《信息安全技术 信息安全漏洞管理规范》编制说明

《信息安全技术信息安全漏洞管理规范》

（送审稿）编制说明

一、任务来源

2010年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会

讨论通过，研究制定《信息安全技术信息安全漏洞管理规范》国家标准,国标计划号：

20110388-T-469。该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术

委员会归口，由中国信息安全测评中心负责主办。

二、编制目标

《信息安全技术信息安全漏洞管理规范》通过对信息安全漏洞的发现、验证、修复和

发布等环节进行研究，探讨用户、厂商以及漏洞管理组织在处理漏洞过程中所应遵循的原则、

采取的措施、应尽的责任和义务，通过建立有效的漏洞处置机制，使得因漏洞带来的损失减

少到最低，有效提高我国的信息安全保障水平。

三、国内外信息安全漏洞管理情况

3.1国际现状

（1）目前国外主要的信息安全漏洞管理方面的标准：

1）漏洞和补丁管理方案（SP800-40v2）

2）ISO/IEC27001信息技术安全技术信息安全管理系统-要求

3）ISO/IEC27034信息技术安全技术应用安全

4）ISO/IEC28001供应链安全管理体系实施、评估和规划供应链安全的最佳实践-要

求和指南

5）ISO/IEC17799信息安全管理实践指南

6）ISO/IEC29147信息技术安全技术漏洞披露

7）ISO/IEC30111信息技术安全技术漏洞处理过程

（2）漏洞处理组织或厂商及其主要管理措施：

1）CVE通用漏洞和暴露。

CVE在漏洞管理方面已获得世界各国的认可，CVE编号已成为漏洞的通用标识，被广泛

引用。CVE的编辑部决定哪些漏洞和暴露要包含进CVE，编辑部（EditorialBoard）成员

包括了各类信息安全的组织，包括：商业安全工具厂商，学术界，研究机构，政府机构和业

界知名的安全专家。通过开放和合作式的讨论，确定每个条目的公共名称和描述。编辑部会

议和讨论的内容会保存在网站中。

CVE的漏洞处理过程主要包括收集、编号、提案、修改、中间决策、最终决策、正式发

布、再次评估和撤销。CVE为每个漏洞确定唯一的名称和标准化描述。

2）NVD（NationalVulnerabilityDatabase）

美国国家漏洞库NVD由美国国家标准与技术委员会中的计算机安全资源中心创建，是

美国政府基于标准的漏洞管理数据资源库，这些数据使用SCAP（SecurityContent

AutomationProtocol）表示，这些数据实现了自动化漏洞管理、度量，以及安全策略符合

性评估。

1

NVD严格采用《通用漏洞披露》CVE（CommonVulnerabilityandExposures）的命名标

准，即所有的漏洞都有CVE编号；漏洞评级遵照《通用漏洞评估系统》CVSS（Common

VulnerabilityScoringSystem）进行危害性评估；受影响的系统和软件使用《通用平台列

举》CPE（CommonPlatformEnumeration）规范的语言进行描述；漏洞分类则按照《通用缺

陷列举》CWE（CommonWeaknessEnumeration）进行划分。

3）微软公司漏洞处理措施

微软公司成立可信赖计算中心负责微软的产品安全，其主要职责是1）开发高质量的安

全更新；2）利用基于社区的防御，通过行业的力量（通过合作伙伴、公共组织、客户和安

全研究人员）来减少漏洞攻击；3）利用全面的安全响应流程，最大限度地减少业务中断。

微软公司通过安全响应中心及时对外发布最新漏洞的机理分析、处理方法以及临时的解

决方案，及时处理由于微软产品而导致的各类安全事件，使安全问题得到及时沟通和有效处

置。

微软公司通过严格实行安全开发生命周期以保证产品的安全，通过利用DEP、SHE等安

全及时有效提高产品的安全防护水平，有效防范软件漏洞的恶意利用。

（3）学术界在漏洞的披露、漏洞处置策略和漏洞管理方面进行广泛深入研究，发表了

多篇有价值的论文。

3.2国内现状

国内在信息安全漏洞管理方面处于发展阶段，目前国内已建立了第三方漏洞库和厂商依

托于自身业务的漏洞库，已建立了漏洞的收集与处置机制，对我国信息技术产品的漏洞发现、

验证和修复起到了积极的推动作用。

表1国内主要安全漏洞库情况介绍

漏洞库运营单位介绍备注

已建立漏洞的收集、验证、修复、发布等

漏洞处置与管理规范，通过

中国国家信息安全中国信息安全测评

网站对外发布漏洞及修

漏洞库中心

复措施。其漏洞主要涵盖CVE、Bugtraq

和公开收集漏洞。

通过漏洞共享平台收集和处置漏洞信息，

国家互联网应急中

国家信息安全漏洞通过网站对外发布漏洞

心和国家信息技术

共享平台及修复措施。其漏洞主要涵盖CVE、

安全研究中心

Bugtraq和公开收集漏洞。

入侵防范中心安全国家计算机网络入通过国家计算机网络入侵防范中心网站

漏洞库侵防范中心发布漏洞信息。

通过发布漏洞信息，具有良好的

Sebug漏洞库信息安全爱好者

漏洞分类、产品分类信息。

主要公开收集和处置Web类漏洞，已与国

乌云漏洞库信息安全爱好者内146家厂商或组织建立了合作关系，协

调漏洞的收集与修复。

中联绿盟信息技术在国内最早建立的漏洞库，长期跟踪国际

绿盟科技漏洞库

（北京）有限公司知名漏洞库CVE、Bugtraq和Secunia。

2

北京启明星辰信息长期跟踪国际知名漏洞库CVE、Bugtraq

启明星辰漏洞库

技术有限公司和Secunia。

从表1可以看出，我国现在已经建立了漏洞处置的渠道，但是目前信息技术厂商、漏洞

发现者、信息安全厂商和用户之间相互协调、参与漏洞的发现、消除的积极程度并不高，尚

未形成统一的管理规范，使得我国大部分信息技术产品的漏洞并未得到及时有效的发现、修

复和发布，长此以往不利于提高我国信息技术产品的安全水平。

3.3比较

与信息安全漏洞管理规范有关的国际标准有ISO/IEC29147、ISO/IEC30111等。

在ISO/IEC29147中定义的漏洞利益相关者包括用户、厂商、漏洞发现者、协调员和漏

洞，详细阐述了厂商在漏洞披露过程中应做的工作，对厂商来说ISO/IEC29147有较强的可

操作性。在ISO/IEC29147中厂商是整个漏洞披露过程的核心，漏洞的披露可以通过通过协

调员来完成，也可以由厂商直接完成。

ISO/IEC30111主要针对漏洞收集的过程进行详细描述，主要包括报告接收、验证、开

发解决方案和发布漏洞及解决方案。介绍了厂商在处理漏洞时各相关部门的职责要求及相关

协作。

本标准根据漏洞生命周期，将漏洞管理行为对应为预防、收集、消减和发布等实施活动，

将漏洞管理活动的参与者定为厂商、漏洞管理组织、用户和漏洞发现者。在每个实施活动中

对每个角色规定了相应的原则及操作。总体来说，信息安全漏洞管理规范概括全面，对于漏

洞披露中的各个角色具有指导意义。

四、编制原则

信息安全漏洞管理的目的是通过建立信息安全漏洞的处置机制，使得漏洞发现者、用户、

信息技术厂商、信息安全厂商和漏洞管理组织之间能够相互协调，通过履行自身的职责和义

务，遵循一定的管理规范，使我国信息技术产品的漏洞能够得到有效处置，有效降低由信息

安全漏洞所带来的损失。信息安全漏洞管理需要各个环节的参与者遵循一定的规范要求，切

实发挥自身的作用，参与到信息安全漏洞的处理过程，因此在制定信息安全漏洞管理规范时

应遵循以下原则：

a)一致性：所用术语与已有的安全术语保持一致；

b)开放性：必须是免费可利用可采纳的，对任何人都开放使用。一个封闭的标准将不

会被广泛地实施，并且将不会幸存；

c)广泛性：信息安全漏洞的管理应当适应漏洞处理所涉及的各个环节以及各个环节的

参与者的自身差异。

d)简易性：必须能够简单直接地理解、实现和使用；

e)客观性：要素的属性值必须是从已知对象中获得，并且能明确地观测到；

f)可理解性：各要素易于被安全知识和安全经验不足的用户和管理员理解；

g)可接受性：评级科学、合理、准确，能够被行业广泛接受。

五、编制依据

在标准编制过程中，标准研制组研究分析了国际主流的漏洞管理组织、厂商、国际标准

组织在漏洞管理方面的处理策略、已形成的惯例、以及相应的标准规范等。主要参考如下：

1）借鉴了PDCA（PlanDoCheckAct）通用管理模型，对信息安全漏洞管理的内容进

行组织。

3

2）建立漏洞管理生命周期，管理活动是对整个漏洞生命周期的管理，保证漏洞的每个

阶段都得到有效处置。

3）借鉴ISO/IEC29147中漏洞发现者、厂商、协调者在处理漏洞时的相关策略。

4）借鉴了CVE、微软公司、思科公司在处理漏洞、开发修复补丁时已形成的惯例。

5）借鉴了中国国家信息安全漏洞库（CNNVD）在漏洞处置时的具体处理策略。

六、主要工作过程

《信息技术信息安全漏洞管理规范》制定过程包括前期的预研、标准立项、草案拟定、

征求意见、专家评审、修改草案等过程。其中“评审-修改”过程为反复执行过程，如图1

所示。

图1工作过程流程图

6.1标准立项

2009年12月，《信息安全技术信息安全漏洞管理规范》被全国信息安全标准化技术委

员会正式立项，定性为国家推荐性标准。

中国信息安全测评中心成立标准编制组，并于2010年3月召开第一次课题组会议，明

确标准研制目标并制定标准编制计划。

6.2草案第一版

2009年12月-2010年12月，课题组研究、分析信息安全漏洞管理方面的国内外标准，

包括NISTSP80040、ISO/IEC27001、ISO/IEC27034、ISO/IEC17799等；调查分析包括CVE

（通用漏洞和暴露）、Secunia（丹麦安全公司）、美国国家漏洞库NVD等在内的权威漏洞库

在处理漏洞方面的政策和方法；调研微软公司在漏洞收集、响应、修复等方面的做法；研究

其在漏洞处置过程中的一贯做法、处理策略、流程和规范，编制标准草案。标准大纲包括：

1范围

2规范性引用文件

3定义

4概述

5信息安全漏洞管理策略制定原则

6信息安全漏洞报告要求

7信息安全漏洞验证要求

8信息安全漏洞处理要求

9信息安全漏洞发布要求

10附录

在信息安全漏洞管理规范中，主要介绍了信息安全管理策略制定原则，包括社会利益最

4

大化原则、信息准确性原则、适当激励原则、信息集中原则和信息接收原则；对信息安全漏

洞报告、信息安全漏洞验证和信息安全漏洞处理分别提出要求，用以规范漏洞处理各个环节

中参与者的行为。

6.3专家评审

2011年6月15日，举行信息安全漏洞管理规范专家评审会，与会专家针对《信息安全

漏洞管理规范（草案第一版）》提出修改建议。专家建议及修改方案，请参看【信息安全漏

洞管理规范-专家意见汇总表及处理意见-2011.6.15】

6.4草案第二版

2011年6月21日，课题组召开标准研制讨论会，讨论专家评审意见修改事宜。课题组

全体成员仔细阅读标准文稿，针对专家的每一条建议对其加以修改：

针对什么是管理，管理的主客体，管理的要素，管理的环境等问题，在概述中添加

了4.2节“信息安全漏洞管理的主客体”，根据信息安全漏洞管理涉及的各个主客

体、环境和由这些要素组成的体系进行建模并进行图解，阐述漏洞管理。

针对专家提出的首先要明确什么是管理，管理处于什么位置以及管理没有形成完整

的体系等问题，引入信息安全漏洞体系模型，将参与漏洞处理的角色分为发现者、

漏洞利用者、受影响用户、安全厂商、漏洞发布者、漏洞修复者和漏洞收购者。

将“社会效益最大化”和“信息准确性”从“信息安全漏洞管理策略制定原则”中

提取出来，划分为新的段落“信息安全漏洞管理目标”，将这两点认定为管理的目

标而不是管理策略制定原则。

添加4.1节“信息安全漏洞的定义与现状”，加入部分文字描述当前的安全形势和

漏洞管理的重要性和紧迫性，明确漏洞是一种特殊资源，对其的管理与其他管理的

不同。

根据以上修改形成《信息安全漏洞管理规范（草案第二版）》，其中信息安全漏洞管理体

系模型，如下图所示：

图1信息安全漏洞管理体系模型

5

6.5专家评审

2011年7月20日，举行信息安全漏洞管理规范专家评审会，与会专家针对《信息安全

漏洞管理规范（草案第二版）》提出修改建议。专家建议及修改方案，请参看【信息安全漏

洞管理规范-专家意见汇总表及处理意见-2011.7.20】

6.6草案第三版

2011年8月2日，课题组召开标准研制讨论会，讨论专家评审意见修改事宜。课题组

全体成员仔细阅读标准文稿，针对专家的每一条建议对其加以修改：

简化漏洞生态模型。

确立漏洞管理阶段与漏洞生命周期之间的关联。

将PDCA引入信息安全漏洞管理规范。

将信息安全漏洞管理在规划环节分为漏洞信息管理方案、漏洞收集策略、漏洞初审

策略、漏洞复审策略、漏洞发布框架和漏洞管理组织的建立，并对具体内容进行详

细描述。

将信息安全漏洞管理在实施阶段分为漏洞的审查、漏洞入库、漏洞的修补、漏洞及

其修复措施的发布和漏洞库的维护，并对具体内容进行描述。

6.7专家评审

2011年9月14日，举行信息安全漏洞管理规范专家评审会，与会专家针对《信息安全

漏洞管理规范（草案第三版）》提出修改建议。专家建议及修改方案，请参看【信息安全漏

洞管理规范-专家意见汇总表及处理意见-2011.9.14】

6.8草案第四版

2011年10月10日，课题组召开标准研制讨论会，讨论专家评审意见修改事宜。课题

组全体成员仔细阅读标准文稿，针对专家的每一条建议对其加以修改：

将漏洞管理分为用户、厂商和漏洞管理组织三个角色。

在漏洞生命周期中分别明确用户、厂商和漏洞管理组织的行为规范和要求。

去除不必要的文字描述，简化描述语言。

明确厂商的责任和义务，在获知漏洞信息时积极处置。

确定用户、厂商和漏洞管理组织在漏洞处理中的角色和作用，如图2所示：

图2信息安全漏洞处理示意图

6

6.9专家评审

2012年3月1日，举行信息安全漏洞管理规范专家评审会，与会专家针对《信息安全

漏洞管理规范（草案第四版）》提出修改建议。专家建议及修改方案，请参看【信息安全漏

洞管理规范-专家意见汇总表及处理意见-2012.3.1】

6.10草案第五版

2012年3月9日，课题组召开标准研制讨论会，讨论专家评审意见修改事宜。课题组

全体成员仔细阅读标准文稿，针对专家的每一条建议对其加以修改：

增加漏洞发现者，在标准定义中增加对风险的定义

调整了阐述角度，以漏洞生命周期以及对应的管理活动作为整个标准的主线

进一步明确漏洞管理活动中参与者的责任与分工

针对漏洞生命周期做了进一步修订

危害等级较高的漏洞，提出更高要求

重新调整PDCA的划分，以及漏洞生命周期的划分

建立了漏洞生命周期与漏洞管理活动之间的对应关系，如图3所示：

图3漏洞生命周期和管理活动对应关系

6.11专家评审

2012年7月25日，安标委组织举行《信息安全漏洞管理规范》草案审查会，与会专家

针对《信息安全漏洞管理规范（草案第五版）》提出修改建议。专家建议及修改方案，请参

看【信息安全漏洞管理规范-专家意见汇总表及处理意见-2012.7.25】

6.12征求意见稿

2012年7月26日，课题组召开标准研制讨论会，讨论专家评审意见修改事宜。课题组

全体成员仔细阅读标准文稿，针对专家的每一条建议对其加以修改：

7

在漏洞管理组织中加入了国家信息安全主管部门。

在规划（P）阶段对漏洞管理活动进行了逐个介绍。

增加用户、厂商、漏洞发现者和漏洞管理组织的定义。

在漏洞管理实施中增加国家信息安全主管部门的协调作用。

修改相应的标准格式问题。

6.13专家评审

2013年1月6日，安标委组织举行《信息安全漏洞管理规范》草案审查会，与会专家

针对《信息安全漏洞管理规范（征求意见稿）》提出修改建议。专家建议及修改方案，请参

看【信息安全漏洞管理规范-专家意见汇总表及处理意见-2013.1.6】

6.14送审稿

2013年1月6日，课题组于应物会议中心参加安标委组织的标准讨论会，讨论专家评

审意见修改事宜。课题组全体成员仔细阅读标准文稿，针对专家的每一条建议对其加以修改，

并形成送审稿。

6.15报批