【国家标准】 信息安全技术 安全漏洞标识与描述规范

ICS35.040
中华人民共和国国家标准
GB/T28458—2012
信息安全技术
安全漏洞标识与描述规范
Information security technology-Vulnerability identification and descriptionspecification
2012-06-29发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2012-10-01实施
中华人民共和国
国家标准
信息安全技术安全漏洞标识与描述规范GB/T28458-2012
中国标准出版社出版发行
北京市朝阳区和平里西街甲2号（100013）北京市西城区三里河北街16号（100045）网址spc.net.cn
总编室：（010)64275323发行中心：（010)51780235读者服务部：（010）68523946
中国标准出版社秦皇岛印刷厂印刷各地新华书店经销
开本880×12301/16印张0.5
字数8千字
2012年11月第一版 2012年11月第一次印刷书号：155066-1-45668定价14.00元如有印装差错由本社发行中心调换版权专有侵权必究
举报电话：（010）68510107
本标准按照GB/T1.1—2009给出的规则起草。GB/T28458-2012
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：国家信息技术安全研究中心，中国科学院研究生院国家计算机网络入侵防范中心。
本标准主要起草人：张玉清、宫亚峰、王宏、刘奇旭、付安民。GB/T28458—2012
随着计算机及互联网技术的发展，信息安全环境越来越复杂，信息安全隐惠越来越严重。计算机信息系统安全漏洞已经成为影响网络信息安全的重要因素。为规范和加强计算机信息系统安全漏洞的管理，制定统一的安全漏洞标识与措述规范是十分必要的。-iiKacaQiaikAca
1范围
信息安全技术安全漏洞标识与描述规范本标准规定了计算机信息系统安全漏洞的标识与描述规范GB/T28458—2012
本标准适用于计算机信息系统安全管理部门进行安全漏洞信息发布和漏洞库建设。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T7408-2005数据元和交换格式信息交换日期和时间表示法（ISO8601:2000）GB/T7713-1987科学技术报告、学位论文和学术论文的编写格式GB/T15835—2011出版物上数字用法GB/T25069--2010信息安全技术术语3术语和定义
GB/T25069—2010界定的以及下列术语和定义适用于本文件。3.1
Ecomputerinformationsystem
计算机信息系统
由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。[GB/T25069—2010,定义2.1.14]3.2
安全漏洞vulnerability
计算机信息系统在需求、设计，实现、配置、运行等过程中，有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体所利用，就会对计算机信息系统的安全造成损害，从而影响计算机信息系统的正常运行。4安全漏洞标识与描述
4.1原则
本标准的制定遵循以下原则：
a）简明原则：对安全漏洞信息进行筛选，提炼安全漏洞管理所需要的基本内容，保证安全漏洞描速简洁明确。
b）客观原则：安全漏洞描述便于安全漏洞信息的发布和安全漏洞数据库的建设。4.2描述项
安全漏洞描述项如图1所示，包括标识号、名称、发布时间、发布单位、类别、等级、影响系统等必须1
GB/T28458—2012
的描述项（图1实线框描述项），并可根据需要扩充（但不限于）相关编号，利用方法、解决方案建议、其他描述等描述项（图1虚线框描述项）。安全漏洞描递
发布时间
发布单位
彩响系统
图1安全漏洞描述项
天地酒酒
安全漏洞描述所采用文字、字符、数字等书写形式，采用GB/T7713-1987和GB/T15835—2011。4.2.1标识号
安全漏洞以CVD-YYYY-NNNNNN格式为标识号。CVD为CommonVulnerabilitiesDescription的缩写；YYYY为4位十进制数字，表示产生本安全漏洞的年份；NNNNNN为6位十进制数字，表示当年内产生的安全漏洞的序号。
4.2.2名称
安全漏润标题，概括性描述安全漏洞信息的短语，例如InternetExplorer8.0缓冲区溢出漏洞，4.2.3发布时间
安全漏洞信息发布日期，日期书写采用GB/T7408—2005中5.2.1.1完全表示法的扩展格式。4.2.4发布单位
发布安全漏洞的单位全称。www.bzxz.net
4.2.5类别
安全漏洞所属分类，说明安全漏洞分类归属的信息。4.2.6等级
安全洞危害级别，说明安全蒲洞能够造成的危害程度。4.2.7影响系统
安全漏洞所影响系统的信息，例如厂商、产品名称和版本号等。4.2.8相关编号
安全漏洞的其他相关编号，例如Bugtraq编号、CVE编号等。4.2.9利用方法
安全漏洞利用的方法，例如安全漏洞攻击方案或利用代码。2
iiKacaQiaiKAca
4.2.10解决方索建议
安全漏洞的解决方案，例如补丁信息等。4.2.11
其他描述
安全漏洞描述需要说明的其他相关信息，例如安全漏洞产生的具体原因。GB/T28458—2012
GB/T28458—2012
参考文献
[1]NIST Special Publication 800-51.Use of Common Wulnerabilities and Exposures(CVE)VulnerabilityNamingScheme.http://esrc.nist.gov/publications/nistpubs/800-51/sp800-51.pdf[2] National Vulnerability Database.http://nvd.nist.gov/版权专有侵权必究
书号：155066：1-45668
GB/T28458-2012
打印日期：2012年11月22日F009AKacadiaikAca
定价：
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。