犐犆犛３５．０４０ 犔８０ 中 华 人 民 共 和 国 国 家 标 准 ／ＧＢ／０Ｔ３ 犌犅 ２７０６２７—６２—０２０２１０３ 代替犜３ 信息安全技术 网络安全漏洞管理规范 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔— 犛狆犲犮犻犳犻犮犪狋犻狅狀犳狅狉犮狔犫犲狉狊犲犮狌狉犻狋狔狏狌犾狀犲狉犪犫犻犾犻狋狔犿犪狀犪犵犲犿犲狀狋 ２０２０１１１９ 发布 ２０２１０６０１ 实施 国家市场监督管理总局 国家标准化管理委员会 发布 犌犅／犜３０２７６—２０２０ 目 　　 次 前言 ………………………………………………………………………………………………………… Ⅰ １　 范围 ……………………………………………………………………………………………………… １ ２　 规范性引用文件 ………………………………………………………………………………………… １ ３　 术语和定义 ……………………………………………………………………………………………… １ ４　 网络安全漏洞管理流程 ………………………………………………………………………………… ２ ５　 网络安全漏洞管理要求 ………………………………………………………………………………… ３ 　５．１　 漏洞发现和报告 …………………………………………………………………………………… ３ 　５．２　 漏洞接收 …………………………………………………………………………………………… ３ 　５．３　 漏洞验证 …………………………………………………………………………………………… ３ 　５．４　 漏洞处置 …………………………………………………………………………………………… ４ 　５．５　 漏洞发布 …………………………………………………………………………………………… ５ 　５．６　 漏洞跟踪 …………………………………………………………………………………………… ５ ６　 证实方法 ………………………………………………………………………………………………… ５ 参考文献 ……………………………………………………………………………………………………… ６ 犌犅／犜３０２７６—２０２０ 前 　　 言 　　 本标准按照 ＧＢ／Ｔ１．１—２００９ 给出的规则起草 。 本标准代替 ＧＢ／Ｔ３０２７６—２０１３《信息安全技术 　 信息安全漏洞管理规范 》，与 ＧＢ／Ｔ３０２７６—２０１３ 相比 ，主要技术变化如下 ： ——— 修改了范围的表述 （见第 １ 章 ，２０１３ 年版的第 １ 章 ）； ——— 增加了规范性引用文件 ＧＢ／Ｔ３０２７９—２０２０，删除了规范性引用文件 ＧＢ／Ｔ１８３３６．１—２００８（见 第 ２ 章 ，２０１３ 年版的第 ２ 章）； ——— 增加了术语 “（网络产品和服务的 ）提供者 ”“网络运营者 ”“漏洞收录组织 ”“漏洞应急组织 ”“漏 洞发现”“漏洞报告”“漏洞接收”“漏洞验证”“漏洞发布”（见 ３．２、３．３、３．４、３．５、３．６、３．７、３．８、３．９、 ３．１０）； ——— 删除了术语 “修复措施 ”“厂商 ”“漏洞管理组织 ”“漏洞发现者 ”（２０１３ 年版的 ３．１、３．３、３．４、３．５）； ——— 修改了漏洞管理流程 ，从漏洞管理的角度出发 ，重新定义了漏洞管理流程的各阶段 ，将原来的 “预防 、收集 、消减 、发布 ”管理阶段调整为 “漏洞发现和报告 、漏洞接收 、漏洞验证 、漏洞处置 、漏 洞发布 、漏洞跟踪 ”，并提出各管理阶段中各相关角色应遵循的要求 （见第 ４ 章 、第 ５ 章 ，２０１３ 年版的第 ４ 章 、第 ５ 章）； ——— 删除了 “附录 Ａ（规范性附录 ）　 漏洞处理策略 ”（２０１３ 年版的附录 Ａ）。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ２６０）提出并归口 。 本标准起草单位 ：国家计算机网络应急技术处理协调中心 、中国信息安全测评中心 、国家信息技术 安全研究中心 、中国电子技术标准化研究院 、上海交通大学 、恒安嘉新（北京）科技股份公司 、网神信息技 术（北京）股份有限公司 、上海斗象信息科技有限公司 、北京数字观星科技有限公司 、阿里巴巴 （北京 ）软 件服务有限公司 、公安部第三研究所 、中国科学院大学 、北京奇虎科技有限公司 。 本标准主要起草人 ：云晓春 、舒敏 、崔牧凡 、王文磊 、严寒冰 、贾子骁 、陈悦 、任泽君 、崔婷婷 、高继明 、 王桂温 、郭亮 、谢忱 、白晓媛 、王宏 、李斌 、孟魁 、姜开达 、黄道丽 、赵旭东 、赵芸伟 、蒋凌云 、郝永乐 、叶润国 、 刘楠 、张玉清 、姚一楠 。 本标准所代替标准的历次版本发布情况为 ： ———ＧＢ／Ｔ３０２７６—２０１３。 Ⅰ 犌犅／犜３０２７６—２０２０ 信息安全技术 网络安全漏洞管理规范 １　 范围 本标准规定了网络安全漏洞管理流程各阶段 （包括漏洞发现和报告 、接收 、验证 、处置 、发布 、跟踪 等）的管理流程 、管理要求以及证实方法 。 本标准适用于网络产品和服务的提供者 、网络运营者 、漏洞收录组织 、漏洞应急组织等开展的网络 安全漏洞管理活动 。 ２　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ，仅注日期的版本适用于本文 件 。 凡是不注日期的引用文件 ，其最新版本（包括所有的修改单）适用于本文件 。 ＧＢ／Ｔ２５０６９　 信息安全技术 　 术语 ＧＢ／Ｔ２８４５８—２０２０　 信息安全技术 　 网络安全漏洞标识与描述规范 ＧＢ／Ｔ３０２７９—２０２０　 信息安全技术 　 网络安全漏洞分类分级指南 ３　 术语和定义 ＧＢ／Ｔ２５０６９、ＧＢ／Ｔ２８４５８—２０２０ 界定的以及下列术语和定义适用于本文件 。 ３．１ 用户 　狌狊犲狉 使用网络产品和服务的个人或组织 。 ３．２ （网络产品和服务的 ）提供者 　狆狉狅狏犻犱犲狉狅犳狀犲狋狑狅狉犽狆狉狅犱狌犮狋狊犪狀犱狊犲狉狏犻犮犲狊 提供网络产品和服务的个人或组织 。 ３．３ 网络运营者 　狀犲狋狑狅狉犽狅狆犲狉犪狋狅狉 网络的所有者 、管理者和网络服务提供者 。 ３．４ 漏洞收录组织 　狏狌犾狀犲狉犪犫犻犾犻狋狔狉犲狆狅狊犻狋狅狉狔狅狉犵犪狀犻狕犪狋犻狅狀 提供公开渠道接收漏洞信息 ，并建有相应工作流程的组织 。 ３．５ 漏洞应急组织 　狏狌犾狀犲狉犪犫犻犾犻狋狔犲犿犲狉犵犲狀犮狔狉犲狊狆狅狀狊犲狅狉犵犪狀犻狕犪狋犻狅狀 与提供者 、网络运营者 、漏洞收录组织 、网络运营者 、安全研究机构 、网络安全企业等建有成熟的技 术协作体系 、负责安全漏洞的响应和处置工作的网络安全应急协调组织 。 ３．６ 漏洞发现 　狏狌犾狀犲狉犪犫犻犾犻狋狔犱犻狊犮狅狏犲狉狔 通过技术手段 ，识别出网络产品和服务存在漏洞的过程 。 １ 犌犅／犜３０２７６—２０２０ ３．７ 漏洞报告 　狏狌犾狀犲狉犪犫犻犾犻狋狔狉犲狆狅狉狋 获得漏洞信息并将漏洞信息进行报告的过程 。 ３．８ 漏洞接收 　狏狌犾狀犲狉犪犫犻犾犻狋狔狉犲犮犲犻狆狋 接收漏洞信息的过程 。 ３．９ 漏洞验证 　狏狌犾狀犲狉犪犫犻犾犻狋狔狏犲狉犻犳犻犮犪狋犻狅狀 对漏洞的存在性 、等级 、类别等进行技术验证的过程 。 ３．１０ 漏洞发布 　狏狌犾狀犲狉犪犫犻犾犻狋狔狉犲犾犲犪狊犲 将漏洞信息向社会或受影响的用户等发布的过程 。 ４　 网络安全漏洞管理流程 网络安全漏洞管理流程如图 １ 所示 。 图 １　 网络安全漏洞管理流程 网络安全漏洞管理包含以下阶段 ： ——— 漏洞发现和报告 ：漏洞发现者通过人工或者自动的方法对漏洞进行探测 、分析 ，证实漏洞存在 的真实性 ，并由漏洞报告者将获得的漏洞信息向漏洞接收者报告 ； ——— 漏洞接收 ：通过相应途径接收漏洞信息 ； ——— 漏洞验证 ：收到漏洞报告后 ，进行漏洞信息的技术验证 ；满足相应要求可终止后续漏洞管理 流程 ； ——— 漏洞处置 ：对漏洞进行修复 ，或制定并测试漏洞修复或防范措施 ，可包括升级版本 、补丁 、更改 配置等方式 ； ——— 漏洞发布 ：通过网站 、邮件列表等渠道将漏洞信息向社会或受影响的用户发布 ； ——— 漏洞跟踪 ：在漏洞发布后跟踪监测漏洞修复情况 、产品或服务的稳定性等 ；视情况对漏洞修复 或防范措施做进一步改进 ；满足相应要求可终止漏洞管理流程 。 漏洞管理流程中各阶段的管理要求见第 ５ 章 。 ２ 犌犅／犜３０２７６—２０２０ ５　 网络安全漏洞管理要求 ５．１　 漏洞发现和报告 在漏洞发现和报告阶段 ，要求如下 ： ａ）　 对漏洞发现者的要求 ： ——— 遵循国家相关法律 、法规的前提下 ，可通过人工或者自动化方法对漏洞进行探测 、分析 ，并 证实漏洞存在的真实性 ； ——— 在实施漏洞发现活动时 ，不应对用户的系统运行和数据安全造成影响和损害 ，不应有为了 发现漏洞而侵犯其他组织的业务运行和数据安全的行为 ； ——— 在识别网络产品或服务的潜在漏洞时 ，应主动评估可能存在的安全风险 ； ——— 应采取防止漏洞信息泄露的有效措施 。 ｂ）　对漏洞报告者的要求 ： ——— 发现网络或产品服务的漏洞后 ，应及时报告漏洞信息 ； ——— 报告漏洞时 ，应客观 、真实地对漏洞进行描述 。 ５．２　 漏洞接收 在漏洞接收阶段 ，要求如下 ： ａ）　 应为漏洞报告者提供漏洞接收渠道 ，如网站 、邮箱或电话等 ，并采取措施保障漏洞信息的安全 、 保密接收 ； ｂ）　应制定并公开发布漏洞接收策略 ，便于漏洞报告者报告漏洞 ，接收策略包括但不限于漏洞接收 范围 、漏洞接收渠道 、漏洞接收要求 、漏洞接收流程等内容 ； ｃ）　 在收到漏洞报告者的漏洞报告后 ，应及时给予漏洞报告者确认或反馈 ； ｄ）　不应以产品或服务已经终止维护为由 ，拒绝接收漏洞报告 ； ｅ）　 应采取有效措施保护与被报告漏洞相关的信息的安全和保密性 ，防止漏洞信息泄漏 ； ｆ）　 若由与该漏洞相关联的提供者或网络运营者进行漏洞接收时 ，除满足 ａ）～ｅ）的要求外 ，还应 满足如下要求 ： ——— 提供技术措施保证信息流转渠道安全 ； ——— 如果发现漏洞涉及其他提供者或网络运营者 ，及时向相关提供者或网络运营者报告 ，当需 要协调时可请求漏洞应急组织的帮助 。 ５．３　 漏洞验证 在漏洞验证阶段 ，要求如下 ： ａ）　 若由与该漏洞相关联的提供者或网络运营者进行验证 ： ——— 应及时对漏洞的存在性 、等级 、类别等进行技术验证 ，向漏洞报告者发送漏洞报告接收确 认或反馈 ，可联合漏洞报告者等对漏洞进行验证 ； ——— 如果该漏洞涉