篮球体育生被捆绑玩弄j,中文精品无码中文字幕无码专区,久久久久亚洲AV片无码下载蜜桃,日韩去日本高清在线

安全公告編號(hào):CNTA-2016-0043

為提高CNVD網(wǎng)站前臺(tái)漏洞審核工作效率，進(jìn)一步規(guī)范原創(chuàng)漏洞的審核歸檔、驗(yàn)證處置、評(píng)分認(rèn)證等流程，現(xiàn)發(fā)布CNVD前臺(tái)上報(bào)原創(chuàng)漏洞審核和處理流程：

一、CNVD原創(chuàng)漏洞審核歸檔和發(fā)布主流程

（一）審核和歸檔流程

審核流程分為一級(jí)、二級(jí)、三級(jí)審核，其中一級(jí)審核主要對(duì)提交的漏洞信息完整性進(jìn)行審核，漏洞符合可驗(yàn)證（通用型漏洞有驗(yàn)證代碼信息或多個(gè)互聯(lián)網(wǎng)實(shí)例、事件型漏洞有驗(yàn)證過程和相關(guān)截圖）、描述準(zhǔn)確（不存在虛假信息）即可通過一級(jí)審核；二級(jí)審核為CNVD對(duì)漏洞的信息整理，對(duì)于漏洞標(biāo)題以及描述情況進(jìn)行初步核對(duì)整理；三級(jí)審核為CNVD對(duì)漏洞進(jìn)行有效性和原創(chuàng)性核驗(yàn)的環(huán)節(jié)，有效性核驗(yàn)即復(fù)現(xiàn)漏洞相關(guān)情況或在不具備復(fù)現(xiàn)環(huán)境的情況下轉(zhuǎn)交對(duì)口廠商復(fù)現(xiàn)，原創(chuàng)性核驗(yàn)則是CNVD根據(jù)已收錄漏洞信息及互聯(lián)網(wǎng)已公開漏洞信息進(jìn)行查重比對(duì)。

通過上述三級(jí)審核之后，確認(rèn)漏洞存在且認(rèn)定具備原創(chuàng)性則進(jìn)行CNVD歸檔。在歸檔環(huán)節(jié)，CNVD秘書處主要進(jìn)行漏洞的中文規(guī)范化收錄整理以及對(duì)漏洞危害進(jìn)行評(píng)價(jià)（CNVD采用CVSS2.0評(píng)價(jià)標(biāo)準(zhǔn)）。

時(shí)限要求：對(duì)于事件型漏洞，到歸檔時(shí)間一般不超過2個(gè)工作日。對(duì)于通用軟硬件漏洞，到歸檔時(shí)間一般不超過5個(gè)工作日。對(duì)于一些無法具備復(fù)現(xiàn)條件需要由廠商確認(rèn)的，以廠商反饋時(shí)間為準(zhǔn)，在廠商未反饋或拒絕反饋之前，CNVD秘書處也將自行開展評(píng)估工作，加快歸檔流程。

（二）發(fā)布流程

目前，CNVD暫不發(fā)布事件型漏洞信息，僅通過CNVD網(wǎng)站首頁“綿羊墻”功能對(duì)已經(jīng)完成通報(bào)處置流程的涉事單位系統(tǒng)或軟硬件產(chǎn)品進(jìn)行公示。對(duì)于通用軟硬件漏洞，CNVD遵循處置后發(fā)布原則（與廠商補(bǔ)丁發(fā)布時(shí)間同步）或未反饋情況下默認(rèn)45天后發(fā)布描述信息（暫不公開利用代碼信息）。另外，根據(jù)CNVD參與簽署的《中國互聯(lián)網(wǎng)協(xié)會(huì)漏洞信息披露和處置自律公約》，對(duì)于需要較長周期的漏洞處置工作，涉事廠商可與CNVD秘書處協(xié)商漏洞發(fā)布時(shí)間。

二、CNVD原創(chuàng)漏洞驗(yàn)證和處置支線流程

（一）事件型漏洞驗(yàn)證和處置流程

CNVD以可復(fù)現(xiàn)為基準(zhǔn)，同時(shí)在復(fù)現(xiàn)過程中恪守國家法律和有關(guān)部門規(guī)定，不執(zhí)行可能對(duì)信息系統(tǒng)機(jī)密性、可用性、完整性造成破壞性的驗(yàn)證操作。CNVD依托國家上級(jí)信息安全協(xié)調(diào)機(jī)構(gòu)、CNCERT國家中心、CNCERT各分中心的處置協(xié)作渠道，積極協(xié)調(diào)通報(bào)涉及黨政機(jī)關(guān)、重要行業(yè)單位以及企事業(yè)單位的漏洞風(fēng)險(xiǎn)。

時(shí)限要求：事件型漏洞驗(yàn)證不超過1個(gè)工作日，通報(bào)到涉事單位時(shí)間不超過3個(gè)工作日。

（二）通用軟硬件漏洞驗(yàn)證和處置流程

對(duì)于通用軟硬件漏洞的驗(yàn)證和處置CNVD主要根據(jù)《中國互聯(lián)網(wǎng)協(xié)會(huì)漏洞信息披露和處置自律公約》規(guī)定的廠商以及漏洞應(yīng)急組織相關(guān)責(zé)任和義務(wù)，強(qiáng)調(diào)廠商的主動(dòng)響應(yīng)以及漏洞庫組織（CNVD）的技術(shù)協(xié)助。CNVD對(duì)通用漏洞進(jìn)行核驗(yàn)后將直接通過已有聯(lián)系渠道或公開聯(lián)系渠道向產(chǎn)品廠商通報(bào)，并要求其在5個(gè)工作日內(nèi)反饋是否有補(bǔ)?。êR時(shí)解決方案）或是否已經(jīng)著手應(yīng)急處置事項(xiàng)。

對(duì)于有可能造成大規(guī)模攻擊威脅（如：涉及大量黨政機(jī)關(guān)和重要行業(yè)單位用戶），CNVD要求廠商采取主動(dòng)響應(yīng)原則，依托技術(shù)手段和市場渠道主動(dòng)完成用戶的防護(hù)工作。同時(shí)，CNVD也可協(xié)助廠商開展全網(wǎng)安全評(píng)估和全局應(yīng)急響應(yīng),提供受影響用戶列表相關(guān)情況。必要時(shí)，CNVD將組織專項(xiàng)行動(dòng)進(jìn)行漏洞的全網(wǎng)處置。

時(shí)限要求：通用型漏洞驗(yàn)證取決于復(fù)現(xiàn)條件，通報(bào)到廠商時(shí)間不超過5個(gè)工作日。對(duì)于處置周期，視處置難度和修復(fù)情況而定。

三、CNVD原創(chuàng)漏洞證書和獎(jiǎng)金積分支線流程

對(duì)于通過CNVD歸檔的原創(chuàng)漏洞，CNVD將對(duì)漏洞進(jìn)行原創(chuàng)漏洞獎(jiǎng)金積分評(píng)分。積分評(píng)定具體參見《CNVD原創(chuàng)漏洞積分評(píng)分細(xì)則》。

時(shí)限要求：在漏洞歸檔后1個(gè)工作日內(nèi)。

對(duì)于中危及中危以上通用型漏洞（CVSS2.0基準(zhǔn)評(píng)分超過4.0分），以及涉及黨政機(jī)關(guān)、重要行業(yè)單位、科研院所、重要企事業(yè)單位（如：中央國有大型企業(yè)、部委直屬事業(yè)單位等）的高危事件型漏洞(后續(xù)對(duì)事件型漏洞證明頒發(fā)標(biāo)準(zhǔn)將參考中央網(wǎng)信辦頒布的關(guān)鍵基礎(chǔ)設(shè)施相關(guān)定義和分類)，CNVD將給予原創(chuàng)漏洞證明（即CNVD漏洞證書，電子版），該證明可通過編號(hào)在CNVD官方網(wǎng)站進(jìn)行查詢跟蹤。

時(shí)限要求：按周對(duì)上一周歸檔漏洞且滿足證書頒發(fā)條件的進(jìn)行批量制作。

附：流程圖