GB/T28458—2020 信息安全技术 网络安全漏洞标识与描述规范 ICS 35.040 L80 中华人民共和国国家标准 代替 GB/T28458—2012 信息安全技术 网络安全漏洞标识与描述规范 Information security technology - Cybersecurity vulnerability identification and description specification 2020-11-19发布 国家市场监督管理总局 国家标准化管理委员会 发布 2021-06-01实施 前言 本标准按照GB/T1.1—2009给出的规则起草。 本标准代替GB/T28458—2012《信息安全技术安全漏洞标识与描述规范》。与2012版相比，主要技术变化如下： —修改了网络安全漏洞的术语和定义（见3.1，2012年版的3.2）； —增加了缩略语（见第4章）； —将标识与描述作为两个方面表述，增加了标识字段描述内容（见5.2）； —增加了验证者、发现者、存在性说明和检测方法等描述项内容（见5.3.4、5.3.5、5.3.10、5.3.11）； —修改了标识项、名称、受影响产品或服务、相关编号、解决方案等内容（见5.2、5.3.1、5.3.8、5.3.9、5.3.12）； —删除了利用方法描述项（见2012年版的4.2.9）。 本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本标准起草单位包括国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、中国信息安全测评中心等多家单位。 本标准主要起草人包括王宏、张玉清、谢安明、刘奇旭等。 本标准历次版本发布情况：GB/T28458—2012。 1 范围 本标准规定了网络安全漏洞（以下简称“漏洞”）的标识与描述信息。 本标准适用于漏洞发布与管理、漏洞库建设、产品生产、研发、测评及网络运营等相关活动。 2 规范性引用文件 GB/T7408—2005 数据元和交换格式 信息交换日期和时间表示法 GB/T25069 信息安全技术 术语 GB/T30276—2020 信息安全技术 网络安全漏洞管理规范 GB/T30279—2020 信息安全技术 网络安全漏洞分类分级指南 3 术语和定义 3.1 网络安全漏洞（cybersecurity vulnerability） 网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中，无意或有意产生的、有可能被利用的缺陷或薄弱点。 注：这些缺陷或薄弱点存在于网络产品和服务各层次和环节中，一旦被恶意利用，将影响系统正常运行并造成安全风险。 4 缩略语 CNCVD：中国国家网络安全漏洞库（China National Cybersecurity Vulnerability Database） CVE：公共漏洞和暴露（Common Vulnerabilities and Exposures） 5 网络安全漏洞标识与描述 5.1 框架 （略） 5.2 标识项 （略） 5.3 描述项 （略） 5.4 证实方法 （略） 附录A（资料性附录） 漏洞标识与描述规范示例的XML表示