ICS35.040L80中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)代替GB/T28458—2012信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范I—C國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)ⅠGB／T28458—2020前言 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 5網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述 附錄A（資料性附錄）漏洞標(biāo)識(shí)與描述規(guī)范示例的XML表示 ⅢGB／T28458—2020前本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。本標(biāo)準(zhǔn)代替GB/T28458—2012《信息安全技術(shù)言安全漏洞標(biāo)識(shí)與描述規(guī)范》，與GB/T28458—2012相比，主要技術(shù)變化如下：—修改了網(wǎng)絡(luò)安全漏洞的術(shù)語和定義（見3.1,2012年版的3.2);—增加了縮略語（見第4章—將標(biāo)識(shí)與描述作為兩個(gè)方面表述，增加了標(biāo)識(shí)字段描述內(nèi)容（見5.2);—?jiǎng)h除了利用方法描述項(xiàng)（見2012年版的4.2.9)。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本標(biāo)準(zhǔn)起草單位：國(guó)家信息技術(shù)安全研究中心、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國(guó)信息安全測(cè)評(píng)中心、中國(guó)科學(xué)院大學(xué)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、中國(guó)科學(xué)院信息工程研究所、啟明星辰信息技術(shù)集團(tuán)股份有限公司、北京百度網(wǎng)訊科技有限公司、奇安信科技集團(tuán)股份有限公司、北京神州綠盟信息安全科技股份有限公司、上海斗象信息科技有限公司、阿里巴巴（北京）軟件服務(wù)有限公司、深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司、北京知道創(chuàng)宇信息技術(shù)有限公司、恒安嘉新（北京）科技股份公司、哈爾濱安天科技集團(tuán)股份有限公司、浙江螞蟻小微金融服務(wù)集團(tuán)股份有限公司、深信服科技股份有限公司、北京數(shù)字觀星科技有限公司、北京攝星科技有限公司。本標(biāo)準(zhǔn)主要起草人：王宏、張玉清、謝安明、劉奇旭、高紅靜、舒敏、郝永樂、郭亮、黃正、上官曉麗、本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為：—GB/T28458—2012。1GB／T28458—2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全漏洞（以下簡(jiǎn)稱“漏洞”）的標(biāo)識(shí)與描述信息。本標(biāo)準(zhǔn)適用于從事漏洞發(fā)布與管理、漏洞庫(kù)建設(shè)、產(chǎn)品生產(chǎn)、研發(fā)、測(cè)評(píng)與網(wǎng)絡(luò)運(yùn)營(yíng)等活動(dòng)的所有相關(guān)方。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T7408—2005數(shù)據(jù)元和交換格式信息交換日期和時(shí)間表示法GB/T25069信息安全技術(shù)術(shù)語GB/T30276—2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范GB/T30279—2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級(jí)指南3術(shù)語和定義GB/T25069、GB/T30276—2020、GB/T30279—2020界定的以及下列術(shù)語和定義適用于本文件。3.1網(wǎng)絡(luò)安全漏洞網(wǎng)絡(luò)產(chǎn)品和服務(wù)在需求分析、設(shè)計(jì)、實(shí)現(xiàn)、配置、測(cè)試、運(yùn)行、維護(hù)等過程中，無意或有意產(chǎn)生的、有可能被利用的缺陷或薄弱點(diǎn)。注：這些缺陷或薄弱點(diǎn)以不同形式存在于網(wǎng)絡(luò)產(chǎn)品和服務(wù)的各個(gè)層次和環(huán)節(jié)中，一旦被惡意主體所利用，就會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全造成損害，從而影響其正常運(yùn)行。4縮略語下列縮略語適用于本文件。中國(guó)國(guó)家網(wǎng)絡(luò)安全漏洞庫(kù)(公共漏洞和暴露(可擴(kuò)展置標(biāo)語言(5網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述針對(duì)每一個(gè)漏洞進(jìn)行標(biāo)識(shí)與描述的框架如圖1所示，分為標(biāo)識(shí)項(xiàng)和描述項(xiàng)兩大類，其中描述項(xiàng)包括2GB／T28458—2020名稱、發(fā)布時(shí)間、發(fā)布者、驗(yàn)證者、發(fā)現(xiàn)者、類別、等級(jí)、受影響產(chǎn)品或服務(wù)、相關(guān)編號(hào)、存在性說明等十項(xiàng)必須項(xiàng)，并可根據(jù)需要擴(kuò)展檢測(cè)方法、解決方案、其他描述等擴(kuò)展項(xiàng)。擴(kuò)展項(xiàng)為可選。圖1網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述框架標(biāo)識(shí)項(xiàng)中僅有“標(biāo)識(shí)號(hào)”一項(xiàng)內(nèi)容。“標(biāo)識(shí)號(hào)”是用來對(duì)每個(gè)漏洞進(jìn)行唯一標(biāo)識(shí)的代碼，其格式為：CNCVD-YYYY-NNNNNN，如圖2所示。圖2網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)號(hào)其中，CNCVD為固定編碼前綴；YYYY為4位十進(jìn)制數(shù)字，表示漏洞發(fā)現(xiàn)的年份；NNNNNN為6位十進(jìn)制數(shù)字序列號(hào)，表示YYYY年內(nèi)漏洞的序號(hào)。序列號(hào)位數(shù)默認(rèn)采用6位，從“000001”開始編號(hào)，當(dāng)YYYY年漏洞數(shù)量超過999999時(shí)，可按需擴(kuò)展其數(shù)字位數(shù)。概括性描述漏洞信息的短語。采用分段式格式描述，包括固定字段和自定義字段，字段之間以“.”相隔。格式如下：漏洞相關(guān)的產(chǎn)品或服務(wù)．等級(jí)．類別．自定義字段1.自定義字段2.…….自定義字段n前三段為固定字段，使用中英文或數(shù)字標(biāo)識(shí)。其中：a）“漏洞相關(guān)的產(chǎn)品或服務(wù)”為漏洞所存在的、正式發(fā)布的產(chǎn)品或服務(wù)名稱，可包含版本號(hào)信息，例如等的內(nèi)容保持一第四段起為自定義字段，屬可選項(xiàng)，可增加多個(gè)。自定義字段主要用于補(bǔ)充描述固定字段以外的其他信息，例如漏洞的別稱等。3GB／T28458—2020示例：GNUBash.高危．遠(yuǎn)程代碼執(zhí)行漏洞．破殼漏洞漏洞信息發(fā)布的日期。日期書寫應(yīng)采用GB/T7408—2005中5.2.1.1完全表示法中的擴(kuò)展格式。格式為：YYYY-MM-DD,如2019-01-01。其中，YYYY表示一個(gè)日歷年，MM表示日歷年中日歷月的順序數(shù)，DD表示日歷月中日歷日的順序數(shù)?！奥┒窗l(fā)布者”的簡(jiǎn)稱，是發(fā)布經(jīng)驗(yàn)證后的漏洞信息的個(gè)人或組織。發(fā)布者以其個(gè)人標(biāo)識(shí)或組織名稱命名?！敖M織名稱”可以是發(fā)布者組織的正式名稱或簡(jiǎn)稱等。漏洞發(fā)布者為個(gè)人的，可以冠以其所屬組織名稱，格式如下：漏洞發(fā)布者個(gè)人標(biāo)識(shí)（漏洞發(fā)布者組織名稱）發(fā)布者允許多個(gè)，中間以逗號(hào)分隔。例如：張三（組織A),李四（組織A,組織B),王五，組織C。漏洞發(fā)布應(yīng)符合GB/T30276—2020中5.5漏洞發(fā)布規(guī)定的要求?！奥┒打?yàn)證者”的簡(jiǎn)稱，是對(duì)漏洞的存在性、等級(jí)、類別等進(jìn)行技術(shù)驗(yàn)證的個(gè)人或組織。驗(yàn)證者以其個(gè)人標(biāo)識(shí)或組織名稱命名?！敖M織名稱”可以是驗(yàn)證者組織的正式名稱或簡(jiǎn)稱等。漏洞驗(yàn)證者為個(gè)人的，可以冠以其所屬組織名稱，格式如下：漏洞驗(yàn)證者個(gè)人標(biāo)識(shí)（漏洞驗(yàn)證者組織名稱）驗(yàn)證者允許多個(gè)，中間以逗號(hào)分隔。例如：張三（組織A),李四（組織A,組織B),王五，組織C。漏洞驗(yàn)證應(yīng)符合GB/T30276—2020中5.3漏洞驗(yàn)證規(guī)定的要求?！奥┒窗l(fā)現(xiàn)者”的簡(jiǎn)稱，是發(fā)現(xiàn)漏洞的個(gè)人或組織。發(fā)現(xiàn)者以其個(gè)人標(biāo)識(shí)或組織名稱命名?！皞€(gè)人標(biāo)識(shí)”可以是發(fā)現(xiàn)者個(gè)人的姓名或代號(hào)等，“組織名稱”可以是發(fā)現(xiàn)者組織的正式名稱或簡(jiǎn)稱等。不能確認(rèn)發(fā)現(xiàn)者身份，或漏洞信息為匿名發(fā)布的，發(fā)現(xiàn)者可標(biāo)識(shí)為“匿名”。漏洞發(fā)現(xiàn)者為個(gè)人的，可以冠以其所屬組織名稱，格式如下：漏洞發(fā)現(xiàn)者個(gè)人標(biāo)識(shí)（漏洞發(fā)現(xiàn)者組織名稱）發(fā)現(xiàn)者允許多個(gè)，中間以逗號(hào)分隔。例如：張三（組織A),李四（組織A,組織B),王五，組織C。的要求漏洞所屬分類。給出漏洞分類歸屬的信息。類別劃分應(yīng)符合GB/T30279—2020中第5章網(wǎng)絡(luò)安全漏洞分類規(guī)定的要求。漏洞危害級(jí)別。給出漏洞能夠造成的危害程度。等級(jí)劃分應(yīng)符合GB/T30279—2020中6.3.3網(wǎng)絡(luò)安全漏洞技術(shù)分級(jí)規(guī)定的要求。4GB／T28458—20205.3.8受影響產(chǎn)品或服務(wù)漏洞所存在的產(chǎn)品或服務(wù)的詳細(xì)信息，包括供應(yīng)商、名稱、版本號(hào)等內(nèi)容。對(duì)于共用中間件或者組件的漏洞，受其影響的相關(guān)產(chǎn)品或服務(wù)信息均可列出。同一漏洞在不同組織中的編號(hào)，例如，CNVD編號(hào)、CNNVD編號(hào)、CVE編號(hào)或其他組織自定義的漏洞編號(hào)等，若存在多個(gè)編號(hào)可順序給出，中間以逗號(hào)分隔。相關(guān)編號(hào)的XML表示方法參見附錄A。描述漏洞的觸發(fā)條件、生成機(jī)理或概念性證明等。漏洞掃描或測(cè)試的方法，例如漏洞檢測(cè)代碼、程序或方法說明等。漏洞的解決方案，例如，補(bǔ)丁信息、修復(fù)或防范措施等。需要說明的其他相關(guān)信息。漏洞標(biāo)識(shí)項(xiàng)與描述項(xiàng)的具體內(nèi)容可隨著漏洞的分析與研究而動(dòng)態(tài)變化。在漏洞管理和應(yīng)用過程中，相關(guān)個(gè)人或組織應(yīng)確定漏洞的標(biāo)識(shí)與描述信息是否符合5.2及5.3的要求，漏洞標(biāo)識(shí)項(xiàng)與描述項(xiàng)示例的XML表示參見附錄A。GB／T28458—2020附錄A（資料性附錄）漏洞標(biāo)識(shí)與描述規(guī)范示例的XML表示本附錄給出了一個(gè)采用本標(biāo)準(zhǔn)所規(guī)定的漏洞標(biāo)識(shí)與描述的漏洞示例（非真實(shí)漏洞目的是演示本標(biāo)準(zhǔn)的使用方法。為確保示例的簡(jiǎn)潔性和可讀性，本附錄采用了XML語言作為表示語言?！碿ncvd_items〉〈發(fā)布者〉國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心〈／發(fā)布者〉〈驗(yàn)證者〉中國(guó)信息安全測(cè)評(píng)中心，國(guó)家信息技術(shù)安全研究中心〈發(fā)現(xiàn)者〉國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心〈／發(fā)現(xiàn)者〉〈受影響產(chǎn)品或服務(wù)〉〈產(chǎn)品或服務(wù)信息〉〈產(chǎn)品或服務(wù)名稱〉debian_linux〈／產(chǎn)品或服務(wù)名稱〉〈／產(chǎn)品或服務(wù)信息〉〈／受影響產(chǎn)品或服務(wù)〉〈相關(guān)編號(hào)〉CNVD-2020-12345,CNNVD-202010-1234,NIPC