總機:020-87516161 傳真:020-87516161-8040
地址:廣州市天河北路898號信源大廈3206-3211室 郵編:510660
安全公告編號:CNTA-2016-0045
為進一步規范軟硬件廠商及信息系統管理方的漏洞響應流程,重點防范黨政機關和重要行業單位的漏洞安全風險,整體提高國內用戶的漏洞安全響應水平,根據《國家信息安全漏洞共享平臺章程》和《中國互聯網協會漏洞信息披露和處置自律公約》,CNVD秘書處制定漏洞安全響應指導規范如下:?
一、CNVD漏洞處置響應流程
CNVD納入處置流程的漏洞處置類型分為:事件型漏洞和通用軟硬件漏洞。事件型漏洞指由某個單位具體管理的網站系統或業務系統存在的安全漏洞。通用軟硬件漏洞指通用框架、組件、應用程序、設備等軟硬件產品存在的安全漏洞。
(一)事件型漏洞處置流程
CNVD對漏洞進行核驗后將直接通過已有聯系渠道或公開聯系渠道向網站方通報。各單位也可在CNVD前臺注冊企業賬號,報備聯系方式以便后續接收漏洞風險郵件通報。各單位在收到郵件通報的5個工作日內,郵件反饋處置情況。
(二)通用軟硬件漏洞處置流程
根據《中國互聯網協會漏洞信息披露和處置自律公約》規定的廠商以及漏洞應急組織相關責任和義務,相關流程參考步驟1-步驟3以及附加步驟1、2:
步驟1:CNVD對通用漏洞進行核驗后將直接通過已有聯系渠道或通過公開聯系渠道向產品廠商郵件通報;對于已經注冊CNVD企業賬號的廠商,將通過網站前臺流程下發處置任務并進行郵件提示;
步驟2:廠商在接收到通報后的5個工作日內反饋是否有補丁(含臨時解決方案)或是否已經著手應急處置事項;
步驟3:廠商修復漏洞發布補丁或安全公告時,應通過郵件反饋CNVD,或在CNVD網站登錄企業賬號,通過前臺提交方式向CNVD反饋補丁或公告信息。
附加步驟1:對于處置周期,視處置難度和修復情況而定,廠商應及時報備漏洞修復和處置情況;對于有可能造成大規模攻擊威脅(如:涉及大量黨政機關和重要行業單位用戶),CNVD要求廠商采取主動響應原則,依托技術手段和市場渠道主動完成用戶產品的防護工作。CNVD也可協助廠商開展全網安全評估和全局應急響應,提供受影響用戶列表相關情況。必要時,CNVD將組織專項行動進行漏洞的全網處置。
附加步驟2:對于通用軟硬件漏洞處置中不配合的廠商CNVD將采取如下監督措施:CNVD發布安全公告和行業通報、CNVD直接向相關終端和渠道用戶通報、CNVD建立漏洞應急自律黑名單并向社會公眾發布。
二、CNVD漏洞公開發布策略
CNVD遵循《中國互聯網協會漏洞信息披露和處置自律公約》提倡的“客觀、適時、適度”三原則,確保漏洞披露和擴散渠道可控可追溯,避免因漏洞信息披露不當和處置不及時而危害到國家安全、企業安全和用戶安全。
針對事件型漏洞,CNVD在完成通報流程后通過網站“綿羊墻”功能發布存在漏洞的涉事信息系統或涉事單位名稱列表,不公開漏洞細節。針對通用軟硬件漏洞,CNVD預設45天公開期,公開信息包括:漏洞名稱、漏洞描述、漏洞評分、漏洞影響產品、漏洞參考鏈接、漏洞補丁鏈接等;CNVD暫不直接公開具體利用代碼或驗證代碼細節。利用代碼和驗證代碼信息將通過CNVD建設的核心知識庫用于業內研究和技術交流。對于需要較長周期完成處置流程的情況,廠商可以申請簽署《中國互聯網協會漏洞信息披露和處置自律公約》,與CNVD秘書處進行漏洞公開策略協商。
三、CNVD漏洞處置技術要求
(一)安全補丁、安全公告發布要求
廠商在發布補丁時應進行嚴格的有效性和安全性測試,避免引入新的安全漏洞;對于未能提供補丁的,應提供網絡側或系統側防護策略,指導用戶完成臨時防護。廠商發布安全公告時應建立良好的通報告知渠道,除網站、微博等互聯網自媒體發布外,應確保安全公告及時送達具體的產品用戶。
(二)大規模漏洞風險處置要求
廠商在產品設計和部署的時候應采取靈活的升級防護技術,同時加強市場和銷售渠道管理,通過技術手段和管理手段建立詳實準確的產品用戶列表。
廠商應積極向CNVD報備接收到的產品安全漏洞,同時配合CNVD提出的大規模漏洞風險處置技術要求,向CNVD提供存在漏洞的產品應用識別特征,或漏洞版本驗證方法。CNVD積極協助廠商完成用戶受影響情況威脅全網普查以及可能已存在的漏洞攻擊情況進行全網監測,并向廠商提供用戶側處置協助。