现在2013年度RSA信息安全大会（RSA2013）正在热烈召开，会上知名安全专家们建议软件制造商和互联网服务供应商，预定在2013年底发布的安全漏洞处理流程中，需要准备两个新的ISO标准来适应新的安全需求，其中包括了ISO 30111和ISO 29147。

RSA2013:供应商需要新安全漏洞处理标准
RSA2013:供应商需要新安全漏洞处理标准

　　ISO 30111涵盖了所有漏洞处理流程中，无论是内部确认，或被外部人员报告的。

　　ISO 29147则涵盖了如终端用户、安全研究人员和黑客等外部人员所暴露的漏洞。

　　微软的高级安全策略主管兼标准制定者，凯蒂·牟索利斯（Katie Moussouris）希望，ISO 29147可以更容易地报告软件和服务的漏洞。

　　凯蒂告诉参加本年度旧金山RSA会议的与会者，“该标准在漏洞的风险评估和应用调整中将会起到更大的建设性意见”。

　　ISO 29147提供准备接受外部漏洞报告的指导方针，第一个要求是对供应商提出的，将使报告者更容易地同内部的负责人取得联系。

　　凯蒂说道，“漏洞发现者可以很容易地找到提交漏洞报告的门路，它必须是明显的，并是容易使用的。因为如果不是这样，他们就可能会求助于其他的渠道，如媒体或网络论坛等”。

　　接下来的事情就是确认收到的漏洞报告，该标准将保证报告必须在7天内完成处理。

　　而ISO 30111也提供了调查和修补漏洞的指导方针和建议：

　　1.有一个组织和过程来支持排查、整治；
　　2.执行根本原因分析，找出所有可能受影响的产品、服务；
　　3.如果漏洞影响多个产品、服务，根据严重等级来定优先级；
　　4.平衡解决速度——如果是高威胁，可以考虑立即采取临时的解决办法；
　　5.如可能与其他供应商展开协作。

　　当然也有几种可能，对修正不适用，如下：

　　1.一个无法复制的脆弱性；
　　2.该漏洞是已在调查中；
　　3.该漏洞仅影响已经过时的产品；
　　4.漏洞是无法利用的；
　　5.漏洞是在第三方产品、服务。

　　凯蒂期望ISO 3011能切实提高供应商展开调查和整治的级别，提高了封堵安全漏洞的速度和质量水平。

原文链接：http://www.enet.com.cn/article/2013/0301/A20130301254351.shtml
新闻日期：2013年03月01日

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！