ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T28458—2020

代替

GB/T28458—2012

信息安全技術(shù)

網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范

Informationsecuritytechnology—

Cybersecurityvulnerabilityidentificationanddescriptionspecification

2020-11-19發(fā)布2021-06-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T28458—2020

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………1

網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述

5………………1

框架

5.1…………………1

標(biāo)識(shí)項(xiàng)

5.2………………2

描述項(xiàng)

5.3………………2

證實(shí)方法

5.4……………4

附錄資料性附錄漏洞標(biāo)識(shí)與描述規(guī)范示例的表示

A()XML………5

Ⅰ

GB/T28458—2020

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息安全技術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范與

GB/T28458—2012《》,GB/T28458—

相比主要技術(shù)變化如下

2012,:

修改了網(wǎng)絡(luò)安全漏洞的術(shù)語和定義見年版的

———(3.1,20123.2);

增加了縮略語見第章

———(4);

將標(biāo)識(shí)與描述作為兩個(gè)方面表述增加了標(biāo)識(shí)字段描述內(nèi)容見

———,(5.2);

增加了驗(yàn)證者發(fā)現(xiàn)者存在性說明和檢測方法等描述項(xiàng)內(nèi)容見

———、、(5.3.4、5.3.5、5.3.10、5.3.11);

修改了標(biāo)識(shí)項(xiàng)名稱受影響產(chǎn)品或服務(wù)相關(guān)編號(hào)解決方案等內(nèi)容見

———、、、、(5.2、5.3.1、5.3.8、

年版的

5.3.9、5.3.12,20124.2.1、4.2.2、4.2.7、4.2.8、4.2.10);

刪除了利用方法描述項(xiàng)見年版的

———(20124.2.9)。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位國家信息技術(shù)安全研究中心國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心中國信息

:、、

安全測評(píng)中心中國科學(xué)院大學(xué)國家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心中國電子技術(shù)標(biāo)準(zhǔn)化研究院中國科學(xué)

、、、

院信息工程研究所啟明星辰信息技術(shù)集團(tuán)股份有限公司北京百度網(wǎng)訊科技有限公司奇安信科技集

、、、

團(tuán)股份有限公司北京神州綠盟信息安全科技股份有限公司上海斗象信息科技有限公司阿里巴巴北

、、、(

京軟件服務(wù)有限公司深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司北京知道創(chuàng)宇信息技術(shù)有限公司恒安嘉新

)、、、

北京科技股份公司哈爾濱安天科技集團(tuán)股份有限公司浙江螞蟻小微金融服務(wù)集團(tuán)股份有限公司

()、、、

深信服科技股份有限公司北京數(shù)字觀星科技有限公司北京攝星科技有限公司

、、。

本標(biāo)準(zhǔn)主要起草人王宏張玉清謝安明劉奇旭高紅靜舒敏郝永樂郭亮黃正上官曉麗

:、、、、、、、、、、

任澤君崔牧凡曲瀧玉賈依真陳悅賈子驍鄭亮何茂根趙旭東李霞傅強(qiáng)趙煥菊李柏松劉楠

、、、、、、、、、、、、、、

王文杰王鶴

、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T28458—2012。

Ⅲ

GB/T28458—2020

信息安全技術(shù)

網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全漏洞以下簡稱漏洞的標(biāo)識(shí)與描述信息

(“”)。

本標(biāo)準(zhǔn)適用于從事漏洞發(fā)布與管理漏洞庫建設(shè)產(chǎn)品生產(chǎn)研發(fā)測評(píng)與網(wǎng)絡(luò)運(yùn)營等活動(dòng)的所有相

、、、、

關(guān)方

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

數(shù)據(jù)元和交換格式信息交換日期和時(shí)間表示法

GB/T7408—2005

信息安全技術(shù)術(shù)語

GB/T25069

信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范

GB/T30276—2020

信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級(jí)指南

GB/T30279—2020

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T25069、GB/T30276—2020、GB/T30279—2020。

31

.

網(wǎng)絡(luò)安全漏洞cybersecurityvulnerability

網(wǎng)絡(luò)產(chǎn)品和服務(wù)在需求分析設(shè)計(jì)實(shí)現(xiàn)配置測試運(yùn)行維護(hù)等過程中無意或有意產(chǎn)生的有可

、、、、、、,、

能被利用的缺陷或薄弱點(diǎn)

。

注這些缺陷或薄弱點(diǎn)以不同形式存在于網(wǎng)絡(luò)產(chǎn)品和服務(wù)的各個(gè)層次和環(huán)節(jié)中一旦被惡意主體所利用