ICS 35.030 CCS L 70 中 华 人 民 共 和 国 通 信行 业 标 准 XX XXXXX—XXXX YD 电信和互联网行业网络运营者 漏洞管理平台技术要求 喊个月 Technical requirements for telecom and Internet industry network operator vulnerability management platform （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部   发布 XX XXXXX—XXXX I目次 前言 ............................................................................... II 引言 .............................................................................. III 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语和定义 ........................................................................... 1 4 漏洞管理平台概述 ..................................................................... 2 5 平台功能要求 ......................................................................... 2 5.1 漏洞接收 ......................................................................... 3 5.1.1 漏洞接收渠道 ................................................................. 3 5.1.2 漏洞接收方式 ................................................................. 3 5.1.3 漏洞信息接收规范 ............................................................. 3 5.1.4 漏洞接收反馈 ................................................................. 3 5.2 漏洞验证 ......................................................................... 3 5.3 漏洞预警 ......................................................................... 3 5.4 漏洞处置 ......................................................................... 3 5.5 漏洞复测 ......................................................................... 4 5.6 漏洞信息管理 ..................................................................... 4 6 平台接口要求 ......................................................................... 4 6.1 数据共享要求 ..................................................................... 4 6.2 接口格式要求 ..................................................................... 5 6.3 接口安全要求 ..................................................................... 5 7 安全管理要求 ......................................................................... 5 7.1 用户标识 ......................................................................... 5 7.1.1 属性定义 ..................................................................... 5 7.1.2 属性初始化 ................................................................... 5 7.1.3 唯一性标识 ................................................................... 5 7.2 身份鉴别 ......................................................................... 5 7.2.1 鉴别数据初始化 ............................................................... 5 7.2.2 鉴别失败处理 ................................................................. 5 7.3 安全审计 ......................................................................... 6 7.3.1 审计数据生成 ................................................................. 6 7.3.2 审计记录管理 ................................................................. 6 7.4 数据安全 ......................................................................... 6 附 录A （资料性） 网络资产分类 ....................................................... 7 参 考 文 献 ........................................................................... 12 XX XXXXX—XXXX II 前言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院，中国电信集团有限公司、中国移动通信集团有限公司、 中国联合网络通信集团有限公司。 本文件主要起草人：孟楠、戴方芳、石悦、杨刚、董航、张峰、徐一、呼博文、王井龙、徐积森、 陈盼盼。 XX XXXXX—XXXX III XX XXXXX—XXXX 1 电信和互联网行业网络运营者漏洞管理平台技术要求 1　范围 本文件规定了电信网和互联网行业网络运营者漏洞管理平台的功能要求、接口要求以及安全管理 要求。 本文件适用于电信网和互联网行业网络运营者漏洞管理平台。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适 用于本文件。 GB/T 25069-2022 信息安全技术 术语 YD/T 3803-2020 电信网和互联网资产安全管理平台技术要求 3　术语和定义 GB/T 25069-2022 界定的以及下列术语和定义适用于本文件。 3.1 网络运营者 network operator 网络的所有者、管理者和网络服务提供