220829-漏洞管理相关的法律法规和国家标准

一、法律法规要求

2017年6月1日 中华人民共和国网络安全法

2017年6月1日实行的《网络安全法》对甲方运营者提出了以下要求：

1. 事件处置：省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施，进行整改，消除隐患。
2. 网络产品、服务的提供者不得设置恶意程序，发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。
3. 网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞。

2021年9月1日 网络产品安全漏洞管理规定

2021年9月1日实行的《网络产品安全漏洞管理规定》中对甲方运营者提出了以下要求：

1. 漏洞预警接收：网络运营者应当建立健全网络产品安全漏洞信息接受渠道并保持畅通。
2. 漏洞信息留存：网络运营者应当留存网络产品安全漏洞信息接收日志不少于6个月。
3. 漏洞及时修补：网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后，应当立即采取措施，及时对安全漏洞进行验证并完成修补。网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的，由有关主管部门依法处理。构成《中华人民共和国网络安全法》第六十二条规定情形的，依照该规定予以处罚。

二、国家标准

《信息安全技术 信息安全漏洞管理规范》（GB/T 30276-2020）

在这份文件中，从流程、要求、证实方法的角度对漏洞管理各个阶段进行了介绍。

1. 漏洞发现和报告：
   从发现的角色来看，漏洞发现可以是甲方固定周期自行发现，也可以是接收外部的漏洞预警来做发现。
   从发现的手段来看，可以通过人工的方式或者自动的方法来对漏洞进行探测和分析。人工的方式如渗透测试；自动的方式如借助漏扫工具（如HIDS、Nessus）来完成。
   发现漏洞之后，由漏洞报告者将漏洞信息向漏洞接收者报告。
2. 漏洞接收
   甲方通过相应途径接收漏洞信息。甲方接收到漏洞报告之后，应及时给予漏洞报告者确认或反馈。不应以产品或服务已经终止维护为由，拒绝接收漏洞报告。
3. 漏洞验证
   漏洞验证是对漏洞的存在性、等级、类别等进行技术验证的过程。我理解漏洞验证其实是一个漏洞分析研判的过程。做技术验证其实是比较薄弱的一点。
   在漏洞验证过程中如果发生以下情况，可以终止后续的漏洞管理阶段：
   （1）重复漏洞，这个漏洞是个已重复、已解决或者已修复的漏洞；
   （2）无法验证漏洞：这个漏洞是提供者、网络运营者、漏洞收录组织等无法验证的漏洞。
   （3）无危害漏洞：这个漏洞是一个无安全影响，或无法被现有技术利用的漏洞。
4. 漏洞处置
   对已确认的漏洞，在考虑漏洞严重程度、受影响用户的范围、被利用的潜在影响等因素的基础上，立即进行漏洞修复，或者制定漏洞修复或防范措施。
   在发布补丁和升级版本前应该进行充分严格的有效性和安全性的测试，避免补丁衍生出来的应用功能和安全缺陷。对于不能通过补丁或版本升级解决的漏洞风险，应提出有效的临时处置建议。
5. 漏洞发布
   甲方运营者不涉及到这部分。这块主要是乙方可以将漏洞信息向外部提供。
   在漏洞未修复或者尚未制定漏洞修复或防范措施前，不应发布漏洞信息。
6. 漏洞跟踪
   对漏洞做全生命周期的闭环跟踪，满足一定要求之后可以认为漏洞生命周期完成了。

《网络安全漏洞分类分级指南》（GB/T 30279-2020）

这份文件中，针对漏洞如何做分类，如何做分级给出参考建议。
漏洞分类的根本准则是根据漏洞产生或者触发的技术原因来做分类。这个文件做了一个树节点。

1. 代码问题：因为代码开发过程中因设计或者实现不当而导致的漏洞。
   1. 输入验证错误：缓冲区错误、注入问题等
   2. 授权问题：信任管理问题、权限许可和访问控制问题等
2. 配置错误：此类漏洞指网络产品和服务或组件在使用过程中，因配置文件、配置参数或因默认不安全的配置状态而产生的漏洞。
3. 环境问题：此类漏洞指因受影响组件部署运行环境的原因导致的安全问题。
   1. 信息泄露：日志信息泄露、调试信息泄露、侧信道信息泄露
   2. 故障注入：
4. 其他：暂时无法将漏洞归入上述任何类别。
   看起来还是挺准确的。
   

分级：
漏洞分级分为两种，一种是技术等级，一种是综合等级。技术等级从技术角度对漏洞危害等级进行划分。综合等级则反映了在特定时期特定环境下的漏洞危害程度，用于在特定场景下对漏洞危害等级进行划分，主要针对用户对产品或系统在特定网络环境中的漏洞评估工作。

分级过程：有分级指标、分级方法。
分级指标有：
一、被利用性：
（1）访问路径：远程、邻接、本地、物理触发
（2）触发要求：低=漏洞触发对受影响组件的配置参数、运行环境、版本无特别的要求，默认的配置参数、普遍的运行环境就可以触发。高=漏洞触发对受影响组件的配置参数、运行环境等有特别要求，包括：不常用的参数配置、特殊的运行环境。
（3）权限需求：无=触发漏洞不需要特殊的权限，只需要公开权限等；低=触发漏洞需要较低的权限，需要普通用户权限即可。高=漏洞触发需要较高的权限，需要管理员权限。
（4）交互条件：不需要=漏洞触发无需用户或者系统的参与与配合。需要=漏洞触发需要用户或系统的参与或配合。
二、影响程度：
（1）保密性影响
（2）完整性影响
（3）可用性影响
三、环境因素：
（1）被利用成本
（2）修复难度
（3）影响范围

技术评分只考虑被利用性和影响程度。综合评分在技术评分的基础上，增加了对环境因素的考虑。

《网络安全漏洞标识与描述规范》(GB/T 28458-2020)

对漏洞的标识和描述信息进行了说明。

参考链接

1. http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=7EF97931115A518655DCD136653CBD74
2. https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=458BACCE700CA8E0B728CFB5F762DE7A
3. https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=B502AB26F48381AD94C8CE37281F3C8B