网络安全等级保护：网络安全漏洞管理规范

以往看书以及资料，对网络安全漏洞的理解其实非常的混乱，没有一个定式。如今天看这本书时，是一种解释，而改天看到另一个资料，则又出现一种解读。所有的知识，似是而非的在脑海中存储着。说不懂吧，知道一些；说懂吧，概念却又模糊。

自从关注标准后，国家标准解答了我很多疑惑。后来，在看2020年11月19日发布，在2021年6月1日实施的《信息安全技术网络安全漏洞分类分级指南》这个标准时，看到网络安全漏洞分类导图，感觉这个导图很直观把漏洞分类展现给了我们，如下：

上面是网络安全漏洞分类导图让我们一目了然，那么网络安全漏洞该如何管理，是不是放任自我随意为之呢？当然，也有对应的国家标准，那就是《信息安全技术网络安全漏洞管理规范》，该标准是2020年11月19日发布，2021年06月1日实施。

该标准则给出了漏洞生命周期管理流程，如下图：

网络安全漏洞管理包含以下阶段：

漏洞发现和报告：

漏洞发现者通过人工或者自动的方法对漏洞进行探测、分析，证实漏洞存在的真实性，并由漏洞报告者将获得的漏洞信息向漏洞接收者报告；

漏洞接收：

通过相应途径接收漏洞信息；

漏洞验证：

收到漏洞报告后，进行漏洞信息的技术验证；满足相应要求可终止后续漏洞管理流程；

漏洞处置：

对漏洞进行修复，或制定并测试漏洞修复或防范措施，可包括升级版本、补丁、更改配置等方式；

漏洞发布：

通过网站、邮件列表等渠道将漏洞信息向社会或受影响的用户发布；

漏洞跟踪：

在漏洞发布后跟踪监测漏洞修复情况、产品或服务的稳定性等；视情况对漏洞修复或防范措施做进一步改进；满足相应要求可终止漏洞管理流程。

当然，《信息安全技术网络安全漏洞管理规范》在该标准的第５章详尽阐述。另外，如果需要理解有关网络安全漏洞相关内容，还有一个基础性标准《信息安全技术网络安全漏洞标识与描述规范》，该标准也是将在本年度6月1日实施。今天，就结合《信息安全技术网络安全漏洞管理规范》有关网络安全漏洞管理流程做个简要阐述作为引子，待后续整理后期待与大家共同探讨。这个小引子也期望能够为有志于网络安全漏洞研究的朋友，起到抛砖引玉的作用。

网络安全等级保护：网络安全漏洞管理规范

网络安全等级保护：网络安全漏洞管理规范

你知道你的Internet Explorer是过时了吗?