ICS35.030 CCS L 70 YD 中华人民共和国通信行业标准 XX XXXXX-XXXX 电信和互联网行业网络运营者 漏洞管理平台技术要求 Technical requirements for tele and Internet industry network operator vulnerability management platform 行业标准信息服务平台 (报批稿) XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
XxX xxxxX-xxXX 目次 前 言 I 1范围 2规范性引用文件 3术语和定义... 4漏洞管理平台概述 5 平台功能要求 5.1漏洞接收, 5.1.1漏洞接收渠道 5.1.2漏洞接收方式 5.1.3漏洞信息接收规范 3 5.1.4漏洞接收 5.2漏洞验证 5.3漏洞预警 5.4漏洞处置 5.5漏洞复测 5.6漏洞信息管理 6平台接口要求 6.1数据共享要求 6.2接口格式要求 6.3接口安全要求 5 7安全管理要求 5 7.1用户标识... 7.1.1属性定义 7.1.2属性初始化 7.1.3唯一性标识 7.2身份鉴别... 5 7.2.1鉴别数据初始化 7.2.2鉴别失败处理 7.3安全审计.... 7.3.1审计数据生成 7.3.2审计记录管理 7.4数据安全.... 附录A(资料性)网络资产分类 参考文献...
XXxxxxX-xxXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:中国信息通信研究院,中国电信集团有限公司、中国移动通信集团有限公司、 中国联合网络通信集团有限公司.
本文件主要起草人:孟楠、戴方芳、石悦、杨刚、董航、张峰、徐一、呼博文、王井龙、徐积森、 陈盼盼.
行业标准信息服务平台 II
XXxxxxX-xxXX 行业标准信息服务平台 II1
xX xxxxX-xxXx 电信和互联网行业网络运营者漏洞管理平台技术要求 1范围 本文件规定了电信网和互联网行业网络运营者漏润管理平台的功能要求、接口要求以及安全管理 要求.
本文件适用于电信网和互联网行业网络运营者漏润管理平台.
2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.
其中,注日期的引用文 件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适 用于本文件.
GB/T25069-2022信息安全技术术语 YD/T3803-2020电信网和互联网资产安全管理平台技术要求 3术语和定义 GB/T25069-2022界定的以及下列术语和定义适用于本文件.
3. 1 网络运营者network operator 网络的者、管理者和网络服务提供者,包括基础电信企业集团公司、基础电信企业省分公司、 基础电信企业专业公司、增值电信企业一二级机构(有关行业关键信息基础设施运营者)等.
3. 2 网络资产networkasset 构成信息系统的软件、硬件、服务等IT和loT类资源的集合,是安全机制保护的对象,例如网络 产品、安全产品、物联网设备、办公外设,企业应用、系统软件、支撑系统,详细分类见附录A.
3. 3 产品漏洞monvulnerability 通用脆弱性描述,包括漏洞信息、受影响资产类型范围、危险等级、修复建议等内容.
3. 4 系统漏洞instance vulnerability 具备通用漏洞属性数据,以及关联到资产对象后具体资产实例维度信息的漏洞.
3.5 漏洞接收vulnerabilityreception 接收漏洞信息的过程.
3. 6 漏洞验证vulnerability verification 对漏洞的存在性、等级、类别、影响程度等进行技术验证的过程.