GB/T 30276-2020 信息安全技术 网络安全漏洞管理规范.pdf

GB/T 30276-2020 信息安全技术 网络安全漏洞管理规范.pdf
仅供个人学习
反馈
标准编号:
文件类型:.pdf
资源大小:0.6 M
标准类别:环保标准
资源ID:49936
免费资源

标准规范下载简介

GB/T 30276-2020 信息安全技术 网络安全漏洞管理规范.pdf简介:

GB/T 30276-2020《信息安全技术 网络安全漏洞管理规范》是一部由中国标准化研究院、中国电子技术标准化研究院等单位起草的国家标准。该标准主要规定了网络安全漏洞的管理流程、责任分配、漏洞识别、评估、报告、修复、监控、审计和文档管理等方面的要求。它的目的是为了指导组织和个人在网络安全中有效地识别、控制和管理漏洞,降低由于漏洞导致的安全风险,提高网络系统的安全防护能力。

该规范详细规定了漏洞管理的各个环节,包括漏洞识别策略、漏洞评估方法、漏洞修复计划、漏洞跟踪审计以及应急响应机制等,强调了漏洞管理的系统性和持续性。它适用于所有涉及网络安全的组织,包括政府、企业、金融机构、电信运营商等,以确保其网络系统的安全稳定运行。

总的来说,GB/T 30276-2020是一个重要的信息安全标准,对于提升网络安全管理水平具有重要意义。

GB/T 30276-2020 信息安全技术 网络安全漏洞管理规范.pdf部分内容预览:

国家市场监督管理总局 发布 国家标准化管理委员会

GB/T30276—2020

本标准按照GB/T1.1一2009给出的规则起草。 本标准代替GB/T30276一2013《信息安全技术信息安全漏洞管理规范》,与GB/T30276一2013 目比,主要技术变化如下: 修改了范围的表述(见第1章,2013年版的第1章); 增加了规范性引用文件GB/T30279—2020,删除了规范性引用文件GB/T18336.1一2008(见 第2章,2013年版的第2章); 增加了术语“(网络产品和服务的)提供者”“网络运营者”“漏洞收录组织”“漏洞应急组织”“漏 洞发现”“漏洞报告”“漏洞接收”“漏洞验证”“漏洞发布”(见3.2、3.3、3.4、3.5、3.6、3.7、3.8、3.9 3.10); 删除了术语“修复措施"“厂商”“漏洞管理组织”“漏洞发现者”(2013年版的3.1、3.3、3.4、3.5); 修改了漏洞管理流程,从漏洞管理的角度出发,重新定义了漏洞管理流程的各阶段,将原来的 “预防、收集、消减、发布”管理阶段调整为“漏洞发现和报告、漏洞接收、漏洞验证、漏洞处置、漏 洞发布、漏洞跟踪”,并提出各管理阶段中各相关角色应遵循的要求(见第4章、第5章,2013 年版的第4章、第5章); 一删除了“附录A(规范性附录)漏洞处理策略”(2013年版的附录A)。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任, 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:国家计算机网络应急技术处理协调中心、中国信息安全测评中心、国家信息技术 安全研究中心、中国电子技术标准化研究院、上海交通大学、恒安嘉新(北京)科技股份公司、网神信息技 术(北京)股份有限公司、上海斗象信息科技有限公司、北京数字观星科技有限公司、阿里巴巴(北京)软 牛服务有限公司、公安部第三研究所、中国科学院大学、北京奇虎科技有限公司。 本标准主要起草人:云晓春、舒敏、崔牧凡、主文磊、严寒冰、贾子晓、陈悦、任泽君、崔婷婷、高继明 王桂温、郭亮、谢忧、白晓媛、王宏、李斌、孟魁、姜开达、黄道丽、赵旭东、赵芸伟、蒋凌云、郝永乐、叶润国 刘楠、张玉清、姚一楠。 本标准所代替标准的历次版本发布情况为: GB/T302762013

本标准按照GB/T1.1一2009给出的规则起。 本标准代替GB/T30276一2013《信息安全技术信息安全漏洞管理规范》,与GB/T30276一2013 相比,主要技术变化如下: 修改了范围的表述(见第1章,2013年版的第1章); 增加了规范性引用文件GB/T30279一2020,删除了规范性引用文件GB/T18336.1一2008(见 第2章,2013年版的第2章); 增加了术语“(网络产品和服务的)提供者”“网络运营者”“漏洞收录组织”“漏洞应急组织”“漏 洞发现”“漏洞报告”“漏洞接收”“漏洞验证”“漏洞发布”(见3.2、3.3、3.4、3.5、3.6、3.7、3.8、3.9 3.10); 删除了术语“修复措施”“厂商”“漏洞管理组织”“漏洞发现者”(2013年版的3.1、3.3、3.4、3.5); 修改了漏洞管理流程,从漏洞管理的角度出发,重新定义了漏洞管理流程的各阶段,将原来的 “预防、收集、消减、发布”管理阶段调整为“漏洞发现和报告、漏洞接收、漏洞验证、漏洞处置、漏 洞发布、漏洞跟踪”,并提出各管理阶段中各相关角色应遵循的要求(见第4章、第5章,2013 年版的第4章、第5章); 一删除了“附录A(规范性附录)漏洞处理策略”(2013年版的附录A)。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:国家计算机网络应急技术处理协调中心、中国信息安全测评中心、国家信息技术 安全研究中心、中国电子技术标准化研究院、上海交通大学、恒安嘉新(北京)科技股份公司、网神信息技 术(北京)股份有限公司、上海斗象信息科技有限公司、北京数字观星科技有限公司、阿里巴巴(北京)软 件服务有限公司、公安部第三研究所、中国科学院大学、北京奇虎科技有限公司。 本标准主要起草人:云晓春、舒敏、崔牧凡、主文磊、严寒冰、贾子晓、陈悦、任泽君、崔婷婷、高继明 王桂温、郭亮、谢忧、白晓媛、王宏、李斌、孟魁、姜开达、黄道丽、赵旭东、赵芸伟、蒋凌云、郝永乐、叶润国 刘楠、张玉清、姚一楠。 本标准所代替标准的历次版本发布情况为: GB/T 30276—2013

GB/T30276—2020

本标准规定了网络安全漏洞管理流程各阶段(包括漏洞发现和报告、接收、验证、处置、发布、跟踪 等)的管理流程、管理要求以及证实方法 本标准适用于网络产品和服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织等开展的网络 安全漏洞管理活动。

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T25069信息安全技术术语 GB/T28458一2020信息安全技术网络安全漏洞标识与描述规范 GB/T30279一2020信息安全技术网络安全漏洞分类分级指南

过技术手段,识别出网络产品和服务存在漏洞的

5网络安全漏洞管理要求

GB/T30276—2020

在漏洞发现和报告阶段,要求如下: 组)对漏洞发现者的要求: 遵循国家相关法律、法规的前提下,可通过人工或者自动化方法对漏洞进行探测、分析,并 证实漏洞存在的真实性; 在实施漏洞发现活动时,不应对用户的系统运行和数据安全造成影响和损害,不应有为了 发现漏洞而侵犯其他组织的业务运行和数据安全的行为; 在识别网络产品或服务的潜在漏洞时,应主动评估可能存在的安全风险; 应采取防止漏洞信息泄露的有效措施。 b)对漏洞报告者的要求: 发现网络或产品服务的漏洞后,应及时报告漏洞信息; 报告漏洞时,应客观、直实地对漏洞进行描述

漏洞验证阶段,要求如下: 若由与该漏洞相关联的提供者或网络运营者进行验证: 应及时对漏洞的存在性、等级、类别等进行技术验证,向漏洞报告者发送漏洞报告接收确 认或反馈,可联合漏洞报告者等对漏洞进行验证; 如果该漏洞涉及其他提供者或网络运营者,应及时通知相关提供者或网络运营者共同进 行验证; 应客观地对漏洞信息进行验证和确认,不应对漏洞报告者等进行误导: 在漏洞验证后,应根据漏洞验证情况并依据GB/T28458一2020中5.3的要求对漏洞进行 描述,同时将验证结果反馈给漏洞报告者,也可反馈给漏洞应急组织等; 如果被报告的漏洞是在提供者或网络运营者目前不提供支持的产品或服务中发现的GY 5070-2013标准下载,提 供者或网络运营者应继续完成调查和漏洞验证,并确认该漏洞对其他支持的产品或在线

在漏洞验证阶段,要求如下: 若由与该漏洞相关联的提供者或网络运营者进行验证: 应及时对漏洞的存在性、等级、类别等进行技术验证,向漏洞报告者发送漏洞报告接收确 认或反馈,可联合漏洞报告者等对漏洞进行验证; 如果该漏洞涉及其他提供者或网络运营者,应及时通知相关提供者或网络运营者共同进 行验证; 应客观地对漏洞信息进行验证和确认,不应对漏洞报告者等进行误导; 在漏洞验证后,应根据漏洞验证情况并依据GB/T28458一2020中5.3的要求对漏洞进行 描述,同时将验证结果反馈给漏洞报告者,也可反馈给漏洞应急组织等; 如果被报告的漏洞是在提供者或网络运营者目前不提供支持的产品或服务中发现的,提 供者或网络运营者应继续完成调查和漏洞验证,并确认该漏洞对其他支持的产品或在线

GB/T 30276—2020

服务的影响。 b)若由漏洞收录组织进行验证: 确认漏洞接收后应及时协调对漏洞信息的验证,协调方式可包括:告知与漏洞相关的产品 或服务的提供者进行验证和确认;与该漏洞相关联的提供者或者网络运营者共同进行验 证和确认;联合漏洞报告者共同进行漏洞信息的验证和确认: 一 应客观、真实地反映漏洞情况,不应对与该漏洞相关联的提供者或网络运营者、漏洞报告 者等进行误导; 验证完成后应及时通知与该漏洞相关联的提供者或网络运营者。 c)若由漏洞应急组织进行验证: 确认漏洞接收后应及时协调对漏洞信息的验证,协调方式可包括:告知与漏洞相关的产品 或服务的提供者进行验证和确认;与该漏洞相关联的提供者或网络运营者共同进行验证 和确认; 验证完成后应及时通知与该漏洞相关联的提供者或网络运营者。 d)在漏洞验证过程中发生如下情况时,可以终止后续的漏洞管理阶段,并给予漏洞报告者反馈: 重复漏洞:该漏洞是个已重复的漏洞,已解决或已修复的漏洞; 一无法验证漏洞:该漏洞是提供者、网络运营者、漏洞收录组织等无法验证的漏洞; 一无危害漏洞:该漏洞是一个无安全影响,或无法被现有技术利用的漏洞; 注:漏洞利用方法可能随着新的技术或攻击方法的出现而改变,提供者及网络运营者宜时刻保持对当前漏洞攻击 手段的了解, 该漏洞所存在的产品或服务均已超过规定期限以及当事人约定的期限,法律法规另有规 定的除外,

©版权声明
相关文章