GB/T 28458-2020
基本信息
标准号:
GB/T 28458-2020
中文名称:信息安全技术网络安全漏洞标识与描述规范
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:552105
相关标签:
信息安全
技术
网络安全
漏洞
标识
描述
规范
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 28458-2020.Information security technology-Cybersecurity vulnerability identification and description specification.
1范围
GB/T 28458规定了网络安全漏洞(以下简称“漏洞")的标识与描述信息。
GB/T 28458适用于从事漏洞发布与管理、漏洞库建设、产品生产、研发、测评与网络运营等活动的所有相关方。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 7408-2005数据元和交换格式 信息交换日 期和时间表示法
GB/T 25069信息安全技术 术语
GB/T 30276-2020信息安全技术网络安全漏洞管理规范
GB/T 30279-2020 信 息安全技术网络安 全漏洞分类分级指南
3术语和定义
GB/T 25069、GB/T 30276-2020 、GB/T 30279-2020界定的以及下列术语和定义适用于本文件。
3.1
网络安全漏洞 cybersecurity vulnerability
网络产品和服务在需求分析.设计.实现、配置、测试、运行、维护等过程中,无意或有意产生的.有可能被利用的缺陷或薄弱点。
注:这些缺陷或薄弱点以不同形式存在于网络产品和服务的各个层次和环节中,一旦被恶意主体所利用,就会对网络产品和服务的安全造成损害,从而影响其正常运行。
4缩略语
下列缩略语适用于本文件。
CNCVD:中国国家网络安全漏洞库(China National Cybersecurity Vulnerability Database)
CVE:公共漏洞和暴露(Common Vulnerabilities and Exposures)
XML:可扩展置标语言(Extensible Markup Language)
标准内容
ICS35.040
中华人民共和国国家标准
GB/T28458—2020
代替GB/T28458—2012
信息安全技术
网络安全漏洞标识与描述规范
Informationsecuritytechnology-Cybersecurity vulnerability identification and description specification2020-11-19发布
国家市场监督管理总局
国家标准化管理委员会
2021-06-01实施
规范性引用文件
术语和定义
缩略语
网络安全漏洞标识与描述
标识项
描述项
证实方法
附录A(资料性附录)
漏洞标识与描述规范示例的XML表示rKaeerKAca-
GB/T28458—2020
本标准按照GB/T1.1—2009给出的规则起草。GB/T28458—2020
本标准代替GB/T28458—2012《信息安全技术安全漏洞标识与描述规范》,与GB/T284582012相比,主要技术变化如下
一修改了网络安全漏洞的术语和定义(见3.1,2012年版的3.2);—增加了缩略语(见第4章);
一将标识与描述作为两个方面表述,增加了标识字段描述内容(见5.2):增加了验证者、发现者、存在性说明和检测方法等描述项内容(见5.3.4、5.3.5、5.3.10、5.3.11);一修改了标识项、名称、受影响产品或服务、相关编号、解决方案等内容(见5.2、5.3.1、5.3.8、5.3.9、5.3.12,2012年版的4.2.1、4.2.2、4.2.7、4.2.8、4.2.10);删除了利用方法描述项(见2012年版的4.2.9)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、中国信息安全测评中心、中国科学院大学国家计算机网络人侵防范中心、中国电子技术标准化研究院、中国科学院信息工程研究所、启明星辰信息技术集团股份有限公司、北京百度网讯科技有限公司、奇安信科技集团股份有限公司、北京神州绿盟信息安全科技股份有限公司、上海斗象信息科技有限公司、阿里巴巴(北京)软件服务有限公司、深圳市腾讯计算机系统有限公司、北京知道创宇信息技术有限公司、恒安嘉新(北京)科技股份公司哈尔滨安天科技集团股份有限公司、浙江蚂蚁小微金融服务集团股份有限公司、深信服科技股份有限公司、北京数学观星科技有限公司、北京摄星科技有限公司本标准主要起草人:王宏、张玉清、谢安明、刘奇旭、高红静、舒敏、郝永乐、郭亮、黄正、上官晓丽、任泽君、崔牧凡、曲泷玉、贾依真、陈悦、贾子骁、郑亮、何茂根、赵旭东、李霞、傅强、赵焕菊、李柏松、刘楠、王文杰、王鹤。
本标准所代替标准的历次版本发布情况为:GB/T28458—2012
rrKaerkAca-bZxz.net
1范围
信息安全技术
网络安全漏洞标识与描述规范
本标准规定了网络安全漏洞(以下简称“蒲洞)的标识与描述信息GB/T28458—2020
本标准适用于从事漏洞发布与管理、漏洞库建设、产品生产、研发、测评与网络运营等活动的所有相关方。
规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T7408一2005数据元和交换格式信息交换日期和时间表示法GB/T25069信息安全技术术语
GB/T30276—2020信息安全技术网络安全漏洞管理规范GB/T30279—2020信息安全技术网络安全漏洞分类分级指南术语和定义
GB/T25069、GB/T30276一2020、GB/T30279一2020界定的以及下列术语和定义适用于本文件。3.1
cybersecurityvulnerability
网络安全漏洞
网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中,无意或有意产生的、有可能被利用的缺陷或薄弱点。
注:这些缺陷或薄弱点以不同形式存在于网络产品和服务的各个层次和环节中,一旦被恶意主体所利用,就会对网络产品和服务的安全造成损害.从而影响其正常运行。缩略语
下列缩略语适用于本文件
CNCVD:中国国家网络安全漏洞库(ChinaNationalCybersecurityVulnerabilityDatabase)CVE:公共漏洞和暴露(CommonVulnerabilitiesandExposures)XML:可扩展置标语言(ExtensibleMarkupLanguage)网络安全漏洞标识与描述
5.1框架
针对每一个漏洞进行标识与描述的框架如图1所示,分为标识项和描述项两大类,其中描述项包括KaeerKAca-
GB/T28458—2020
名称、发布时间、发布者、验证者、发现者、类别、等级、受影响产品或服务、相关编号、存在性说明等十项必须项,并可根据需要扩展检测方法、解决方案、其他描述等扩展项。扩展项为可选。网络安全都词标识与描述
环识项
没布时
5.2标识项
购产品或中
描逆项
布性说
图1网络安全漏洞标识与描述框架格
测方法
孵洗方案
标识项中仅有“标识号”一项内容。“标识号”是用来对每个漏洞进行唯一标识的代码,其格式为:CNCVD-YYYY-NNNNNN,如图2所示CNCVT>
4位数字年份
6位激字序列号
图2网络安全漏洞标识号
其中,CNCVD为固定编码前缀;YYYY为4位十进制数字,表示漏洞发现的年份;NNNNNN为6位十进制数字序列号,表示YYYY年内漏洞的序号。序列号位数默认采用6位,从\000001”开始编号,当YYYY年漏洞数量超过999999时,可按需扩展其数字位数。5.3描述项
5.3.1名称
概括性描述漏洞信息的短语。采用分段式格式描述,包括固定字段和自定义字段,字段之间以“”相隔。格式如下:
漏洞相关的产品或服务.等级.类别.自定义字段1.自定义字段2...自定义字段n前三段为固定字段,使用中英文或数字标识。其中:a)“漏洞相关的产品或服务”为漏洞所存在的、正式发布的产品或服务名称,可包含版本号信息,例如,InternetExplorer8.0,Chrome等。“漏洞相关的产品或服务”需与5.3.8的内容保持致,可为5.3.8的简要缩写。
b)“等级”为漏洞描述项中的“5.3.7等级”。c)“类别”为漏洞描述项中的“5.3.6类别”。第四段起为自定义字段,属可选项,可增加多个。自定义字段主要用于补充描述固定字段以外的其他信息,例如漏洞的别称等。
KaeerkAca-
示例:
5.3.2发布时间
GNUBash.高危.远程代码执行漏洞.破壳漏洞GB/T28458—2020
漏洞信息发布的日期。日期书写应采用GB/T7408一2005中5.2.1.1完全表示法中的扩展格式。格式为:YYYY-MM-DD,如2019-01-01。其中,YYYY表示一个日历年,MM表示日历年中日历月的顺序数,DD表示日历月中日历日的顺序数。5.3.3发布者
“漏洞发布者”的简称,是发布经验证后的漏洞信息的个人或组织。发布者以其个人标识或组织名称命名。“组织名称”可以是发布者组织的正式名称或简称等。漏洞发布者为个人的,可以冠以其所属组织名称,格式如下:
漏洞发布者个人标识(漏洞发布者组织名称)发布者允许多个,中间以逗号分隔。例如:张三(组织A)李四(组织A,组织B),王五,组织C。漏洞发布应符合GB/T30276—2020中5.5漏洞发布规定的要求5.3.4验证者
“漏洞验证者”的简称,是对漏洞的存在性、等级、类别等进行技术验证的个人或组织。验证者以其个人标识或组织名称命名。“组织名称”可以是验证者组织的正式名称或简称等。漏洞验证者为个人的,可以冠以其所属组织名称,格式如下:漏洞验证者个人标识(漏洞验证者组织名称)验证者允许多个,中间以逗号分隔。例如:张三(组织A),李四(组织A,组织B),王五,组织C。漏洞验证应符合GB/T30276—2020中5.3漏洞验证规定的要求。5.3.5发现者
“漏洞发现者”的简称,是发现漏洞的个人或组织。发现者以其个人标识或组织名称命名。“个人标识”可以是发现者个人的姓名或代号等,“组织名称”可以是发现者组织的正式名称或简称等。不能确认发现者身份,或漏洞信息为匿名发布的,发现者可标识为“匿名”。漏洞发现者为个人的,可以冠以其所属组织名称,格式如下:
漏洞发现者个人标识(漏洞发现者组织名称)发现者允许多个,中间以逗号分隔。例如:张三(组织A),李四(组织A,组织B),王五,组织C。漏洞发现应符合GB/T30276一2020中5.1a)的要求。5.3.6类别
漏洞所属分类。给出漏洞分类归属的信息。类别划分应符合GB/T30279一2020中第5章网络安全漏洞分类规定的要求
5.3.7等级
漏洞危害级别。给出漏洞能够造成的危害程度。等级划分应符合GB/T30279—2020中6.3.3网络安全漏洞技术分级规定的要求rrKaerKAca-
GB/T28458—2020
5.3.8受影响产品或服务
漏洞所存在的产品或服务的详细信息,包括供应商、名称、版本号等内容。对于共用中间件或者组件的漏洞,受其影响的相关产品或服务信息均可列出。5.3.9相关编号
同一漏洞在不同组织中的编号,例如,CNVD编号、CNNVD编号、CVE编号或其他组织自定义的漏洞编号等,若存在多个编号可顺序给出,中间以逗号分隔。相关编号的XML表示方法参见附录A。存在性说明
描述漏洞的触发条件、生成机理或概念性证明等5.3.11检测方法
漏洞扫描或测试的方法,例如漏洞检测代码、程序或方法说明等。5.3.12
解决方案
漏洞的解决方案,例如,补丁信息、修复或防范措施等。5.3.13
其他描述
需要说明的其他相关信息
证实方法
漏洞标识项与描述项的具体内容可随着漏洞的分析与研究而动态变化。在漏洞管理和应用过程中,相关个人或组织应确定漏洞的标识与描述信息是否符合5.2及5.3的要求,漏洞标识项与描述项示例的XML表示参见附录A。
rrKacerKAca-
附录A
(资料性附录)
漏洞标识与描述规范示例的XML表示GB/T28458—2020
本附录给出了二个采用本标准所规定的漏洞标识与描述的漏洞示例(非真实漏洞),目的是演示本标准的使用方法。为确保示例的简洁性和可读性,本附录采用了XML语言作为表示语言。《?xmlversion-\1.o\encoding=\UTF-8\?《cncvd_items)
《标识号)CNCVD-2020-101001(/标识号)《名称)LinuxKernel.高危.竞争条件漏洞.脏牛IⅡI漏洞名称)《发布时间>2020-10-10发布时间》(发布者)国家计算机网络应急技术处理协调中心《/发布者(验证者)
中国信息安全测评中心,国家信息技术安全研究中心《/验证者》
《发现者》国家计算机网络人侵防范中心《/发现者》《类别)竞争条件漏洞(/类别》
《等级)高危(/等级)
《受影响产品或服务》
《生产厂商》Debian(/生产厂商)《产品或服务信息》
《产品或服务名称)debian_linux(/产品或服务名称)《版本号)7.0《/版本号)
《版本号8.0版本号)
《/产品或服务信息》
《/受影响产品或服务)
《相关编号》
CNVD-2020-12345,CNNVD-202010-1234,NIPC-2020-123456CVE-2020-2345《/相关编号》
<存在性说明>Linuxkernel2.x至4.8.3之前的4.x版本中的mm/gup.c文件存在竞争条件漏洞.该漏洞源于程序没有正确处理copy-on-write(COW)功能写入只读内存映射。存在性说明)《检测方法》下载检测代码并编译,使用非root用户运行生成的程序,对只读文件进行写人,如果写人成功,则漏洞存在。检测代码下载地址为https://github.com/dirtycow2/检测方法<解决方案>厂商发布了升级程序修复该漏洞,请及时关注更新:https://git.kernel.org/cgit/linuxkernel/git/torvalds/linux.git/commit/解决方案》(其他描述》《/其他描述)
《/cncvd_items)
rKaeerKAca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。