电信和互联网行业网络运营者漏洞管理平台技术要求

1电信和互联网行业网络运营者漏洞管理平台技术要求本文件规定了电信网和互联网行业网络运营者漏洞管理平台的功能要求、接口要求以及安全管理要求。本文件适用于电信网和互联网行业网络运营者漏洞管理平台。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。YD/T3803-2020电信网和互联网资产安全管理平台技术要求3术语和定义GB/T25069-2022界定的以及下列术语和定义适用于本文件。网络运营者networkoperator网络的所有者、管理者和网络服务提供者，包括基础电信企业集团公司、基础电信企业省分公司、基础电信企业专业公司、增值电信企业一二级机构(有关行业关键信息基础设施运营者)等。构成信息系统的软件、硬件、服务等IT和loT类资源的集合，是安全机制保护的对象，例如网络产品、安全产品、物联网设备、办公外设，企业应用、系统软件、支撑系统，详细分类见附录A。通用脆弱性描述，包括漏洞信息、受影响资产类型范围、危险等级、修复建议等内容。具备通用漏洞属性数据，以及关联到资产对象后具体资产实例维度信息的漏洞。接收漏洞信息的过程。对漏洞的存在性、等级、类别、影响程度等进行技术验证的过程。2漏洞预警vulnerabilitywarning将漏洞信息向社会或可能受影响的用户发布预警通知的过程。用于描述网络资产的一组属性信息集合，包括设备类型、设备厂商、系统信息(如操作系统的版本信息、设备类型信息、系统名称、厂商信息等)、端口信息(系统开放的远程端口信息)、服务信ApacheActiveMQ等)、数据库(Mysql、Oracle、SQLServer等)、程序应用框架信息(程序开发或应用所使用的框架，如ApacheStruts、SpringFramework等)、应用软件信息(系统正在运行的应用类软4漏洞管理平台概述行业网络运营者漏洞管理平台是由基础电信企业在内的网络运营者建设，对于企业所掌握的安全漏洞数据、以及监管范围内IP化实体及虚拟资产的潜在漏洞风险提供安全管理。行业网络运营者漏洞管理平台具备行业安全漏洞信息统筹管理、资产漏洞安全监测稽查、行业漏洞信息知识库以及安全事件预警与闭环处置响应等功能，实现行业安全漏洞态势感知、风险预警、协同处置，提升行业安全漏洞管理能力。电信和互联网行业网络运营者漏洞管理平台(以下简称“平台”)实现漏洞全生命周期管理、漏洞信息管理和漏洞可视化管理功能，除此之外，还应具备系统安全管理功能和系统接口。漏洞接收：漏洞接收功能实现对上级平台下发、扫描工具发现、漏洞情报订阅以及组织或个人上报等多渠道漏洞信息及漏洞所关联网络资产信息的收录。漏洞验证：漏洞验证功能实现对漏洞验证任务的管理以及对漏洞存在性、漏洞等级、验证方式受影响网络资产类型和范围等验证结果的跟踪记录。漏洞预警：漏洞预警功能实现对漏洞可能影响的相关部门或人员发布漏洞预警信息。漏洞处置：漏洞处置功能实现对漏洞处置任务的管理和漏洞处置结果的跟踪记录。漏洞复测：漏洞复测功能通过不同角色或方式核实已完成的工单和任务记录。漏洞信息管理：漏洞信息管理功能实现对漏洞信息的全流程、多维度跟踪管理。通过建立企业自身安全漏洞库实现对漏洞全生命周期的跟踪管理、资产指纹关联分析、漏洞信息全文检索以及漏洞数据多维度可视化展现等。系统安全管理：系统安全管理实现安全管理能力，保障平台安全运行系统接口：系统接口实现数据开放共享的能力5平台功能要求5.1漏洞接收5.1.1漏洞接收渠道本项要求包括：a)应支持接收上级监管部门相关平台下发的漏洞信息；b)应支持接收第三方漏洞扫描工具发现的漏洞信息；c)应支持通过漏洞情报订阅等方式定期接收安全厂商、网络产品厂商发布的漏洞信息；3d)应支持接收从事漏洞发现的组织或个人上报的漏洞信息。5.1.2漏洞接收方式本项要求包括：a)应支持通过API接口的方式自动化接收漏洞信息：b)应支持手工录入的方式接收漏洞信息：c)应支持批量导入的方式接收漏洞信息。5.1.3漏洞信息接收规范本项要求包括：a)所接收漏洞信息应包括标识号、漏洞名称、发布时间、发布单位、漏洞类别、漏洞等级以及影响系统等安全漏洞描述项：b)所接收漏洞信息宜包括与漏洞关联的网络资产信息。5.1.4漏洞接收反馈应支持对漏洞报告方进行确认或反馈，可通过短信、邮件、系统短消息、工单等方式中的一种或多种方式。本项要求包括：a)应提供工单功能。或与现有工单系统进行对接。向相关人员、系统下发漏洞验证任务；b)应支持接收相关人员、系统反馈的漏洞验证结果。结果应包括漏洞存在性、漏洞名称、漏洞描述、漏洞等级、验证方式、受影响网络资产类型和范围等。本项要求包括：a)应支持短信，邮件、系统短消息、工单方式中的至少一种预警方式，向网络运营者安全管理部门、相关业务部门或资产责任人发布漏洞预警信息；b)漏洞预警信息包含但不限干：漏洞名称、漏洞描述、漏洞影响范围、漏洞预警响应级别(高、中、低)、漏洞处置建议等c)应根据漏洞情况、资产范围等自定义漏洞预警规则策略。本项要求包括：a)应提供工单功能，或与现有工单系统进行对接，向相关人员、系统下发漏洞处置任务；b)漏洞处置参数应包含但不限于：漏洞名称、漏洞描述、漏洞等级、受影响网络资产范围、处置优先级、处置期限、处置建议；c)应支持根据漏洞等级、类别、影响范围等自定义漏洞处置期限；d)应支持接收相关人员、系统反馈的漏洞处置结果；——对于完成处置的漏洞，漏洞处置结果信息应包括漏洞名称、修复网络资产范围、漏洞处置措施(升级补丁、更改配置、系统下线等)、处置相关日志记录、处置效果验证报告(由业务和安全管理部门签字盖章)等；——对于无法处置的漏洞，应反馈理由，并支持相关负责人进行审批：56.2接口格式要求本项要求包括：a)接口技术应支持包括不限于WEBSERVICE、REST技术；b)接口内容格式应支持包括不限于JSON、XML格式。本项要求包括：a)应支持接口认证功能，对接口的连接进行有效性验证：b)应支持接口加密传送信息，对接口内容进行安全保护：c)应通过专线或其他安全通道传送信息。7安全管理要求7.1用户标识7.1.1属性定义系统应为每个管理员规定与之相关的安全属性，包括：管理角色标识、鉴别信息、隶属组、权限7.1.2属性初始化系统应提供使用默认值对创建的每个管理角色的属性进行初始化的能力。7.1.3唯一性标识系统应保证任何用户都具备唯一的标识，用户标识与产品自身审计相关联，并在产品的生命周期内唯一。7.2.1鉴别数据初始化系统应根据规定的鉴别机制，提供授权管理员鉴别数据的初始化功能，并确保仅允许授权管理员使用这些功能。7.2.2鉴别失败处理本项要求包括：a)当管理员鉴别尝试失败连续达到指定次数后，系统应阻止管理员进一步的鉴别请求，并将有关信息生成审计事件。最多失败次数仅由授权管理员设定：b)系统连续多次鉴别失败，系统应支持并根据配置的锁定策略，对当前操作IP锁定，并提供解锁功能。7.3.1审计数据生成系统应对下列可审计事件生成一个审计记录：7(资料性)资产大类包括主要硬件、安全系统、基础软件、应用软件四类。资产二级分类包括网络产品、安全产品、电信设备、物联网设备、办公外设、基础软件、应用软件七类。具体详见表A.1。表A1资产大类分类表主要硬件(01)网络产品(01)安全系统(02)安全产品(02)网络隔离和单向导入产品网络接入控制(NAC)终端防护/防病毒产品数据防泄露系统(DLP)身份认证与权限管理产品(LAM)安全信息和事件管理(SIEM)安全运营中心(SOC)安全编排与自动化响应(SOAR)主要硬件(01)电信设备(03)(U)SIM卡/eS