信息安全技术 网络安全漏洞标识与描述规范-编制说明

一、工作简况1.1任务来源根据国家标准化管理委员会2018年下达的国家标准制修订任务：《信息安全技术网络安全漏洞标识与描述规范》，由国家信息技术安全研究中心负责承担，任务号：2018BZXD-WG5-003。该标准由全国信息安全标准化技术委员会归口管理。1.2任务背景在《网络安全法》正式实施的新形势下，当前的网络空间安全发展态势和应用环境发生了较大变化，网络安全漏洞定义范围得到了很大的扩展，国家漏洞管理逐步实施，漏洞所需描述的信息日益丰富，GB/T28458-2012《信息安全技术安全漏洞标识与描述规范》已无法满足实际安全需求，因此有必要对该标准在漏洞定义、标识、命名、相关管理和技术方法等描述内容进行修订。GB/T28458-2012《信息安全技术安全漏洞标识与描述规范》实施5年多，虽在部分机构漏洞发布管理中得到实施，但面临配套法规措施缺乏、宣贯执行力度弱等问题，国家漏洞库、产品漏洞库支持不足，需顺应新形势，修订完善内容，大力推进贯彻实施。网络安全漏洞已经成为网络空间安全领域极其重要的内容，其标识与描述影响到我国漏洞库建设，以及漏洞相关产品的设计、生产和维护，修订GB/T28458-2012《信息安全技术安全漏洞标识与描述规范》，使之更适合新形势下管理和应用需求，引导网络安全漏洞技术研究，支撑国家对网络安全漏洞的发布管理，推动网络安全漏洞信息共享和统一引用，提升国家漏洞库、网络安全漏洞相关产品的规范性和有效性具有重要意义。本标准技术内容与同时修订的GB/T30276-2013《信息安全技术信息安全漏洞管理规范》、GB/T30279-2013《信息安全技术安全漏洞等级划分指南》、GB/T33561-2017《信息安全技术安全漏洞分类》紧密关联、相互支撑，其修订内容需协调一致。1.3主要起草单位和工作组成员国家信息技术安全研究中心主要负责起草，国家计算机网络应急技术处理协调中心、中国信息安全测评中心、国家计算机网络入侵防范中心、中国电子技术标准化研究院、中国科学院信息工程研究所、启明星辰信息技术集团股份有限公司、北京百度网讯科技有限公司、360企业安全集团、北京神州绿盟信息安全科技股份有限公司、上海斗象信息科技有限公司、阿里巴巴（中国）网络技术有限公司、深圳市腾讯计算机系统有限公司、北京知道创宇信息技术有限公司、恒安嘉新（北京）科技股份公司、安天科技股份有限公司、蚂蚁金服服务集团、深信服科技股份有限公司、北京数字观星科技有限公司、北京智言金信信息技术有限公司、上海计算机软件技术开发中心等单位共同参与了该标准的起草工作。标准编制组成员均具有较丰富的网络安全漏洞研究和漏洞库管理经验，以及标准编制经验，人员包括核心编制工作组的王宏、张玉清、谢安明、刘奇旭、高红静、郭亮、黄正、何茂根等，以及参与编制工作组的高级技术人员舒敏、李斌、郝永乐、上官晓丽、任泽君、王千寻、王基策、陈悦、贾子骁、贾依真、徐雨晴、郭颖、傅振宇、白晓媛、石竹君、周景平、崔婷婷、赵焕菊、宋铮、申鹤、赵旭东、李霞、傅强、刘楠、崔牧凡、曲泷玉、郑亮、王文杰、史慧洋等共同参与标准的内容编制（修订）与研讨。1.4主要工作过程1.4.1制定工作计划编制组制定了编制工作计划和人员任务安排，并确定了编制组人员例会安排以便及时沟通交流工作情况。1.4.2参考资料该标准编制过程中，主要参考了：GB/T7408-2005数据元和交换格式信息交换日期和时间表示法GB7713-1987科学技术报告、学位论文和学术论文的编写格式GB/T15835-1995出版物上数字用法的规定GB/T25069-2010信息安全技术术语GB/T28458-2012信息安全技术安全漏洞标识与描述规范GB/T30276-2013信息安全技术信息安全漏洞管理规范GB/T30279-2013信息安全技术安全漏洞等级划分指南GB/T33561-2017信息安全技术安全漏洞分类规范GB/T30276-XXXX信息安全技术网络安全漏洞管理规范GB/T30279-XXXX信息安全技术网络安全漏洞分类分级指南中华人民共和国网络安全法NISTSpecialPublication800-51,UseofCommonVulnerabilitiesandExposures(CVE)VulnerabilityNamingScheme,/publications/nistpubs/800-51/sp800-51.pdfNationalVulnerabilityDatabase./1.4.3确定编制内容标准编制组以《网络安全法》为指导，与同时修订的GB/T30276-2013《信息安全技术信息安全漏洞管理规范》、GB/T30279-2013《信息安全技术安全漏洞等级划分指南》、GB/T33561-2017《信息安全技术安全漏洞分类》相协调，结合网络安全漏洞管理和漏洞库建设工作实践，基于GB/T28458-2012《信息安全技术安全漏洞标识与描述规范》，参考GB/T25069-2010《信息安全技术术语》、NISTSpecialPublication800-51UseofCommonVulnerabilitiesandExposures(CVE)VulnerabilityNamingScheme、NationalVulnerabilityDatabase，完成标准的编制（修订）工作，对网络安全漏洞进行定义，对网络安全漏洞的标识明确编号规则，并系统地归纳和阐述网络安全漏洞的描述项。1.4.4编制工作简要过程在网络安全漏洞标识与描述规范国家标准修订任务正式下达之前，标准工作组就已经开始了对现行相关国家标准、漏洞研究、管理和发展现状的前期调研工作。编制组人员首先对所参阅的文献、标准等资料进行查阅和理解，编写标准编制提纲，并在对提纲进行修改完善的基础上，开始具体的编制（修订）工作。编制组在2018年5月前完成了对网络安全漏洞的相关技术研究和有关标准的前期调研。调研期间，主要对现行的漏洞标识与描述规范国家标准实施情况进行了总结和分析，对国内外漏洞技术、漏洞管理的发展现状与动向、相关标准、漏洞库建设等情况进行了研究、分析和理解。2018年5月，在中国电子技术标准化研究院召开网络安全漏洞国家标准修订工作研讨会，讨论了GB/T28458-2012《信息安全技术安全漏洞标识与描述规范》、GB/T30276-2013《信息安全技术信息安全漏洞管理规范》、GB/T30279-2013《信息安全技术安全漏洞等级划分指南》、GB/T33561-2017《信息安全技术安全漏洞分类》等标准的制修订任务。5月30日，进一步讨论了标准修订工作要点。2018年6月，完成了标准草案初稿的编制工作。组织成立了漏洞标识和描述编制（修订）工作组，吸收了18家研究单位30多名技术专家参与标准修订，发布“网络安全漏洞标识与描述规范修订调研问题清单”，并对调研反馈进行总结分析。6月21日，在中国电子技术标准化研究院召开网络安全漏洞国家标准修订进展研讨会，研讨标准修订进展、调研结果和编写框架，听取与会单位代表的意见。6月27日，成立了核心编制组，讨论了调研及前期会议反馈的主要意见，进一步研究了编写框架和任务。6月30日，以核心编制组人员收集的资料为基础，在不断的讨论和研究中，完善内容，形成了本标准草案（第一稿）。2018年7月，编制组以会议研讨方式在漏洞标准编制（修订）牵头单位、协作单位和参与单位中征求和研讨意见。7月12日，在国家计算机网络应急技术处理协调中心与网络安全漏洞管理规范国家标准牵头单位相关专家进行了研讨，讨论了对本标准草案（第一稿）的意见和两个标准的衔接问题。7月19日，在国家信息技术安全研究中心召开漏洞标识和描述编制（修订）工作组会议，在全体参与单位内部研讨本标准草案。编制组根据反馈意见进行了修改，形成标准草案（第二稿）。2018年8月，编制组邀请WG5工作组专家对标准进行了研讨和意见征询。8月22日，在中国电子技术标准化研究院召开WG5工作组专家意见征询会，会议专家主要意见包括：“网络安全漏洞”定义的英文表述要与《网络安全法》一致，补充对描述项的格式语言表示，部分描述项内容交叉和对部分描述项做必要的裁剪等问题。会后，编制组根据上述专家意见进行了修改，形成标准草稿（第三稿）。2018年10月15日，在北京应物会议中心召开WG5工作组专家审查会，会议专家主要意见包括：与其他两个标准在术语和内容方面进一步协调统一，进一步规范标准的文字表述和文本格式，明确与现有漏洞库的兼容问题，细化完善编制说明等问题。10月20日，在中国电子技术标准化研究院召开漏洞标准一致性研讨会，会议邀请WG5工作组专家参加，对三个相关标准在术语和内容方面进行了协调统一。会后，编制组根据上述专家意见进行了修改，形成标准草稿（第四稿）。2018年10月25日，在山东青岛举办的信安标委2018年第二次工作组“会议周”活动WG5工作组第2次会议上，共103家成员单位代表参加了会议，对标准草稿（第四稿）进行了讨论和审议，建议推进形成征求意见稿。会议代表主要意见包括：网络安全漏洞的定义进一步修改、描述项进一步明确、标准适用范围进一步协调一致等问题。会后，编制组根据上述专家意见进行了修改，形成标准征求意见稿（第五稿）。2018年11月21日，在北京应物会议中心召开WG5工作组专家审查会，会议专家主要意见包括：增加网络安全漏洞标识字段的描述内容，在编制说明中进一步明确与其他漏洞库的兼容问题，补充专家意见处理汇总表采纳情况的说明等问题。会后，编制组根据上述专家意见进行了修改，形成标准征求意见稿（第六稿）。1.4.5标准征求意见的落实情况标准征求意见的落实情况如下：发送《标准草案稿》的单位包括WG5工作组专家（会议征询），共汇集反馈意见18条，其中未采纳的意见0条，其余意见均为采纳或部分采纳，具体参见意见汇总处理表。发送《标准草案稿》的单位包括WG5工作组专家（会议审查），共汇集反馈意见18条，其中未采纳的意见1条，其余意见均为采纳，具体参见意见汇总处理表。发送《标准草案稿》的单位包括WG5工作组专家、成员单位代表（会议研讨），共汇集反馈意见11条，其中未采纳的意见3条，其余意见均为采纳，具体参见意见汇总处理表。发送《标准草案稿》的单位包括WG5工作组专家（会议审查），共汇集反馈意见5条，其中未采纳的意见0条，其余意见均为采纳，具体参见意见汇总处理表。二、标准编制原则和确定主要内容的论据及解决的主要问题编制原则本标准符合我国的实际情况，遵从我国有关法律、法规的规定，与同族系相关技术标准协调一致。具体原则与要求如下：(1)先进性：标准反映网络安全漏洞研究、发布和管理的先进技术水平；(2)开放性：标准的编制、评审与使用具有开放性；(3)适应性：标准结合我国国情；(4)简明性：标准易于理解、实现和应用；(5)中立性：公正、中立，不与任何利益攸关方发生关联；(6)一致性：术语与国内外标准所用术语最大程度保持一致，保持与同族系相关技术标准《信息安全技术网络安全漏洞管理规范》和《信息安全技术网络安全漏洞分类分级指南》协调一致。标准内容2.2.1国内外漏洞描述标准制定情况国际现状CVE的英文全称是“CommonVulnerabilitiesandExposures”。它是由美国国土安全部（DHS）下属的美国国家应急响应组（US-CERT）发起和主办的，由MITRE公司管理。CVE就好像是一个字典表，为广泛认同的安全漏洞给出一个唯一的标识。可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞CVE编号，就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题。CVE是已知的漏洞的唯一的、通用的标识符，每个CVE包括以下内容：CVE标识号（如："CVE-1999-0067"），其中1999为本漏洞产生的年份，0067为该漏洞在本年内的序号。自2014年1月份起，当序号超过4位数时，可以递增到无限大，例如CVE-2014-7654321，如图1所示。图1CVE序号调整对漏洞的简要描述；一些相关的参考条目。CVE的特点包括：为每个漏洞确定了唯一的标识号；给每个漏洞一个标准化的描述；任何完全迥异的漏洞库都可以引用CVE；可以使得安全事件报告更好地被理解，实现更好的协同工作；可以成为评价相应工具和数据库的基准；容易从互联网查询和下载，。CVE开始建立是在1999年9月，起初只有321个条目。在2000年10月16日，CVE达到了一个重要的里程碑——超过1000个正式条目。截至2018年10月18日，CVE条目已经达到了108518条。美国国家漏洞库NVD，对CVE漏洞进行了更加详细的描述，并提供XML、JSON等格式的数据源供下载。例如CVE-2018-11236漏洞的XML格式描述如下。<?xmlversion='1.0'encoding='UTF-8'?><nvdxmlns:patch="/schema/patch/0.1"xmlns:vuln="/schema/vulnerability/0.4"xmlns:xsi="/2001/XMLSchema-instance"xmlns="/schema/feed/vulnerability/2.0"xmlns:scap-core="/schema/scap-core/0.1"xmlns:cpe-lang="/language/2.0"xmlns:cvss="/schema/cvss-v2/0.2"nvd_xml_version="2.0"pub_date="2018-10-17T03:00:00"xsi:schemaLocation="/schema/patch/0.1/schema/nvd/patch_0.1.xsd/schema/feed/vulnerability/2.0/schema/nvd/nvd-cve-feed_2.0.xsd/schema/scap-core/0.1/schema/nvd/scap-core_0.1.xsd"><entryid="CVE-2018-11236"><vuln:vulnerable-configurationid="/"><cpe-lang:logical-testoperator="OR"negate="false"><cpe-lang:fact-refname="cpe:/a:gnu:glibc:2.27"/></cpe-lang:logical-test></vuln:vulnerable-configuration><vuln:vulnerable-software-list><vuln:product>cpe:/a:gnu:glibc:2.27</vuln:product></vuln:vulnerable-software-list><vuln:cve-id>CVE-2018-11236</vuln:cve-id><vuln:published-datetime>2018-05-18T12:29:00.353-04:00</vuln:published-datetime><vuln:last-modified-datetime>2018-06-19T11:37:17.440-04:00</vuln:last-modified-datetime><vuln:cvss><cvss:base_metrics><cvss:score>6.8</cvss:score><cvss:access-vector>NETWORK</cvss:access-vector><cvss:access-complexity>MEDIUM</cvss:access-complexity><cvss:authentication>NONE</cvss:authentication><cvss:confidentiality-impact>PARTIAL</cvss:confidentiality-impact><cvss:integrity-impact>PARTIAL</cvss:integrity-impact><cvss:availability-impact>PARTIAL</cvss:availability-impact><cvss:source></cvss:source><cvss:generated-on-datetime>2018-06-18T10:38:41.500-04:00</cvss:generated-on-datetime></cvss:base_metrics></vuln:cvss><vuln:cweid="CWE-190"/><vuln:referencesxml:lang="en"reference_type="VENDOR_ADVISORY"><vuln:source>BID</vuln:source><vuln:referencehref="/bid/104255"xml:lang="en">104255</vuln:reference></vuln:references><vuln:referencesxml:lang="en"reference_type="UNKNOWN"><vuln:source>MISC</vuln:source><vuln:referencehref="/bugzilla/show_bug.cgi?id=22786"xml:lang="en">/bugzilla/show_bug.cgi?id=22786</vuln:reference></vuln:references><vuln:referencesxml:lang="en"reference_type="PATCH"><vuln:source>MISC</vuln:source><vuln:referencehref="/git/gitweb.cgi?p=glibc.git;h=5460617d1567657621107d895ee2dd83bc1f88f2"xml:lang="en">/git/gitweb.cgi?p=glibc.git;h=5460617d1567657621107d895ee2dd83bc1f88f2</vuln:reference></vuln:references><vuln:summary>stdlib/canonicalize.cintheGNUCLibrary(akaglibcorlibc6)2.27andearlier,whenprocessingverylongpathnameargumentstotherealpathfunction,couldencounteranintegeroverflowon32-bitarchitectures,leadingtoastack-basedbufferoverflowand,potentially,arbitrarycodeexecution.</vuln:summary></entry></nvd>国内现状国内安全漏洞库相关领域的研究最早开始于研究机构，有部分研究者从事安全漏洞库的设计和实现工作，但他们的工作重点并不是收集和发布漏洞信息，而是通过整合漏洞属性设计合理完善的漏洞库结构，因此这类漏洞库并没有投入实际应用。随着信息安全的发展，部分政府机构、安全组织和公司开始根据自身的需求建立漏洞库。表1对国内部分安全漏洞库做了简要分析，从表中可以看出国内漏洞库针对漏洞的描述有待于进一步规范。表1国内部分安全漏洞库中漏洞描述介绍CNVDCNNVD知道创宇NSFOCUS绿盟360CNVD-IDCNNVD编号漏洞编号发布日期漏洞编号公开日期危害等级披露/发现时间更新日期漏洞等级危害级别CVE编号提交时间受影响系统漏洞摘要与描述漏洞描述漏洞类型漏洞等级描述漏洞反馈参考链接发布时间漏洞类别来源漏洞类型漏洞解决方案威胁类型影响组件建议漏洞详情厂商补丁更新时间漏洞作者厂商补丁受影响的产品和版本验证信息厂商提交者浏览次数解决方案报送时间漏洞来源CVE-ID严重程度修复过程收录时间漏洞简介CNNVD-ID修订历史更新时间漏洞公告CNVD-ID引用漏洞附件参考网址ZoomEyeDork来源来源链接漏洞详情受影响实体PoC补丁参考链接解决方案2.2.2标准结构本标准的编写格式和方法依照GB/T1.1-2009标准化工作导则第一部分：标准的结构和编写规则。本标准主要结构包括如下内容：范围规范性引用文件术语和定义缩略语网络安全漏洞标识与描述5.1框架5.2标识项5.3描述项附录参考文献2.2.3主要内容范围、规范性引用文件、术语和定义、缩略语该部分定义了本标准适应的范围，所引用的其它标准情况，及以何种方式引用，术语和定义部分明确了该标准所涉及的一些术语。在术语中明确了“网络安全漏洞”等重要概念。在缩略语中明确了本标准中涉及到的CNVD、CNNVD、CVD、CVE、XML等缩略语。网络安全漏洞标识与描述该部分明确了本标准规范网络安全漏洞标识与描述的框架和内容。网络安全漏洞标识与描述框架分为标识项和描述项两大类，标识项包括标识号、相关编号两项，描述项包括名称、发布时间、发布组织、验证组织、发现者、类别、等级、受影响产品或系统、存在性说明等九项描述必须项，并可根据需要扩展检测方法、解决方案建议、其他描述等描述项。网络安全漏洞标识与描述内容如下：（1）标识项1）标识号：网络安全漏洞标识号格式为：CVD-YYYY-NNNNNN。CVD（CybersecurityVulnerabilityDescriptions的缩写）为固定编码前缀；YYYY为4位十进制数字，表示本漏洞发现的年份；NNNNNN为6位十进制数字，表示YYYY年内该漏洞的序号，必要时可扩展位数。以CVD-YYYY-000001为YYYY年发布的第一个漏洞的编号。每个漏洞的标识号是唯一的。2）相关编号：同一漏洞在不同组织中的编号，例如CNVD编号、CNNVD编号、CVE编号或其他组织自定义的漏洞编号等。（2）描述项3）名称：概括性描述漏洞信息的短语。采用分段式格式描述，包括固定字段和自定义字段。格式为：受影响产品或系统名称.等级.类别.自定义字段。前三段为固定字段，使用中英文或数字标识。第四段起为自定义字段，属可选项，可增加多个。自定义字段主要用于补充描述固定字段以外的其他信息，例如漏洞的别称等。4）发布时间：网络安全漏洞信息发布的日期。日期书写格式为:YYYY-MM-DD。其中，YYYY表示一个日历年，MM表示日历年中日历月的顺序数，DD表示日历月中日历日的顺序数。5）发布组织：发布网络安全漏洞信息的组织，具体说明见GB/T30276-XXXX。6）验证组织：对网络安全漏洞的存在性、等级、类别等进行技术验证的组织，具体说明见GB/T30276-XXXX。7）发现者：发现网络安全漏洞的个人或组织。发现者以其个人标识或组织名称命名。不能确认发现者身份，或漏洞信息为匿名披露的，发现者可标识为“匿名”。漏洞发现者为个人的，可以冠以其所属组织名称，格式规范为：漏洞发现者个人标识（漏洞发现者组织名称）。发现者允许多个，以分号相隔。8）类别：网络安全漏洞所属分类，说明漏洞分类归属的信息。类别遵循GB/T30279-XXXX中的漏洞成因分类。9）等级：网络安全漏洞危害级别，说明漏洞能够造成的危害程度。等级遵循GB/T30279-XXXX中的技术分级。10）受影响产品或系统：该漏洞所存在的产品或系统的详细信息，包括供应商、名称、版本号等内容。对于共用中间件或者组件的漏洞，受其影响的相关产品或系统信息均可列出。11）存在性说明：描述该漏洞的触发条件、生成机理或概念性证明等。12）检测方法：网络安全漏洞扫描或测试的方法，例如漏洞检测代码、程序或方法说明等。13）解决方案建议：网络安全漏洞的解决方案，例如补丁信息、修复建议或控制措施等。14）其他描述：网络安全漏洞描述需要说明的其他相关信息。附录附录部分为资料性附录，给出了网络安全漏洞描述项示例的XML表示。<?xmlversion="1.0"encoding="UTF-8"?><cvd_items><标识号>CVD-2018-101001</标识号><名称>LinuxKernel.高危.竞争条件漏洞.脏牛Ⅱ漏洞</名称><发布时间>2018-11-10</发布时间><发布组织>国家计算机网络应急技术处理协调中心</发布组织><验证组织>国家信息技术安全研究中心</验证组织><发现者>中国信息安全测评中心</发现者><类别>竞争条件漏洞</类别><等级>高危</等级><受影响产品或系统><生产厂商>Debian</生产厂商><系统信息><系统名称>debian_linux</系统名称><版本号>7.0</版本号><版本号>8.0</版本号></系统信息></受影响产品或系统><存在性说明>Linuxkernel2.x至4.8.3之前的4.x版本中的mm/gup.c文件存在竞争条件漏洞，该漏洞源于程序没有正确处理copy-on-write(COW)功能写入只读内存映射。</存在性说明><相关编号><NIPC>nipc-2018-xxxxxx</NIPC><CVE>CVE-2018-xxxx</CVE></相关编号><检测方法>下载检测代码并编译，使用非root用户运行生成的程序，对只读文件进行写入，如果写入成功，则漏洞存在。检测代码下载地址为/dirtycow2/</检测方法><解决方案建议>厂商发布了升级程序修复该漏洞，请及时关注更新：/cgit/linux/kernel/git/torvalds/linux.git/commit/</解决方案建议><其他描述></其他描述></cvd_items>编制目的本标准的编制目的就是希望吸取国际、国内先进的网络安全漏洞研究与发布管理经验和相关技术内容，结合我国网络安全漏洞库建设与漏洞管理工作的特点，制定出具有指导意义的技术规范：（1）本标准给出网络安全漏洞标识与描述的信息与格式规范，支撑和指导机构进行网络安全漏洞发布管理，有助于机构掌握、理解、改善相关网络系统的漏洞风险状况和安全态势；（2）本标准面向网络产品生产、技术研发、系统运营等组织，提供统一的网络安全漏洞标识编号和规范的网络安全漏洞描述信息，可促进与网络安全漏洞相关的产品与系统的信息共享与互操作，提高网络安全保障的整体有效性；（3）本标准主要对网络安全漏洞标识与描述的相关信息提供了切实可行的规范，在漏洞数据库实际建设与运行时，可参考本标准指导并规范漏洞数据项字段，进而高效地完成漏洞数据库构建与管理工作。三、主要验证情况分析本标准是基于网络安全漏洞标识、漏洞数据库建设和漏洞信息发布管理实践提出的，相关技术已在应用中进行了实际验证。本编制说明2.2.1中提到了多个国内外重要漏洞库，例如国家信息安全漏洞库CNNVD、国家信息安全漏洞共享平台CNVD，以及国际漏洞统一编号CVE。为了使得本规范与国内外主流漏洞编号及漏洞库兼容，我们在漏洞描述的“相关编号”增加了同一漏洞在不同组织中的编号。例如CNVD编号、CNNVD编号、CVE编号或其他组织自定义的漏洞编号等。范例：CVE-2018-3137是OracleMySQLServer组件安全漏洞，在国家信息安全漏洞库编号为CNNVD-201810-954，在国家信息安全漏洞共享平台的编号为CNVD-2018-21614，那么在本标准中，将本标准描述如下：OracleMySQLServer.中危.拒绝服务漏洞<相关编号><CNVD>CNVD-2018-21614</CNVD><CNNVD>CNNVD-201810-954</CNNVD><CVE>CVE-2018-3137</CVE></相关编号>另外，本规范中规定了“其他描述”项，即网络安全漏洞描述需要说明的其他相关信息。对于国内已有主流漏洞库，若存在不一致的描述项，可以通过“其他描述”进一步扩展漏洞的内容。四、知识产权情况说明本标准不涉及专利。五、采用国际标准和国外先进标准情况依据NISTSP800-51《公共漏洞及其暴露（CVE）命名方案的使用》，由美国国土安全部（DHS）下属的美国国家应急响应组（US-CERT）发起和主办，由MITRE公司管理CVE标准，并基于此标准建立了美国家漏洞库NVD。CVE的英文全称是“CommonVulnerabilitiesandExposures”。它是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个唯一的命名，可以帮助用户在各自独立的各种漏洞数据库和漏洞评估工具中共享数据。这使得