标准规范下载简介
GB/T 28458-2020 信息安全技术 网络安全漏洞标识与描述规范.pdf简介:
GB/T 28458-2020 《信息安全技术 网络安全漏洞标识与描述规范》是一份由中国国家标准管理机构发布的国家标准。这份标准主要针对网络安全漏洞的管理、识别和描述提供了详细的规范。它旨在促进网络安全漏洞的标准化处理,提高漏洞管理的效率和准确性,帮助网络安全专业人员更好地理解和交流漏洞信息。
该标准详细规定了网络安全漏洞的分类、标识方法、描述格式和内容要求,包括漏洞的严重程度、成因、影响范围、攻击利用方式等重要信息。它适用于网络安全漏洞的报告、评估、管理和响应等活动,对于企业和组织保护自身网络系统的安全具有重要的指导作用。
通过遵循这份规范,可以确保网络安全漏洞报告的统一性和一致性,有助于及时发现、评估和修复漏洞,从而降低网络安全风险。
GB/T 28458-2020 信息安全技术 网络安全漏洞标识与描述规范.pdf部分内容预览:
国家市场监督管理总局 发布 国家标准化管理委员会
GB/T 284582020
DBJ50∕T-299-2018 民用建筑辐射供暖技术标准范围 规范性引用文件 术语和定义 缩略语 网络安全漏洞标识与描述 5.1 框架 5.2 标识项 5.3 描述项 5.4 证实方法 附录A(资料性附录)
GB/T 284582020
GB/T28458—2020
信息安全技术 网络安全漏洞标识与描述规范
本标准规定了网络安全漏洞(以下简称“漏洞”)的标识与描述信息 本标准适用于从事漏洞发布与管理、漏洞库建设、产品生产、研发、测评与网络运营等活动的所有相 关方
下列文件对于本文件的应用是必不可少的。 凡是注目期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T7408一2005数据元和交换格式信息交换日期和时间表示法 GB/T25069信息安全技术术语 GB/T30276—2020信息安全技术 网络安全漏洞管理规范 GB/T302792020 信息安全技术 网络安全漏洞分类分级指南
GB/T 25069,GB/T 30276—2020,GB/T30279— 2020界定的以及下列术语和定义适用于本文件。 3.1 网络安全漏洞cybersecurityvulnerability 网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中,无意或有意产生的、有可 能被利用的缺陷或薄弱点。 注:这些缺陷或薄弱点以不同形式存在于网络产品和服务的各个层次和环节中,一旦被恶意主体所利用,就会对网 络产品和服务的安全造成损害 从而影响其正常运行
GB/T 25069,GB/T 30276—2020,GB/T30279— 2020界定的以及下列术语和定义适用于本文件。 3.1 网络安全漏洞cybersecurityvulnerability 网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中,无意或有意产生的、有可 能被利用的缺陷或薄弱点。 注:这些缺陷或薄弱点以不同形式存在于网络产品和服务的各个层次和环节中,一旦被恶意主体所利用,就会对网 络产品和服务的安全造成损害 从而影响其正常运行
下列缩略语适用于本文件 CNCVD:中国国家网络安全漏洞库(ChinaNationalCybersecurityVulnerabilityDatabase) CVE:公共漏洞和暴露(CommonVulnerabilitiesandExposures) XML:可扩展置标语言(ExtensibleMarkupLanguage)
下列缩略语适用于本文件 CNCVD:中国国家网络安全漏洞库(ChinaNationalCybersecurityVulnerabilityDataba CVE:公共漏洞和暴露(CommonVulnerabilitiesandExposures) XML:可扩展置标语言(ExtensibleMarkupLanguage)
5网络安全漏洞标识与描述
GB/T28458—2020
GNUBash.高危.远程代码执行漏洞.破壳漏洞
发布者以具个人标议 称命名。“组织名称”可以是发布者组织的正式名称或简称等。漏洞发布者为个人的,可以完 组织名称,格式如下:
织名称,格式如下: 漏洞发布者个人标识(漏洞发布者组织名称) 发布者允许多个,中间以逗号分隔。例如: 张三(组织A),李四(组织A,组织B),王五,组织C。 漏洞发布应符合GB/T30276一2020中5.5漏洞发布规定的要求
发布者允许多个,中间以逗号分隔。例如: 张三(组织A),李四(组织A,组织B),王五,组织C。 漏洞发布应符合GB/T30276一2020中5.5漏洞发布规定的要求。
“漏洞验证者”的简称,是对漏洞 支术验证的个人或组织。验证者以其 人标识或组织名称命名。“组织名称”可以是验证者组织的正式名称或简称等。漏洞验证者为个人 约,可以冠以其所属组织名称,格式如下: 漏洞验证者个人标识(漏洞验证者组织名称) 验证者允许多个,中间以逗号分隔。例如: 张三(组织A),李四(组织A,组织B),王五,组织C。 漏洞验证应符合GB/T30276一2020中5.3漏洞验证规定的要求。
“漏洞发现者”的简称,是发现漏洞的个人或组织。发现者以其个人标识或组织名称命名。“个人标 识”可以是发现者个人的姓名或代号等,“组织名称”可以是发现者组织的正式名称或简称等。不能确认 发现者身份,或漏洞信息为匿名发布的,发现者可标识为“匿名”。漏洞发现者为个人的,可以冠以其所 禹组织名称,格式如下: 漏洞发现者个人标识(漏洞发现者组织名称) 发现者允许多个,中间以逗号分隔。例如: 张三(组织A),李四(组织A,组织B),王五,组织C。
漏洞所属分类。给出漏洞分类归属的信息。类别划分应符合GB/T30279一2020中第5章网 漏洞分类规定的要求。
漏洞危害级别。给出漏洞能够造成的危害程度。等级划分应符合GB/T30279一2020中6.3. 安全漏洞技术分级规定的要求
GB/T28458—2020
5.3.8受影响产品或服务
包括供应商、名称、版本号等内容。对于共用中间件或者 漏洞,受其影响的相关产品或服务信息均可列出
同一漏洞在不同组织中的编号,例如DL∕T 5339-2006 火力发电厂水工设计规范 附条文说明,CNVD编号、CNNVD编号、CVE编号或其他组织 漏洞编号等,若存在多个编号可顺序给出,中间以逗号分隔。相关编号的XML表示方法参见
5.3.10存在性说明
苗述漏洞的触发条件、生成机理或概念性证明等
扫描或测试的方法,例如漏洞检测代码、程序或方
漏洞的解决方案,例如,补丁信息、修复或防范措施等
要说明的其他相关信息。
漏洞标识项与描述项的具体内容可随着漏洞的分析与研究而动态变化。在漏洞管理和应用过 相关个人或组织应确定漏洞的标识与描述信息是否符合5.2及5.3的要求《城市监控报警联网系统 技术标准 第10部分:无线视音频监控系统技术要求 GA/T 669.10-2009》,漏洞标识项与描述项 XML表示参见附录A
GB/T28458—2020
附录A (资料性附录) 漏洞标识与描述规范示例的XML表示