双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

CNVD原創(chuàng)漏洞審核和處理流程

2016-09-23 14:52:16

安全公告編號:CNTA-2016-0043

為提高CNVD網(wǎng)站前臺漏洞審核工作效率,進一步規(guī)范原創(chuàng)漏洞的審核歸檔、驗證處置、評分認證等流程,現(xiàn)發(fā)布CNVD前臺上報原創(chuàng)漏洞審核和處理流程:

一、CNVD原創(chuàng)漏洞審核歸檔和發(fā)布主流程

(一)審核和歸檔流程

審核流程分為一級、二級、三級審核,其中一級審核主要對提交的漏洞信息完整性進行審核,漏洞符合可驗證(通用型漏洞有驗證代碼信息或多個互聯(lián)網(wǎng)實例、事件型漏洞有驗證過程和相關(guān)截圖)、描述準(zhǔn)確(不存在虛假信息)即可通過一級審核;二級審核為CNVD對漏洞的信息整理,對于漏洞標(biāo)題以及描述情況進行初步核對整理;三級審核為CNVD對漏洞進行有效性和原創(chuàng)性核驗的環(huán)節(jié),有效性核驗即復(fù)現(xiàn)漏洞相關(guān)情況或在不具備復(fù)現(xiàn)環(huán)境的情況下轉(zhuǎn)交對口廠商復(fù)現(xiàn),原創(chuàng)性核驗則是CNVD根據(jù)已收錄漏洞信息及互聯(lián)網(wǎng)已公開漏洞信息進行查重比對。

通過上述三級審核之后,確認漏洞存在且認定具備原創(chuàng)性則進行CNVD歸檔。在歸檔環(huán)節(jié),CNVD秘書處主要進行漏洞的中文規(guī)范化收錄整理以及對漏洞危害進行評價(CNVD采用CVSS2.0評價標(biāo)準(zhǔn))。

時限要求:對于事件型漏洞,到歸檔時間一般不超過2個工作日。對于通用軟硬件漏洞,到歸檔時間一般不超過5個工作日。對于一些無法具備復(fù)現(xiàn)條件需要由廠商確認的,以廠商反饋時間為準(zhǔn),在廠商未反饋或拒絕反饋之前,CNVD秘書處也將自行開展評估工作,加快歸檔流程。

(二)發(fā)布流程

目前,CNVD暫不發(fā)布事件型漏洞信息,僅通過CNVD網(wǎng)站首頁“綿羊墻”功能對已經(jīng)完成通報處置流程的涉事單位系統(tǒng)或軟硬件產(chǎn)品進行公示。對于通用軟硬件漏洞,CNVD遵循處置后發(fā)布原則(與廠商補丁發(fā)布時間同步)或未反饋情況下默認45天后發(fā)布描述信息(暫不公開利用代碼信息)。另外,根據(jù)CNVD參與簽署的《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置自律公約》,對于需要較長周期的漏洞處置工作,涉事廠商可與CNVD秘書處協(xié)商漏洞發(fā)布時間。

二、CNVD原創(chuàng)漏洞驗證和處置支線流程

(一)事件型漏洞驗證和處置流程

CNVD以可復(fù)現(xiàn)為基準(zhǔn),同時在復(fù)現(xiàn)過程中恪守國家法律和有關(guān)部門規(guī)定,不執(zhí)行可能對信息系統(tǒng)機密性、可用性、完整性造成破壞性的驗證操作。CNVD依托國家上級信息安全協(xié)調(diào)機構(gòu)、CNCERT國家中心、CNCERT各分中心的處置協(xié)作渠道,積極協(xié)調(diào)通報涉及黨政機關(guān)、重要行業(yè)單位以及企事業(yè)單位的漏洞風(fēng)險。

時限要求:事件型漏洞驗證不超過1個工作日,通報到涉事單位時間不超過3個工作日。

(二)通用軟硬件漏洞驗證和處置流程

對于通用軟硬件漏洞的驗證和處置CNVD主要根據(jù)《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置自律公約》規(guī)定的廠商以及漏洞應(yīng)急組織相關(guān)責(zé)任和義務(wù),強調(diào)廠商的主動響應(yīng)以及漏洞庫組織(CNVD)的技術(shù)協(xié)助。CNVD對通用漏洞進行核驗后將直接通過已有聯(lián)系渠道或公開聯(lián)系渠道向產(chǎn)品廠商通報,并要求其在5個工作日內(nèi)反饋是否有補丁(含臨時解決方案)或是否已經(jīng)著手應(yīng)急處置事項。

對于有可能造成大規(guī)模攻擊威脅(如:涉及大量黨政機關(guān)和重要行業(yè)單位用戶),CNVD要求廠商采取主動響應(yīng)原則,依托技術(shù)手段和市場渠道主動完成用戶的防護工作。同時,CNVD也可協(xié)助廠商開展全網(wǎng)安全評估和全局應(yīng)急響應(yīng),提供受影響用戶列表相關(guān)情況。必要時,CNVD將組織專項行動進行漏洞的全網(wǎng)處置。

時限要求:通用型漏洞驗證取決于復(fù)現(xiàn)條件,通報到廠商時間不超過5個工作日。對于處置周期,視處置難度和修復(fù)情況而定。

三、CNVD原創(chuàng)漏洞證書和獎金積分支線流程

對于通過CNVD歸檔的原創(chuàng)漏洞,CNVD將對漏洞進行原創(chuàng)漏洞獎金積分評分。積分評定具體參見《CNVD原創(chuàng)漏洞積分評分細則》。

時限要求:在漏洞歸檔后1個工作日內(nèi)。

對于中危及中危以上通用型漏洞(CVSS2.0基準(zhǔn)評分超過4.0分),以及涉及黨政機關(guān)、重要行業(yè)單位、科研院所、重要企事業(yè)單位(如:中央國有大型企業(yè)、部委直屬事業(yè)單位等)的高危事件型漏洞(后續(xù)對事件型漏洞證明頒發(fā)標(biāo)準(zhǔn)將參考中央網(wǎng)信辦頒布的關(guān)鍵基礎(chǔ)設(shè)施相關(guān)定義和分類),CNVD將給予原創(chuàng)漏洞證明(即CNVD漏洞證書,電子版),該證明可通過編號在CNVD官方網(wǎng)站進行查詢跟蹤。

時限要求:按周對上一周歸檔漏洞且滿足證書頒發(fā)條件的進行批量制作。

附:流程圖