总机:020-87516161 传真:020-87516161-8040
地址:广州市天河北路898号信源大厦3206-3211室 邮编:510660
安全公告编号:CNTA-2016-0045
为进一步规范软硬件厂商及信息系统管理方的漏洞响应流程,重点防范党政机关和重要行业单位的漏洞安全风险,整体提高国内用户的漏洞安全响应水平,根据《国家信息安全漏洞共享平台章程》和《中国互联网协会漏洞信息披露和处置自律公约》,CNVD秘书处制定漏洞安全响应指导规范如下:
一、CNVD漏洞处置响应流程
CNVD纳入处置流程的漏洞处置类型分为:事件型漏洞和通用软硬件漏洞。事件型漏洞指由某个单位具体管理的网站系统或业务系统存在的安全漏洞。通用软硬件漏洞指通用框架、组件、应用程序、设备等软硬件产品存在的安全漏洞。
(一)事件型漏洞处置流程
CNVD对漏洞进行核验后将直接通过已有联系渠道或公开联系渠道向网站方通报。各单位也可在CNVD前台注册企业账号,报备联系方式以便后续接收漏洞风险邮件通报。各单位在收到邮件通报的5个工作日内,邮件反馈处置情况。
(二)通用软硬件漏洞处置流程
根据《中国互联网协会漏洞信息披露和处置自律公约》规定的厂商以及漏洞应急组织相关责任和义务,相关流程参考步骤1-步骤3以及附加步骤1、2:
步骤1:CNVD对通用漏洞进行核验后将直接通过已有联系渠道或通过公开联系渠道向产品厂商邮件通报;对于已经注册CNVD企业账号的厂商,将通过网站前台流程下发处置任务并进行邮件提示;
步骤2:厂商在接收到通报后的5个工作日内反馈是否有补丁(含临时解决方案)或是否已经着手应急处置事项;
步骤3:厂商修复漏洞发布补丁或安全公告时,应通过邮件反馈CNVD,或在CNVD网站登录企业账号,通过前台提交方式向CNVD反馈补丁或公告信息。
附加步骤1:对于处置周期,视处置难度和修复情况而定,厂商应及时报备漏洞修复和处置情况;对于有可能造成大规模攻击威胁(如:涉及大量党政机关和重要行业单位用户),CNVD要求厂商采取主动响应原则,依托技术手段和市场渠道主动完成用户产品的防护工作。CNVD也可协助厂商开展全网安全评估和全局应急响应,提供受影响用户列表相关情况。必要时,CNVD将组织专项行动进行漏洞的全网处置。
附加步骤2:对于通用软硬件漏洞处置中不配合的厂商CNVD将采取如下监督措施:CNVD发布安全公告和行业通报、CNVD直接向相关终端和渠道用户通报、CNVD建立漏洞应急自律黑名单并向社会公众发布。
二、CNVD漏洞公开发布策略
CNVD遵循《中国互联网协会漏洞信息披露和处置自律公约》提倡的“客观、适时、适度”三原则,确保漏洞披露和扩散渠道可控可追溯,避免因漏洞信息披露不当和处置不及时而危害到国家安全、企业安全和用户安全。
针对事件型漏洞,CNVD在完成通报流程后通过网站“绵羊墙”功能发布存在漏洞的涉事信息系统或涉事单位名称列表,不公开漏洞细节。针对通用软硬件漏洞,CNVD预设45天公开期,公开信息包括:漏洞名称、漏洞描述、漏洞评分、漏洞影响产品、漏洞参考链接、漏洞补丁链接等;CNVD暂不直接公开具体利用代码或验证代码细节。利用代码和验证代码信息将通过CNVD建设的核心知识库用于业内研究和技术交流。对于需要较长周期完成处置流程的情况,厂商可以申请签署《中国互联网协会漏洞信息披露和处置自律公约》,与CNVD秘书处进行漏洞公开策略协商。
三、CNVD漏洞处置技术要求
(一)安全补丁、安全公告发布要求
厂商在发布补丁时应进行严格的有效性和安全性测试,避免引入新的安全漏洞;对于未能提供补丁的,应提供网络侧或系统侧防护策略,指导用户完成临时防护。厂商发布安全公告时应建立良好的通报告知渠道,除网站、微博等互联网自媒体发布外,应确保安全公告及时送达具体的产品用户。
(二)大规模漏洞风险处置要求
厂商在产品设计和部署的时候应采取灵活的升级防护技术,同时加强市场和销售渠道管理,通过技术手段和管理手段建立详实准确的产品用户列表。
厂商应积极向CNVD报备接收到的产品安全漏洞,同时配合CNVD提出的大规模漏洞风险处置技术要求,向CNVD提供存在漏洞的产品应用识别特征,或漏洞版本验证方法。CNVD积极协助厂商完成用户受影响情况威胁全网普查以及可能已存在的漏洞攻击情况进行全网监测,并向厂商提供用户侧处置协助。