搜索结果: GB/T 28458-2020, GB/T28458-2020, GBT 28458-2020, GBT28458-2020
标准编号 | GB/T 28458-2020 (GB/T28458-2020) | 中文名称 | 信息安全技术 网络安全漏洞标识与描述规范 | 英文名称 | (Information Security Technology Network Security Vulnerability Identification and Description Specification) | 行业 | 国家标准 (推荐) | 字数估计 | 8,815 | 发布日期 | 2020-11-19 | 实施日期 | 2021-06-01 | 旧标准 (被替代) | GB/T 28458-2012 | 标准依据 | 国家标准公告2020年第26号 |
GB/T 28458-2020
(Information Security Technology Network Security Vulnerability Identification and Description Specification)
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 28458-2012
信息安全技术
网络安全漏洞标识与描述规范
2020-11-19发布
2021-06-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 1
5 网络安全漏洞标识与描述 1
5.1 框架 1
5.2 标识项 2
5.3 描述项 2
5.4 证实方法 4
附录A(资料性附录) 漏洞标识与描述规范示例的XML表示 5
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准代替GB/T 28458-2012《信息安全技术 安全漏洞标识与描述规范》,与GB/T 28458-
2012相比,主要技术变化如下:
---修改了网络安全漏洞的术语和定义(见3.1,2012年版的3.2);
---增加了缩略语(见第4章);
---将标识与描述作为两个方面表述,增加了标识字段描述内容(见5.2);
---增加了验证者、发现者、存在性说明和检测方法等描述项内容(见5.3.4、5.3.5、5.3.10、5.3.11);
---修改了标识项、名称、受影响产品或服务、相关编号、解决方案等内容(见5.2、5.3.1、5.3.8、
5.3.9、5.3.12,2012年版的4.2.1、4.2.2、4.2.7、4.2.8、4.2.10);
---删除了利用方法描述项(见2012年版的4.2.9)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、中国信息
安全测评中心、中国科学院大学国家计算机网络入侵防范中心、中国电子技术标准化研究院、中国科学
院信息工程研究所、启明星辰信息技术集团股份有限公司、北京百度网讯科技有限公司、奇安信科技集
团股份有限公司、北京神州绿盟信息安全科技股份有限公司、上海斗象信息科技有限公司、阿里巴巴(北
京)软件服务有限公司、深圳市腾讯计算机系统有限公司、北京知道创宇信息技术有限公司、恒安嘉新
(北京)科技股份公司、哈尔滨安天科技集团股份有限公司、浙江蚂蚁小微金融服务集团股份有限公司、
深信服科技股份有限公司、北京数字观星科技有限公司、北京摄星科技有限公司。
本标准主要起草人:王宏、张玉清、谢安明、刘奇旭、高红静、舒敏、郝永乐、郭亮、黄正、上官晓丽、
任泽君、崔牧凡、曲泷玉、贾依真、陈悦、贾子骁、郑亮、何茂根、赵旭东、李霞、傅强、赵焕菊、李柏松、刘楠、
王文杰、王鹤。
本标准所代替标准的历次版本发布情况为:
---GB/T 28458-2012。
信息安全技术
网络安全漏洞标识与描述规范
1 范围
本标准规定了网络安全漏洞(以下简称“漏洞”)的标识与描述信息。
本标准适用于从事漏洞发布与管理、漏洞库建设、产品生产、研发、测评与网络运营等活动的所有相
关方。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 7408-2005 数据元和交换格式 信息交换 日期和时间表示法
GB/T 25069 信息安全技术 术语
GB/T 30276-2020 信息安全技术 网络安全漏洞管理规范
GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南
3 术语和定义
GB/T 25069、GB/T 30276-2020、GB/T 30279-2020界定的以及下列术语和定义适用于本文件。
3.1
网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中,无意或有意产生的、有可
能被利用的缺陷或薄弱点。
注:这些缺陷或薄弱点以不同形式存在于网络产品和服务的各个层次和环节中,一旦被恶意主体所利用,就会对网
络产品和服务的安全造成损害,从而影响其正常运行。
4 缩略语
下列缩略语适用于本文件。
5 网络安全漏洞标识与描述
5.1 框架
针对每一个漏洞进行标识与描述的框架如图1所示,分为标识项和描述项两大类,其中描述项包括
名称、发布时间、发布者、验证者、发现者、类别、等级、受影响产品或服务、相关编号、存在性说明等十项
必须项,并可根据需要扩展检测方法、解决方案、其他描述等扩展项。扩展项为可选。
5.2 标识项
标识项中仅有“标识号”一项内容。“标识号”是用来对每个漏洞进行唯一标识的代码,其格式为:
CNCVD-YYYY-NNNNNN,如图2所示。
图2 网络安全漏洞标识号
其中,CNCVD为固定编码前缀;YYYY为4位十进制数字,表示漏洞发现的年份;NNNNNN为
6位十进制数字序列号,表示YYYY年内漏洞的序号。序列号位数默认采用6位,从“000001”开始编
号,当YYYY年漏洞数量超过999999时,可按需扩展其数字位数。
5.3 描述项
5.3.1 名称
概括性描述漏洞信息的短语。采用分段式格式描述,包括固定字段和自定义字段,字段之间以“.”
相隔。格式如下:
漏洞相关的产品或服务.等级.类别.自定义字段1.自定义字段2..自定义字段n
前三段为固定字段,使用中英文或数字标识。其中:
a) “漏洞相关的产品或服务”为漏洞所存在的、正式发布的产品或服务名称,可包含版本号信息,
例如,InternetExplorer8.0、Chrome等。“漏洞相关的产品或服务”需与5.3.8的内容保持一
致,可为5.3.8的简要缩写。
b) “等级”为漏洞描述项中的“5.3.7等级”。
c) “类别”为漏洞描述项中的“5.3.6类别”。
第四段起为自定义字段,属可选项,可增加多个。自定义字段主要用于补充描述固定字段以外的其
他信息,例如漏洞的别称等。
示例:
GNUBash.高危.远程代码执行漏洞.破壳漏洞
5.3.2 发布时间
漏洞信息发布的日期。日期书写应采用GB/T 7408-2005中5.2.1.1完全表示法中的扩展格式。
格式为:YYYY-MM-DD,如2019-01-01。其中,YYYY表示一个日历年,MM 表示日历年中日历月的
顺序数,DD表示日历月中日历日的顺序数。
5.3.3 发布者
“漏洞发布者”的简称,是发布经验证后的漏洞信息的个人或组织。发布者以其个人标识或组织名
称命名。“组织名称”可以是发布者组织的正式名称或简称等。漏洞发布者为个人的,可以冠以其所属
组织名称,格式如下:
漏洞发布者个人标识(漏洞发布者组织名称)
发布者允许多个,中间以逗号分隔。例如:
张三(组织A),李四(组织A,组织B),王五,组织C。
漏洞发布应符合GB/T 30276-2020中5.5漏洞发布规定的要求。
5.3.4 验证者
“漏洞验证者”的简称,是对漏洞的存在性、等级、类别等进行技术验证的个人或组织。验证者以其
个人标识或组织名称命名。“组织名称”可以是验证者组织的正式名称或简称等。漏洞验证者为个人
的,可以冠以其所属组织名称,格式如下:
漏洞验证者个人标识(漏洞验证者组织名称)
验证者允许多个,中间以逗号分隔。例如:
张三(组织A),李四(组织A,组织B),王五,组织C。
漏洞验证应符合GB/T 30276-2020中5.3漏洞验证规定的要求。
5.3.5 发现者
“漏洞发现者”的简称,是发现漏洞的个人或组织。发现者以其个人标识或组织名称命名。“个人标
识”可以是发现者个人的姓名或代号等,“组织名称”可以是发现者组织的正式名称或简称等。不能确认
发现者身份,或漏洞信息为匿名发布的,发现者可标识为“匿名”。漏洞发现者为个人的,可以冠以其所
属组织名称,格式如下:
漏洞发现者个人标识(漏洞发现者组织名称)
发现者允许多个,中间以逗号分隔。例如:
张三(组织A),李四(组织A,组织B),王五,组织C。
漏洞发现应符合GB/T 30276-2020中5.1a)的要求。
5.3.6 类别
漏洞所属分类。给出漏洞分类归属的信息。类别划分应符合GB/T 30279-2020中第5章网络安
全漏洞分类规定的要求。
5.3.7 等级
漏洞危害级别。给出漏洞能够造成的危害程度。等级划分应符合GB/T 30279-2020中6.3.3网
络安全漏洞技术分级规定的要求。
5.3.8 受影响产品或服务
漏洞所存在的产品或服务的详细信息,包括供应商、名称、版本号等内容。对于共用中间件或者组
件的漏洞,受其影响的相关产品或服务信息均可列出。
5.3.9 相关编号
同一漏洞在不同组织中的编号,例如,CNVD编号、CNNVD编号、CVE编号或其他组织自定义的
漏洞编号等,若存在多个编号可顺序给出,中间以逗号分隔。相关编号的XML表示方法参见附录A。
5.3.10 存在性说明
描述漏洞的触发条件、生成机理或概念性证明等。
5.3.11 检测方法
漏洞扫描或测试的方法,例如漏洞检测代码、程序或方法说明等。
5.3.12 解决方案
漏洞的解决方案,例如,补丁信息、修复或防范措施等。
5.3.13 其他描述
需要说明的其他相关信息。
5.4 证实方法
漏洞标识项与描述项的具体内容可随着漏洞的分析与研究而动态变化。在漏洞管理和应用过程
中,相关个人或组织应确定漏洞的标识与描述信息是否符合5.2及5.3的要求,漏洞标识项与描述项示
例的XML表示参见附录A。
附 录 A
(资料性附录)
漏洞标识与描述规范示例的XML表示
本附录给出了一个采用本标准所规定的漏洞标识与描述的漏洞示例(非真实漏洞),目的是演示本
标准的使用方法。为确保示例的简洁性和可读性,本附录采用了XML语言作为表示语言。
< ? xmlversion="1.0"encoding="UTF-8"? >
< cncvd_items >
< 标识号 >CNCVD-2020-101001< /标识号 >
< 名称 >LinuxKernel.高危.竞争条件漏洞.脏牛Ⅱ漏洞< /名称 >
< 发布时间 >2020-10-10< /发布时间 >
< 发布者 >国家计算机网络应急技术处理协调中心< /发布者 >
< 验证者 >
中国信息安全测评中心,国家信息技术安全研究中心
< /验证者 >
< 发现者 >国家计算机网络入侵防范中心< /发现者 >
< 类别 >竞争条件漏洞< /类别 >
< 等级 >高危< /等级 >
< 受影响产品或服务 >
< 生产厂商 >Debian< /生产厂商 >
< 产品或服务信息 >
< 产品或服务名称 >debian_linux< /产品或服务名称 >
< 版本号 >7.0< /版本号 >
< 版本号 >8.0< /版本号 >
< /产品或服务信息 >
< /受影响产品或服务 >
< 相关编号 >
CNVD-2020-12345,CNNVD-202010-1234,NIPC-2020-123456,CVE-2020-......
|