网络安全等级保护:网络安全漏洞分类分级及管理规范

2021年7月12日,根据《网络安全法》关于漏洞管理有关要求,工业和信息化部、国家互联网信息办公室、公安部联合制定《网络产品安全漏洞管理规定》,主要目的是维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行;规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务;鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。《网络产品安全漏洞管理规定》的出台将推动网络产品安全漏洞管理工作的制度化、规范化、法治化,提高相关主体漏洞管理水平,引导建设规范有序、充满活力的漏洞收集和发布渠道,防范网络安全重大风险,保障国家网络安全。

网络产品安全漏洞管理规定》很重要,也得到广大安全产业从业人士的关注,然工作开展不仅要从政策性文件领会,还需要从标准性文件着手。《信息安全技术 网络安全漏洞分类分级指南》于2020年11月19日发布,2021年6月1日实施。在看这个标准时,就萌生把网络安全漏洞分类制作成导图,直观把漏洞分类展现,如下:

上面是网络安全漏洞分类导图让我们一目了然,那么网络安全漏洞该如何管理,是不是放任自我随意为之呢?当然,也有对应的国家标准,那就是《信息安全技术 网络安全漏洞管理规范》,该标准也是2020年11月19日发布,2021年06月1日实施。

该标准则给出了漏洞生命周期管理流程,如下图:

网络安全漏洞管理包含以下阶段:

漏洞发现和报告:

漏洞发现者通过人工或者自动的方法对漏洞进行探测、分析,证实漏洞存在的真实性,并由漏洞报告者将获得的漏洞信息向漏洞接收者报告;

漏洞接收:

通过相应途径接收漏洞信息;
漏洞验证:
收到漏洞报告后,进行漏洞信息的技术验证;满足相应要求可终止后续漏洞管理流程;
漏洞处置:
对漏洞进行修复,或制定并测试漏洞修复或防范措施,可包括升级版本、补丁、更改配置等方式;
漏洞发布:
通过网站、邮件列表等渠道将漏洞信息向社会或受影响的用户发布;
漏洞跟踪:
在漏洞发布后跟踪监测漏洞修复情况、产品或服务的稳定性等;视情况对漏洞修复或防范措施做进一步改进;满足相应要求可终止漏洞管理流程。

当然,《信息安全技术 网络安全漏洞管理规范》在该标准的第5章详尽阐述。另外,如果需要理解有关网络安全漏洞相关内容,还有一个基础性标准《信息安全技术 网络安全漏洞标识与描述规范 》,该标准也是将在本年度6月1日实施。今天,就结合《信息安全技术 网络安全漏洞管理规范》有关网络安全漏洞管理流程做个简要阐述作为引子,待后续整理后期待与大家共同探讨。这个小引子也期望能够为有志于网络安全漏洞研究的朋友,起到抛砖引玉的作用。

以往看书以及资料,对网络安全漏洞的理解其实非常的混乱,没有一个定式。如今天看这本书时,是一种解释,而改天看到另一个资料,则又出现一种解读。所有的知识,似是而非的在脑海中存储着。说不懂吧,知道一些;说懂吧,概念却又模糊。

(0)

相关推荐