返回
《信息安全技术信息安全漏洞管理规范》(征求意见稿).

《信息安全技术信息安全漏洞管理规范》(征求意见稿).

ID:16080350

大小:1.44 MB

页数:10页

时间:2018-08-07

《信息安全技术信息安全漏洞管理规范》(征求意见稿)._第1页
《信息安全技术信息安全漏洞管理规范》(征求意见稿)._第2页
《信息安全技术信息安全漏洞管理规范》(征求意见稿)._第3页
《信息安全技术信息安全漏洞管理规范》(征求意见稿)._第4页
《信息安全技术信息安全漏洞管理规范》(征求意见稿)._第5页
资源描述:

《《信息安全技术信息安全漏洞管理规范》(征求意见稿).》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、ICS35.040L80中华人民共和国国家标准GB/TXXXXX—XXXX信息安全技术信息安全漏洞管理规范Informationsecuritytechnology——Vulnerabilitymanagementcriterionspecification点击此处添加与国际标准一致性程度的标识(本稿完成日期:2012年7月30日)在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上。-XX-XX发布XXXX-XX-XX实施GB/TXXXXX—XXXX目次前言II1 范围12 规范性引用文件13 术语和定义14 漏洞生命

2、周期25 信息安全漏洞管理25.1 原则25.2 规划25.3 实施35.3.1 漏洞的预防35.3.1.1 厂商35.3.1.2 用户35.3.2 漏洞的收集35.3.2.1 漏洞管理组织45.3.2.2 厂商45.3.2.3 漏洞发现者45.3.3 漏洞的消减45.3.3.1 厂商45.3.3.2 漏洞管理组织45.3.3.3 用户45.3.4 漏洞的发布45.3.4.1 漏洞管理组织45.3.4.2 厂商55.4 评审55.5 改进5附录A(规范性附录) 漏洞处理策略6A.1 漏洞处理时间表6A.2 厂商针对漏洞的消减处理

3、策略6A.3 漏洞管理组织关于漏洞通报的处理策略6A.4 漏洞管理组织关于厂商修复漏洞的处理策略6参考文献77GB/TXXXXX—XXXX前言本标准按照GB/T1.1-2009给出的规则起草。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位:中国信息安全测评中心。本标准主要起草人:刘晖、易锦、刘彦钊、熊琦、张磊、赵向辉、刘林、吴润浦、李娟。7GB/TXXXXX—XXXX信息安全技术 信息安全漏洞管理规范1 范围本标准规定了信息安全漏洞的管理要求,涉及漏洞的产生、发现、利用、公开和修复等环节。本标准适用于用户、厂商和

4、漏洞管理组织进行信息安全漏洞的管理活动,包括漏洞的预防、收集、消减和发布。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/TAAAA-20xx 信息安全技术 安全漏洞标识与描述规范GB/TBBBB-20xx 信息安全技术 安全漏洞分类规范GB/TCCCC-20xx 信息安全技术 安全漏洞等级划分指南3 术语和定义下列术语和定义适用于本文件。3.1 信息安全Informationsecurity保护

5、、维持信息的保密性、完整性和可用性,也可包括真实性、可核查性、抗抵赖性、可靠性等性质。[GB/T25069-2010]3.2 计算机信息系统Computerinformationsystem由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。[GB/T25069-2010,2.1.13]注:计算机信息系统简称信息系统。3.3 信息安全漏洞Informationsecurityvulnerability计算机信息系统在需求、设计、实现、配置、运行等过

6、程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对计算机信息系统的安全造成损害,从而影响计算机信息系统的正常运行。[信息安全漏洞标识与描述规范,3.2]。3.4 修复措施Remediation用以修复漏洞的补丁、升级版本、配置策略等。7GB/TXXXXX—XXXX1.1 资产Asset信息系统安全策略中所保护的信息或资源。[GB/T18336.1-2001,3.3.1]1.2 风险Risk一个给定的威胁,利用一项资产或多项资产的脆弱性,对组织造成损害的潜能。可通过

7、事件的概率及其后果进行度量。[GB/T25069-2010]1.3 用户User使用信息系统的个人或组织。1.4 厂商Vendor开发信息系统的组织。1.5 漏洞管理组织Vulnerabilitymanagementorganization协调厂商和漏洞发现者处理漏洞信息的组织。注:组织包括国家信息安全主管部门等。1.6 漏洞发现者Vulnerabilityfinder发现信息系统中潜在漏洞的个人或组织。2 信息安全漏洞生命周期依据信息安全漏洞(简称漏洞)从产生到消亡的整个过程,信息安全漏洞生命周期分以下几个阶段:a)漏洞的发现

8、:通过人工或者自动的方法分析、挖掘出漏洞的过程,并且该漏洞可以被验证和重现。b)漏洞的利用:利用漏洞对计算机信息系统的保密性、完整性和可用性造成损害的过程。c)漏洞的修复:通过补丁、升级版本或配置策略等对漏洞进行修补的过程,使得该漏洞不能够被恶意主体所利用。d)

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。