腾讯外部威胁情报处理流程-腾讯安全应急响应中心.PDFVIP

腾讯外部威胁情报处理流程 编写人 腾讯安全应急响应中心 版本号 2.1 最后更新日期 2015-10-15 致谢 感谢 7DScan、alert7、cnhawk、hj@topsec 、instruder 、MythHack、papaya 、PiaCa 、So what 、SuperHei、WooY 、xsjswt 、买不起的牌子、钱途、扫地僧、DragonEgg 、ice yes、TK、nforest、PP （排名不分先后）为本流程所作出的贡献 如果您对本流程有任何的建议，欢迎通过邮箱（security@）或者微博私信（http: ///tsrcteam ）的方式向我们反馈。 适用范围 本流程适用于腾讯威胁情报反馈平台（/index.php/report ）所收到的 所有情报。 实施日期 本文档自发布之日起实行 修订记录 V1.0 2012- 10-30 发布第一版 V1.1 2012- 12-05 更新评分标准的通用型漏洞定义；更新奖励发放原则；更新FAQ V1.2 2013- 1-16 更新评分标准；更新奖品发放流程；更新FAQ V1.3 2013- 3-22 更新奖品发放流程；更新评分标准 V1.4 2013- 8-12 更新争议解决办法流程；更新Discuz!产品的评分标准 V1.5 2013- 9-01 更新客户端产品奖励标准；更新评分标准 V1.6 2014- 2-12 更新评分标准；更新奖励发放原则 V1.7 2014- 5-05 更新客户端产品奖励标准；更新评分标准 V1.8 2014- 6-04 更新奖励评分标准；更新评分标准通用原则；更新FAQ V1.9 2014- 11- 10 更新奖励评分标准；更新评分标准通用原则 V2.0 2015-04-16 更新奖励评分标准；更新评分标准通用原则；更新FAQ V2.1 2015- 10-15 更新奖励评分范围及标准；更新评分标准通用原则；更新FAQ 目 录 基本原则4 威胁情报反馈与处理流程 5 威胁情报评分标准6 业务漏洞评分标准6 通用软件漏洞评分标准 9 安全情报评分标准9 评分标准通用原则 10 奖励发放原则 12 争议解决办法 13 FAQ 14 基本原则 1）腾讯非常重视自身产品和业务的安全问题，我们承诺，对每一位报告者反馈的问题都有 专人进行跟进、分析和处理，并及时给予答复。 2 ）腾讯支持负责任的漏洞披露和处理过程，我们承诺，对于每位恪守白帽子精神，保护用 户利益，帮助腾讯提升安全质量的用户，我们将给予感谢和回馈 3 ）腾讯反对和谴责一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的黑客 行为，包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、 恶意传播漏洞等 4 ）腾讯反对和谴责一切利用安全漏洞恐吓用户、攻击竞争对手的行为 5 ）腾讯认为每个安全漏洞的处理和整个安全行业的进步，都离不开各方的共同合作。希望 企业、安全公司、安全组织、安全研究者一起加入到“负责任的漏洞披露”过程中来， 一起为建设安全健康的互联网而努力 威胁情报反馈与处理流程 [ 预报告阶段 ] 威胁情报报告者授权腾讯威胁情报反馈平台（/index.php/report ）生 成帐号 [ 报告阶段 ] 威胁情报报告者登陆腾讯威胁情报反馈平台，提单反馈威胁情报 （状态：待审核） [ 处理阶段 ] 1）一个工作日内，腾讯安全应急响应中心（以下简称TSRC ）工作人员会确认收到的威胁 情报报告并跟进开始评估问题（状态：审核中） 2 ）三个工作日内，TSRC 工作人员处理问题、给出结论并计分（状态：已确认/ 已忽略）。 必要时会与报告者沟通确认，请报告者予以协助。 [ 修复阶段 ] 1）业务部门修复威胁情报中反馈的安全问题并安排更新上线（状态：已修复）。修复时间 根据问题的严重程度及修复难度而定，一般来说，严重和高风险问题24 小时内，中风 险三个工作日内，低风险七个工作日内。客户端安全问题受版本发布限制，修复时间根 据实际情况确定。 2 ）威胁情报报告者复查