜。课题组全体成员仔细阅读标准文稿，针对专家的每一条建议对其加以修改，并形成送审稿。6.15 报批稿2013年1月6日至2013年1月21日，由信安标委秘书处组织全体委员对标准送审稿进行函审。评审专家给出了两条专家意见。课题组全体成员仔细阅读标准文稿，针对专家的每一条建议对其加以修改，并形成报批稿。2013年4月10日，由信安标委秘书处组织对报批稿进一步修改完善。根据专家意见，对报批稿的语言和格式进行了细微修改，形成报批稿最