标准解读
《GB/T 28458-2020 信息安全技术 网络安全漏洞标识与描述规范》是中国国家标准之一,旨在提供一套统一的框架和方法来标识和描述网络安全漏洞。该标准适用于网络安全产品和服务的设计、开发、测试及维护过程中对漏洞信息的管理和交流。
根据此标准,网络安全漏洞被定义为可能导致系统或网络遭受攻击者利用从而损害其机密性、完整性或可用性的弱点。为了便于识别、分类以及沟通这些漏洞,《GB/T 28458-2020》规定了以下几个关键方面:
-
漏洞标识:每个被发现的安全漏洞都应赋予一个唯一编号,以便于追踪和引用。这种编号方式有助于避免混淆,并促进不同组织间关于特定漏洞的信息共享。
-
漏洞描述:对于每一个已知漏洞,都需要详细记录其基本信息(如名称、类型等)、影响范围、严重程度评估结果、发现时间及公开日期等内容。此外,还应当包括如何复现该漏洞的技术细节,但需谨慎处理敏感信息以免被恶意利用。
-
术语定义:为确保行业内术语使用的一致性和准确性,《GB/T 28458-2020》中提供了大量专业词汇的确切含义,涵盖从基础概念到复杂技术的各种表述。
-
报告格式:针对不同类型的安全问题,《GB/T 28458-2020》推荐了几种常见的报告模板,帮助编写者按照既定结构整理相关信息,提高文档可读性和实用性。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 现行
- 正在执行有效
- 2020-11-19 颁布
- 2021-06-01 实施
文档简介
ICS35040
L80.
中华人民共和国国家标准
GB/T28458—2020
代替
GB/T28458—2012
信息安全技术
网络安全漏洞标识与描述规范
Informationsecuritytechnology—
Cybersecurityvulnerabilityidentificationanddescriptionspecification
2020-11-19发布2021-06-01实施
国家市场监督管理总局发布
国家标准化管理委员会
GB/T28458—2020
目次
前言
…………………………Ⅲ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
缩略语
4……………………1
网络安全漏洞标识与描述
5………………1
框架
5.1…………………1
标识项
5.2………………2
描述项
5.3………………2
证实方法
5.4……………4
附录资料性附录漏洞标识与描述规范示例的表示
A()XML………5
Ⅰ
GB/T28458—2020
前言
本标准按照给出的规则起草
GB/T1.1—2009。
本标准代替信息安全技术安全漏洞标识与描述规范与
GB/T28458—2012《》,GB/T28458—
相比主要技术变化如下
2012,:
修改了网络安全漏洞的术语和定义见年版的
———(3.1,20123.2);
增加了缩略语见第章
———(4);
将标识与描述作为两个方面表述增加了标识字段描述内容见
———,(5.2);
增加了验证者发现者存在性说明和检测方法等描述项内容见
———、、(5.3.4、5.3.5、5.3.10、5.3.11);
修改了标识项名称受影响产品或服务相关编号解决方案等内容见
———、、、、(5.2、5.3.1、5.3.8、
年版的
5.3.9、5.3.12,20124.2.1、4.2.2、4.2.7、4.2.8、4.2.10);
删除了利用方法描述项见年版的
———(20124.2.9)。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任
。。
本标准由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本标准起草单位国家信息技术安全研究中心国家计算机网络应急技术处理协调中心中国信息
:、、
安全测评中心中国科学院大学国家计算机网络入侵防范中心中国电子技术标准化研究院中国科学
、、、
院信息工程研究所启明星辰信息技术集团股份有限公司北京百度网讯科技有限公司奇安信科技集
、、、
团股份有限公司北京神州绿盟信息安全科技股份有限公司上海斗象信息科技有限公司阿里巴巴北
、、、(
京软件服务有限公司深圳市腾讯计算机系统有限公司北京知道创宇信息技术有限公司恒安嘉新
)、、、
北京科技股份公司哈尔滨安天科技集团股份有限公司浙江蚂蚁小微金融服务集团股份有限公司
()、、、
深信服科技股份有限公司北京数字观星科技有限公司北京摄星科技有限公司
、、。
本标准主要起草人王宏张玉清谢安明刘奇旭高红静舒敏郝永乐郭亮黄正上官晓丽
:、、、、、、、、、、
任泽君崔牧凡曲泷玉贾依真陈悦贾子骁郑亮何茂根赵旭东李霞傅强赵焕菊李柏松刘楠
、、、、、、、、、、、、、、
王文杰王鹤
、。
本标准所代替标准的历次版本发布情况为
:
———GB/T28458—2012。
Ⅲ
GB/T28458—2020
信息安全技术
网络安全漏洞标识与描述规范
1范围
本标准规定了网络安全漏洞以下简称漏洞的标识与描述信息
(“”)。
本标准适用于从事漏洞发布与管理漏洞库建设产品生产研发测评与网络运营等活动的所有相
、、、、
关方
。
2规范性引用文件
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件
。,()。
数据元和交换格式信息交换日期和时间表示法
GB/T7408—2005
信息安全技术术语
GB/T25069
信息安全技术网络安全漏洞管理规范
GB/T30276—2020
信息安全技术网络安全漏洞分类分级指南
GB/T30279—2020
3术语和定义
界定的以及下列术语和定义适用于本文件
GB/T25069、GB/T30276—2020、GB/T30279—2020。
31
.
网络安全漏洞cybersecurityvulnerability
网络产品和服务在需求分析设计实现配置测试运行维护等过程中无意或有意产生的有可
、、、、、、,、
能被利用的缺陷或薄弱点
。
注这些缺陷或薄弱点以不同形式存在于网络产品和服务的各个层次和环节中一旦被恶意主体所利用
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
评论
0/150
提交评论