1、ICS 35.040 L 80 中华人民信息安全技术=lI工./、道自和国国家标准GB/T 28458-2012 安全漏洞标识与描述规范Information security technology-Vulnerability identification and description specification 2012-06-29发布!I闸,氏)也住在,-江面$数码防伪中华人民共和国国家质量监督检验检度总局中国国家标准化管理委员会2012-10-01实施发布中华人民共和国国家标准信息安全技术安全漏洞标识与描述规范GB/T 28458一2012峰中国标准出版社出版发行北京市朝阳区和平里西街
2、甲2号(100013)北京市西城区三里河北街16号(100045)网址总编室:(010)64275323发行中心:(010)51780235读者服务部:(010)68523946中国标准出版社秦皇岛印刷厂印刷各地新华书店经销当&开本880X 1230 1/16 印张0.5字数8千字2012年11月第一版2012年11月第一次印刷铃书号:155066. 1-45668定价14.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68510107GB/T 28458-2012 目IJ1=1 本标准按照GB/T1. 1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。
3、本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:国家信息技术安全研究中心、中国科学院研究生院国家计算机网络入侵防范中心。本标准主要起草人:张玉清、宫亚峰、王宏、刘奇旭、付安民。I GB/T 28458-2012 引随着计算机及互联网技术的发展,信息安全环境越来越复杂,信息安全隐患越来越严重。计算机信息系统安全漏洞已经成为影响网络信息安全的重要因素。为规范和加强计算机信息系统安全漏洞的管理,制定统一的安全漏洞标识与描述规范是十分必要的。E GB/T 28458-2012 信息安全技术安全漏洞标识与描述规范1 范围本标
4、准规定了计算机信息系统安全漏洞的标识与描述规范。本标准适用于计算机信息系统安全管理部门进行安全漏洞信息发布和漏洞库建设。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注目期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 7 408.2005数据元和交换格式信息交换日期和时间表示法(lSO8601: 2000) GB/T 7713-1987 科学技术报告、学位论文和学术论文的编写格式GB/T 15835 2011 出版物上数字用法GB/T 25069一一2010信息安全技术术语3 术语和定义GB/T 25069-
5、2010界定的以及下列术语和定义适用于本文件。3. 1 计算机信息系统computer information system 由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。GB/T 25069-2010,定义2.1. 14J 3.2 安全漏洞vulnerability 计算机信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对计算机信息系统的安全造成损害,从而影响计算机信息系统的正常运行。4 安全漏洞标
6、识与描述4. 1 原则本标准的制定遵循以下原则:a) 简明原则:对安全漏洞信息进行筛选,提炼安全漏洞管理所需要的基本内容,保证安全漏洞描述简洁明确。b) 客观原则:安全漏洞描述便于安全漏洞信息的发布和安全漏洞数据库的建设。4.2 描述项安全漏洞描述项如图1所示,包括标识号、名称、发布时间、发布单位、类别、等级、影响系统等必须GB/T 28458-2012 的描述项(图1实线框描述项),并可根据需要扩充(但不限于)相关编号、利用方法、解决方案建议、其他描述等描述项(图l虚线框描述项)。r-, r-, r- r- |解|1:1 发影|相|利|决l|其|布类等响l关|用ll方l|他|单别级系l编l|
7、方ll案1|描|l号lI )J 1 |建|l述l位统17 1 1法|1 1 II |议|L一L_J L_J L一图1安全漏洞描述项安全漏洞描述所采用文字、字符、数字等书写形式,采用GB/T7713一1987和GB/T15835-2011 0 4.2. 1 标识号安全漏洞以CVD-YYYY-NNNNNN格式为标识号。CVD为CommonVulnerabilities Description 的缩写;YYYY为4位十进制数字,表示产生本安全漏洞的年份;NNNNNN为6位十进制数字,表示当年内产生的安全漏洞的序号。4.2.2 名称安全漏洞标题,概括性描述安全漏洞信息的短语,例如InternetExp
8、lorer 8. 0缓冲区溢出漏洞。4.2.3 发布时间安全漏洞信息发布日期,日期书写采用GB/T7408-2005中5.2. 1. 1完全表示法的扩展格式。4.2.4 发布单位发布安全漏洞的单位全称。4.2.5 类别安全漏洞所属分类,说明安全漏洞分类归属的信息。4.2.6 等级安全漏洞危害级别,说明安全漏洞能够造成的危害程度。4.2.7 影响系统安全漏洞所影响系统的信息,例如厂商、产品名称和版本号等。4.2.8 相关编号安全漏洞的其他相关编号,例如Bugtraq编号、CVE编号等。4.2.9 利用方法安全漏洞利用的方法,例如安全漏洞攻击方案或利用代码。2 GB/T 28458-2012 4.
9、2. 10 解决方案建议安全漏洞的解决方案,例如补丁信息等。4.2. 11 其他描述安全漏洞描述需要说明的其他相关信息,例如安全漏洞产生的具体原因。NFON|寸NH阁。G/T 28458-2012 献1J NIST Special Publication 800-51. Use of Common Vulnerabilities and Exposures(CVE) Vulnerability Naming Scheme. http:/csrc. nist. gov/publications/nistpubs/800-51/sp800-51. pdf 2J National Vulnerability Database. http:/nvd. nist. gov/ 文考参侵权必究。phu au FHJV A哇-喃自A-R pnvp phUE nu HhMKJV 喻-A-Ei -号一价书一定* 版权专有14.005已GB/T 28458-2012 打印日期:2012年11月26日F002
