2017年6月1日实行的《网络安全法》对甲方运营者提出了以下要求:
2021年9月1日实行的《网络产品安全漏洞管理规定》中对甲方运营者提出了以下要求:
在这份文件中,从流程、要求、证实方法的角度对漏洞管理各个阶段进行了介绍。
这份文件中,针对漏洞如何做分类,如何做分级给出参考建议。漏洞分类的根本准则是根据漏洞产生或者触发的技术原因来做分类。这个文件做了一个树节点。
分级:漏洞分级分为两种,一种是技术等级,一种是综合等级。技术等级从技术角度对漏洞危害等级进行划分。综合等级则反映了在特定时期特定环境下的漏洞危害程度,用于在特定场景下对漏洞危害等级进行划分,主要针对用户对产品或系统在特定网络环境中的漏洞评估工作。
技术评分只考虑被利用性和影响程度。综合评分在技术评分的基础上,增加了对环境因素的考虑。
THE END