信息安全技术 信息安全漏洞管理规范 GBT 30276-2013.pdf

GB/T30276-20135.3实施5.3.1概述在漏洞管理活动中，漏洞发现者、厂商、漏洞管理组织和用户应规范自身的行为，国家信息安全主管部门应在漏洞发现者、厂商和用户之间发挥协调者的作用，在漏洞处理过程中维护公平、公开、公正原则、及时处理原则和安全风险最小化原则，保障被发现的漏洞得到有效处置。5.3.2漏洞的预防5.3.2.1厂商厂商应尽可能地采用安全开发生命周期，在需求、设计、实现、配置、运行等阶段采取风险分析、代码审查、渗透测试等手段，提高产品安全性。5.3.2.2用户用户应对使用的计算机系统进行安全加固（如及时安装升级补丁、关闭不必要的服务等），安装安全防护产品和开启相应的安全配置，5.3.3漏洞的收集5.3.3.1漏洞管理组织漏洞管理组织应与漏洞发现者、用户、厂商等漏洞管理中涉及的各方进行沟通与协调，广泛收集并及时处置宿洞，具体活动包括：)漏洞收集：漏洞管理组织应建立和维护公开的漏洞收集渠道。针对收集到的漏洞信息，应及时进行处置。b)漏洞验证：漏洞管理组织应负责联合厂商在规定时间内（见A1)验证收集到漏洞是否已公布，漏洞是否真实存在，确定漏洞的危害等级，并依据GB/T28458一2012确定漏洞的标识和描述。)漏洞通报：漏洞管理组织应将漏洞信息及时通知厂商（见A.3),危害等级高的漏洞优先处理，以降低因蒲洞引起的安全威胁。5.3.3.2厂商厂商应提供接收漏洞信息的渠道，例如，网站、邮件或电话等。厂商应对漏洞发现者或漏洞管理组织报告的漏洞在规定时间（见A1)内确认其是否真实存在，并回复报告方。5.3.3.3漏洞发现者漏洞发现者在发现漏洞的第一时间应向该漏洞的受影响厂商或漏洞管理组织报告漏洞详情。5.3.4漏洞的消减5.3.4.1厂商厂商应遵循及时处理原则，依据厂商对漏洞的消诚处理策略（见A.2),对发现的漏洞在规定时间(见A1)内进行修复，依据漏洞的危害等级，优先开发高危漏洞的修复措施。厂商应保证补丁的有效性和安全性，并进行兼容性测试，避免因更新补丁而对产品或系统带来彩响