天天夜碰日日摸日日澡性色AV ,日韩欧美在线综合网,中国成熟妇女毛茸茸,bbw丰满大肥奶肥婆

CNVD漏洞安全響應(yīng)指導(dǎo)規(guī)范

2016-09-28 17:12:47

安全公告編號:CNTA-2016-0045

為進一步規(guī)范軟硬件廠商及信息系統(tǒng)管理方的漏洞響應(yīng)流程,重點防范黨政機關(guān)和重要行業(yè)單位的漏洞安全風(fēng)險,整體提高國內(nèi)用戶的漏洞安全響應(yīng)水平,根據(jù)《國家信息安全漏洞共享平臺章程》和《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置自律公約》,CNVD秘書處制定漏洞安全響應(yīng)指導(dǎo)規(guī)范如下:?

一、CNVD漏洞處置響應(yīng)流程

CNVD納入處置流程的漏洞處置類型分為:事件型漏洞和通用軟硬件漏洞。事件型漏洞指由某個單位具體管理的網(wǎng)站系統(tǒng)或業(yè)務(wù)系統(tǒng)存在的安全漏洞。通用軟硬件漏洞指通用框架、組件、應(yīng)用程序、設(shè)備等軟硬件產(chǎn)品存在的安全漏洞。

(一)事件型漏洞處置流程

CNVD對漏洞進行核驗后將直接通過已有聯(lián)系渠道或公開聯(lián)系渠道向網(wǎng)站方通報。各單位也可在CNVD前臺注冊企業(yè)賬號,報備聯(lián)系方式以便后續(xù)接收漏洞風(fēng)險郵件通報。各單位在收到郵件通報的5個工作日內(nèi),郵件反饋處置情況。

(二)通用軟硬件漏洞處置流程

根據(jù)《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置自律公約》規(guī)定的廠商以及漏洞應(yīng)急組織相關(guān)責任和義務(wù),相關(guān)流程參考步驟1-步驟3以及附加步驟1、2:

步驟1:CNVD對通用漏洞進行核驗后將直接通過已有聯(lián)系渠道或通過公開聯(lián)系渠道向產(chǎn)品廠商郵件通報;對于已經(jīng)注冊CNVD企業(yè)賬號的廠商,將通過網(wǎng)站前臺流程下發(fā)處置任務(wù)并進行郵件提示;

步驟2:廠商在接收到通報后的5個工作日內(nèi)反饋是否有補?。êR時解決方案)或是否已經(jīng)著手應(yīng)急處置事項;

步驟3:廠商修復(fù)漏洞發(fā)布補丁或安全公告時,應(yīng)通過郵件反饋CNVD,或在CNVD網(wǎng)站登錄企業(yè)賬號,通過前臺提交方式向CNVD反饋補丁或公告信息。

附加步驟1:對于處置周期,視處置難度和修復(fù)情況而定,廠商應(yīng)及時報備漏洞修復(fù)和處置情況;對于有可能造成大規(guī)模攻擊威脅(如:涉及大量黨政機關(guān)和重要行業(yè)單位用戶),CNVD要求廠商采取主動響應(yīng)原則,依托技術(shù)手段和市場渠道主動完成用戶產(chǎn)品的防護工作。CNVD也可協(xié)助廠商開展全網(wǎng)安全評估和全局應(yīng)急響應(yīng),提供受影響用戶列表相關(guān)情況。必要時,CNVD將組織專項行動進行漏洞的全網(wǎng)處置。

附加步驟2:對于通用軟硬件漏洞處置中不配合的廠商CNVD將采取如下監(jiān)督措施:CNVD發(fā)布安全公告和行業(yè)通報、CNVD直接向相關(guān)終端和渠道用戶通報、CNVD建立漏洞應(yīng)急自律黑名單并向社會公眾發(fā)布。

二、CNVD漏洞公開發(fā)布策略

CNVD遵循《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置自律公約》提倡的“客觀、適時、適度”三原則,確保漏洞披露和擴散渠道可控可追溯,避免因漏洞信息披露不當和處置不及時而危害到國家安全、企業(yè)安全和用戶安全。

針對事件型漏洞,CNVD在完成通報流程后通過網(wǎng)站“綿羊墻”功能發(fā)布存在漏洞的涉事信息系統(tǒng)或涉事單位名稱列表,不公開漏洞細節(jié)。針對通用軟硬件漏洞,CNVD預(yù)設(shè)45天公開期,公開信息包括:漏洞名稱、漏洞描述、漏洞評分、漏洞影響產(chǎn)品、漏洞參考鏈接、漏洞補丁鏈接等;CNVD暫不直接公開具體利用代碼或驗證代碼細節(jié)。利用代碼和驗證代碼信息將通過CNVD建設(shè)的核心知識庫用于業(yè)內(nèi)研究和技術(shù)交流。對于需要較長周期完成處置流程的情況,廠商可以申請簽署《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置自律公約》,與CNVD秘書處進行漏洞公開策略協(xié)商。

三、CNVD漏洞處置技術(shù)要求

(一)安全補丁、安全公告發(fā)布要求

廠商在發(fā)布補丁時應(yīng)進行嚴格的有效性和安全性測試,避免引入新的安全漏洞;對于未能提供補丁的,應(yīng)提供網(wǎng)絡(luò)側(cè)或系統(tǒng)側(cè)防護策略,指導(dǎo)用戶完成臨時防護。廠商發(fā)布安全公告時應(yīng)建立良好的通報告知渠道,除網(wǎng)站、微博等互聯(lián)網(wǎng)自媒體發(fā)布外,應(yīng)確保安全公告及時送達具體的產(chǎn)品用戶。

(二)大規(guī)模漏洞風(fēng)險處置要求

廠商在產(chǎn)品設(shè)計和部署的時候應(yīng)采取靈活的升級防護技術(shù),同時加強市場和銷售渠道管理,通過技術(shù)手段和管理手段建立詳實準確的產(chǎn)品用戶列表。

廠商應(yīng)積極向CNVD報備接收到的產(chǎn)品安全漏洞,同時配合CNVD提出的大規(guī)模漏洞風(fēng)險處置技術(shù)要求,向CNVD提供存在漏洞的產(chǎn)品應(yīng)用識別特征,或漏洞版本驗證方法。CNVD積極協(xié)助廠商完成用戶受影響情況威脅全網(wǎng)普查以及可能已存在的漏洞攻擊情況進行全網(wǎng)監(jiān)測,并向廠商提供用戶側(cè)處置協(xié)助。