落實《網絡安全漏洞管理規范》的執行細則
根據《中華人民共和國網絡安全法》的相關規定,長沙米拓信息技術有限公司(下稱:我司)對于米拓企業建站系統、米拓網站管理系統及收費模板出現漏洞的情況,執行《網絡安全漏洞管理規范》(GB/T 30276-2020),并就具體的工作細則確認如下:
一、基本制度
米拓信息開發的米拓企業建站系統(tong)、米(mi)拓網站管理系統(tong)及收(shou)費(fei)(fei)模板(ban)(ban)均支(zhi)持升(sheng)級至最新(xin)版(ban)本(6.0以下版(ban)本收(shou)費(fei)(fei)模板(ban)(ban)升(sheng)級需另(ling)行(xing)付費(fei)(fei)),且(qie)最新(xin)版(ban)本已經包含了(le)對(dui)歷史漏(lou)洞(dong)(dong)的(de)(de)修(xiu)(xiu)(xiu)復。因(yin)此,米(mi)拓信息不會基于歷史版(ban)本的(de)(de)漏(lou)洞(dong)(dong)發布補丁(ding)和修(xiu)(xiu)(xiu)復方案,統(tong)一(yi)采取升(sheng)級最新(xin)版(ban)本的(de)(de)方式修(xiu)(xiu)(xiu)復漏(lou)洞(dong)(dong)。
用戶進(jin)行相關網絡安(an)全檢測前(qian),須將軟件升級至最新版(ban)本,并以最新版(ban)本為檢測對象(xiang)和報告(gao)對象(xiang)。
二、漏洞發現和報告
(一)用戶轉發第三方的檢測報告
1、必須以米拓信息(xi)公開(kai)發(fa)布(bu)的最新版本(ben)為檢測(ce)對象。
2、第(di)三(san)方必須為具有相(xiang)關資質(zhi)的網絡安全服務(wu)商(shang)。
3、用戶必(bi)須轉交第三方(fang)署名的報告全文。
4、報告必須執行GB/T 30279-2020的分級標準。
5、不符合上述2-4點者,請(qing)用戶按照(zhao)“(二)用戶提(ti)報漏洞”的方式提(ti)交。
(二)用戶提報漏洞
1、必(bi)須(xu)以米拓信息公開(kai)發布的最新版(ban)本為檢(jian)測對象。
2、用戶以自己的(de)名義(yi)提報漏(lou)洞。
3、必須(xu)明確記錄漏洞復現的方式和(he)相(xiang)關操作(zuo),有條件的用(yong)戶可以記錄攻(gong)擊場(chang)景、修復建議等。
(三)CNVD推送漏洞
由CNVD通過官(guan)方(fang)渠道向米拓信息直接推(tui)送。
三、漏洞接收
“客服工(gong)單”是米拓(tuo)信息接收用戶提(ti)報漏洞的唯(wei)一方式(shi),相關報告(gao)請在工(gong)單附件中上傳。
四、漏洞驗證
米拓信息測試部門(men)執行GB/T 30279-2020的(de)分級標(biao)準,對各方(fang)推(tui)送(song)、轉發、提(ti)報(bao)(bao)的(de)漏(lou)洞進行驗(yan)證(zheng),驗(yan)證(zheng)結(jie)果在客服工單(dan)中反饋給漏(lou)洞提(ti)報(bao)(bao)方(fang),CNVD推(tui)送(song)的(de)漏(lou)洞方(fang)案通過其指定方(fang)式反饋。
五、漏洞處置與發布
(一(yi))用戶提報、轉發的超危、高(gao)危漏洞(GB/T 30279-2020)
1、漏洞驗證屬實后24小時內開始進行漏洞修(xiu)復工作。
2、對72小時內無法(fa)修復的(de)漏洞,將向(xiang)提(ti)(ti)報(bao)(bao)人提(ti)(ti)供臨時解(jie)決方案(an),無法(fa)提(ti)(ti)供臨時解(jie)決方案(an)的(de)建議提(ti)(ti)報(bao)(bao)人暫時停止軟件運行(xing)。
3、漏洞補丁經測試通(tong)過后,由米拓技術部門給提報(bao)人修復(fu)漏洞。
4、漏洞(dong)補丁在新版本中發(fa)(fa)布(bu),除公安機關(guan)和網絡安全部(bu)門(men)另(ling)有要求的外,不單獨發(fa)(fa)布(bu)補丁包。
(二(er))用戶提報、轉(zhuan)發(fa)的中危、低危漏洞(GB/T 30279-2020)
1、漏洞(dong)驗證屬實后24小時內開始進行漏洞(dong)修復(fu)工作。
2、漏洞補丁經(jing)測試通過后在新版本中發(fa)布,不單獨發(fa)布補丁包(bao)。
3、用戶(hu)在版本升(sheng)級中統一修(xiu)復漏(lou)洞。
(三)CNVD推(tui)送的(de)漏洞
1、漏(lou)洞驗證(zheng)屬實后(hou)24小時內開始進行漏(lou)洞修復工作。
2、在CNVD要求(qiu)的時間內(nei)完成漏洞補丁,并按(an)要求(qiu)反饋(kui)給CNVD。
3、漏洞補(bu)丁在新(xin)版(ban)本中(zhong)發布,除(chu)公(gong)安(an)機關(guan)和網絡安(an)全部門另有要求的外(wai),不單獨發布補(bu)丁包。
六、例外
因(yin)用戶(hu)自行二次開發而造(zao)成的(de)安全(quan)漏洞,不屬于米(mi)拓信息的(de)義(yi)務范疇,米(mi)拓不提供(gong)免(mian)費修復的(de)方案。
七、其它
1、我司屬地公(gong)安(an)機關和網絡(luo)(luo)安(an)全(quan)部門(men)直接向米(mi)拓信息(xi)提出特殊、重大(da)的網絡(luo)(luo)安(an)全(quan)工作(zuo)要求的,米(mi)拓信息(xi)采取(qu)應急措施(shi)開展(zhan)工作(zuo),不在此細則(ze)的管理范圍。
2、用戶因(yin)其特殊需要(yao),要(yao)求米(mi)拓(tuo)信息在(zai)本細則范圍(wei)外配合網(wang)絡安(an)全工作(zuo)的,雙(shuang)方可以另行(xing)商議(yi)并簽訂服(fu)(fu)務(wu)合同,米(mi)拓(tuo)信息按合同提供服(fu)(fu)務(wu)。
3、用戶與(yu)米拓信息簽(qian)訂的合(he)同(tong)中(zhong)對(dui)網絡(luo)安全事(shi)宜另有約(yue)定的,米拓信息按照合(he)同(tong)約(yue)定提供(gong)服務。
長沙米拓信息技術(shu)有限公司
2022年10月26日
關注“米拓”服務號,你可以及時接收米拓建站的資訊動態!