GB/T28458-2020
信息安全技术网络安全漏洞标识与描述规范
Informationsecuritytechnology—Cybersecurityvulnerabilityidentificationanddescriptionspecification
![本文分享国家标准信息安全技术网络安全漏洞标识与描述规范的全文阅读和高清PDF的下载,信息安全技术网络安全漏洞标识与描述规范的编号:GB/T28458-2020。信息安全技术网络安全漏洞标识与描述规范共有8页,发布于2021-06-01](/image/data/9711_1.gif)
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2021-06-01
- 文件格式PDF
- 文本页数8页
- 文件大小626.05KB
以图片形式预览信息安全技术网络安全漏洞标识与描述规范
信息安全技术网络安全漏洞标识与描述规范
国家标准 GB/T28458一2020 代替GB/T28458一2012 信息安全技术 网络安全漏洞标识与描述规范 Informationseeuritytechnology一 Cyberseeurityvunerabilityidentifieationanddeseriptionspecifieation 2020-11-19发布 2021-06-01实施 国家市场监督管理总局 发布 国家标涯花警理委员会国家标准
GB/T28458一2020 目 次 前言 范围 2 规范性引用文件 术语和定义 缩略语 网络安全漏洞标识与描述 5.1框架 5.2标识项 5.3描述项 5,4证实方法 附录A资料性附录漏洞标识与描述规范示例的XML表示
GB/T28458一2020 前 言 本标准按照GB/T1.1一2009给出的规则起草
本标准代替GB/T284582012《信息安全技术安全漏洞标识与描述规范》,与GB/T28458 2012相比,主要技术变化如下 -修改了网络安全漏洞的术语和定义(见3.1,2012年版的3.2); -增加了缩略语(见第4章); -将标识与描述作为两个方面表述,增加了标识字段描述内容(见5.2); -增加了验证者、发现者、存在性说明和检测方法等描述项内容(见5.3.45.3.5、5.3.10.5.3.1l) -修改了标识项名称,受影响产品或服务、相关编号、解决方案等内容(见5.2、5.3.1,5.3.8 5.3.9、5.3.12,2012年版的4.2.1、4.2.2、4.2.7、4.2.8、4.2.10); 删除了利用方法描述项(见2012年版的4.2.9). 请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口
本标准起草单位国家信息技术安全研究中心国家计算机网络应急技术处理协调中心,信息 安全测评中心科学院大学国家计算机网络人侵防范中心、电子技术标准化研究院、科学 院信息工程研究所、启明星辰信息技术集团股份有限公司、北京百度网讯科技有限公司、奇安信科技集 团股份有限公司、北京神州绿盟信息安全科技股份有限公司、上海斗象信息科技有限公司,阿里巴巴(北 京)软件服务有限公司、深圳市腾讯计算机系统有限公司、北京知道创宇信息技术有限公司恒安嘉新 北京)科技股份公司、哈尔滨安天科技集团股份有限公司、浙江蚂蚁小微金融服务集团股份有限公司 深信服科技股份有限公司、北京数字观星科技有限公司、北京摄星科技有限公司
本标准主要起草人;王宏,张玉清,谢安明,刘奇旭,高红静、舒敏、郝永乐、郭亮、黄正、上官晓丽、 任泽君、崔牧凡、曲胧玉、贾依真、陈悦、贾子骁,郑亮、何茂根,赵旭东、李霞、傅强、赵焕菊、李柏松,刘楠、 王文杰、王鹤
本标准所代替标准的历次版本发布情况为: GB/T284582012
GB/T28458一2020 信息安全技术 网络安全漏洞标识与描述规范 范围 本标准规定了网络安全漏洞(以下简称“漏洞”)的标识与描述信息
本标准适用于从事漏洞发布与管理、漏洞库建设、产品生产,研发、测评与网络运营等活动的所有相 关方
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB/T74082005数据元和交换格式信息交换日期和时间表示法 GB/T25069信息安全技术术语 GB/T30276-2020信息安全技术网络安全漏洞管理规范 GB/T30279一2020信息安全技术网络安全漏洞分类分级指南 术语和定义 GB/T25069,GB/T302762020,(GB/T302792020界定的以及下列术语和定义适用于本文件
3.1 网络安全漏洞eyberseeurityvunerability 网络产品和服务在需求分析,设计,实现、配置、测试、,运行、维护等过程中,无意或有意产生的、有可 能被利用的缺陷或薄弱点
注,这些缺陷或薄弱点以不同形式存在于网络产晶和服务的各个层次和环节中,一旦被恶意主体所利用,就会对网 络产品和服务的安全造成损害,从而影响其正常运行
缩略语 下列缩略语适用于本文件
CNCVD:国家网络安全漏洞库(ChinaNationalCybersecurityVulnerabiityDatabase) CVE;公共漏洞和暴露(CommonVulnerabilitiesandExposures7 XML;可扩展置标语言(ExtensibleMarkupL.anguage) 网络安全漏洞标识与描述 5.1框架 针对每一个漏洞进行标识与描述的框架如图1所示,分为标识项和描述项两大类,其中描述项包括
GB/T28458一2020 名称、发布时间、发布者、验证者,发现者,类别,等级,受影响产品或服务、相关编号、存在性说明等十项 必须项,并可根据需要扩展检测方法,解决方案,其他描述等扩展项
扩展项为可选
网络安全漏洞标识与描述 标识项 描述项 要 名 响 验 名 类 识 播 别 称 级 省 号 间 述 去 明 务 图1网络安全漏洞标识与描述框架 5.2标识项 标识项中仅有“标识号”一项内容
“标识号”是用来对每个漏洞进行唯一标识的代码,其格式为 CNcVDYYYY-NNNNNN,如图2所示
CNCVD YYYY NNNNNN 前缀 4位数字年份 6位数字序列号 图2网络安全漏洞标识号 其中,CNCVD为固定编码前缀;YYYY为4位十进制数字,表示漏洞发现的年份;NNNNNN为 6位十进制数字序列号,表示YYYY年内漏洞的序号
序列号位数默认采用6位,从“000001”开始编 号,当YYYY年漏洞数量超过999999时,可按需扩展其数字位数
5.3描述项 5.3.1名称 概括性描述漏洞信息的短语
采用分段式格式描述,包括固定字段和自定义字段,字段之间以“” 相隔
格式如下 漏洞相关的产品或服务.等级.类别.自定义字段1.自定义字段2..自定义字段n 前三段为固定字段,使用中英文或数字标识
其中: “漏洞相关的产品或服务”为漏洞所存在的、正式发布的产品或服务名称,可包含版本号信息
a 例如,lnternetExplorer8.0,Chrome等
“漏洞相关的产品或服务”需与5.3.8的内容保持一 致,可为5.a.&的简要缩写
b “等级"为漏科描述项中的"5.,37 等级” “类别”为漏洞描述项中的“5.3.,6类别” c 第四段起为自定义字段,属可选项,可增加多个
自定义字段主要用于补充描述固定字段以外的其 他信息,例如漏洞的别称等
GB/T28458一2020 示例 GNUash.高危.远程代码执行漏洞.破壳漏洞 5.3.2发布时间 漏洞信息发布的日期
日期书写应采用GB/T7408一2005中5.2.1.1完全表示法中的扩展格式
格式为:YYYY-MM-DD,如2019-01-01
其中,YYYY表示一个日历年,MM表示日历年中日历月的 顺序数,DD表示日历月中日历日的顺序数
5.3.3发布者 “漏洞发布者”的简称,是发布经验证后的漏洞信息的个人或组织
发布者以其个人标识或组织名 称命名
“组织名称”可以是发布者组织的正式名称或简称等
漏洞发布者为个人的,可以冠以其所属 组织名称,格式如下 漏洞发布者个人标识(漏洞发布者组织名称 发布者允许多个,中间以逗号分隔
例如: 张三(组织A),李四(组织A,组织B),王五,组织C 漏洞发布应符合GB/T302762020中5.5漏洞发布规定的要求
5.3.4验证者 “漏洞验证者”的简称,是对漏洞的存在性、等级,类别等进行技术验证的个人或组织
验证者以其 个人标识或组织名称命名
“组织名称”可以是验证者组织的正式名称或简称等
漏洞验证者为个人 的,可以冠以其所属组织名称,格式如下 漏洞验证者个人标识(漏洞验证者组织名称 验证者允许多个,中间以逗号分隔
例如: 张三(组织A),李四(组织A,组织B),王五,组织C 漏洞验证应符合GB/T302762020中5.3漏洞验证规定的要求
5.3.5发现者 “漏洞发现者”的简称,是发现漏洞的个人或组织
发现者以其个人标识或组织名称命名
“个人标 识”可以是发现者个人的姓名或代号等,“组织名称”可以是发现者组织的正式名称或简称等
不能确认 发现者身份,或漏洞信息为置名发布的,发现者可标识为“匿名”
漏洞发现者为个人的,可以冠以其所 属组织名称,格式如下: 漏洞发现者个人标识(漏洞发现者组织名称 发现者允许多个,中间以逗号分隔
例如: 张三(组织A),李四(组织A,组织B),王五,组织C
漏洞发现应符合GB/T30276一2020中5.la)的要求
5.3.6类别 漏洞所属分类
给出漏洞分类归属的信息
类别划分应符合GB/T302792020中第5章网络安 全漏洞分类规定的要求
5.3.7 等级 漏洞危害级别
给出漏洞能够造成的危害程度
等级划分应符合GB/T302792020中6.3.3网 络安全漏洞技术分级规定的要求
GB/T28458一2020 5.3.8受影响产品或服务 漏洞所存在的产品或服务的详细信息,包括供应商,名称版本号等内容
对于共用中间件或者组 件的漏洞,受其影响的相关产品或服务信息均可列出
5.3.9相关编号 同一漏洞在不同组织中的编号,例如,CNVD编号、CNNVD编号、CVE编号或其他组织自定义的 漏洞编号等,若存在多个编号可顺序给出,中间以逗号分隔
相关编号的XML.表示方法参见附录A
5.3.10存在性说明 描述漏洞的触发条件、生成机理或概念性证明等
5.3.11检测方法 漏洞扫描或测试的方法,例如漏洞检测代码.程序或方法说明等 5.3.12解决方案 漏洞的解决方案,例如,补丁信息、修复或防范措施等
5.3.13其他描述 需要说明的其他相关信息
5.4证实方法 漏洞标识项与描述项的具体内容可随着漏洞的分析与研究而动态变化
在漏洞管理和应用过程 中,相关个人或组织应确定漏洞的标识与描述信息是否符合5.2及5.3的要求,漏洞标识项与描述项示 例的XMI表示参见附录A
GB/T28458一2020 录 附 A 资料性附录 漏洞标识与描述规范示例的XL表示 本附录给出了一个采用本标准所规定的漏洞标识与描述的漏洞示例(非真实漏洞),目的是演示本 标准的使用方法
为确保示例的简洁性和可读性,本附录采用了XML语言作为表示语言
(?xmlversion="1.0”encoding="UTF-8"?) cncvd_items》 标识号CNCVD2020-101001/标识号 名称>LinuxKernel.高危.竞争条件漏洞.脏牛I漏洞名称 《发布时间)2020-10-10发布时间 《发布者)国家计算机网络应急技术处理协调中心(/发布者 验证者》 信息安全测评中心,国家信息技术安全研究中心 /验证者 发现者)国家计算机网络人侵防范中心发现者》 《类别)竟争条件漏洞/类别 〈等级)高危/等级 受影响产品或服务 《生产厂商>Debian(/生产厂商》 产品或服务信息》 产品或服务名称>debian_linux产品或服务名称y 版本号>7.0版本号 <版本号)8.0版本号 /产品或服务信息》 /受影响产品或服务》 相关编号 CNVD-2020-12345,CNNVD-202010-1234,NIP(C-2020-123456,CVE-2020-2345 /相关编号 e文件存在竟争条件漏洞 存在性说明)Limuxkernel2.x至4.8.3之前的4.x版本中的mm/gup. 该漏洞源于程序没有正确处理co 一write(cow)功能写人只读内存映射
《/存在性说明》 opyon" 《检测方法)下载检测代码并编译,使用非root用户运行生成的程序,对只读文件进行写人,如果写 人成功,则漏洞存在
检测代码下载地址为http://eithub.om/dirtyow2/检测方法》 《解决方案厂商发布了升级程序修复该漏洞,请及时关注更新https://git.lkernel.org/egit/Iinux kernel/git/torvalds/Iinux.git/commit/〈/解决方案 《其他描述>(/其他描述 /cncvd_items》
信息安全技术网络安全漏洞标识与描述规范
随着互联网技术的发展,网络安全已经成为一个备受关注的话题。在网络安全的实践中,漏洞是最为常见的安全威胁之一。其中,漏洞标识与描述是保障网络安全的重要环节。 GB/T28458-2020标准规范了漏洞标识和描述的命名规则和格式,为网络安全领域中相关人员提供了一种统一的标准化方法。这项标准还明确了相关人员应当如何对漏洞进行分类、评估和处理,并提供了漏洞报告模板的具体要求。 在标准的指导下,网络安全从业者可以更加精准地识别和描述漏洞,同时也能更好地与其他行业人员进行协作。此外,在漏洞修复方面,标准的推广可以帮助企业更快地发现漏洞,并采取针对性的解决方案。 总之,GB/T28458-2020标准的出台,为保障网络安全提供了重要的工具和指导,有助于网络安全领域的规范化、专业化、标准化和国际化的进程。