ICS35040

L80.

中華人民共和國國家標準

GB/T28458—2012

信息安全技術安全漏洞標識與描述規(guī)范

Informationsecuritytechnology—Vulnerabilityidentificationanddescription

specification

2012-06-29發(fā)布2012-10-01實施

中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

中華人民共和國

國家標準

信息安全技術安全漏洞標識與描述規(guī)范

GB/T28458—2012

*

中國標準出版社出版發(fā)行

北京市朝陽區(qū)和平里西街甲號

2(100013)

北京市西城區(qū)三里河北街號

16(100045)

網址

:

服務熱線

/p>

年月第一版

201211

*

書號

:155066·1-45668

版權專有侵權必究

GB/T28458—2012

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位國家信息技術安全研究中心中國科學院研究生院國家計算機網絡入侵防范

:、

中心

。

本標準主要起草人張玉清宮亞峰王宏劉奇旭付安民

:、、、、。

Ⅰ

GB/T28458—2012

引言

隨著計算機及互聯網技術的發(fā)展信息安全環(huán)境越來越復雜信息安全隱患越來越嚴重計算機信

,,。

息系統安全漏洞已經成為影響網絡信息安全的重要因素為規(guī)范和加強計算機信息系統安全漏洞的管

。

理制定統一的安全漏洞標識與描述規(guī)范是十分必要的

,。

Ⅱ

GB/T28458—2012

信息安全技術安全漏洞標識與描述規(guī)范

1范圍

本標準規(guī)定了計算機信息系統安全漏洞的標識與描述規(guī)范

。

本標準適用于計算機信息系統安全管理部門進行安全漏洞信息發(fā)布和漏洞庫建設

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

數據元和交換格式信息交換日期和時間表示法

GB/T7408—2005(ISO8601:2000)

科學技術報告學位論文和學術論文的編寫格式

GB/T7713—1987、

出版物上數字用法

GB/T15835—2011

信息安全技術術語

GB/T25069—2010

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T25069—2010。

31

.

計算機信息系統computerinformationsystem

由計算機及其相關的和配套的設備設施含網絡構成的按照一定的應用目標和規(guī)則對信息進行

、(),

采集加工存儲傳輸檢索等處理的人機系統

、、、、。

定義

[GB/T25069—2010,2.1.14]

32

.

安全漏洞vulnerability

計算機信息系統在需求設計實現配置運行等過程中有意或無意產生的缺陷這些缺陷以不

、、、、,。

同形式存在于計算機信息系統的各個層次和環(huán)節(jié)之中一旦被惡意主體所利用就會對計算機信息系統

,,

的安全造成損害從而影響計算機信息系統的正常運行

,。

4安全漏洞標識與描述

41原則

.

本標準的制定遵循以下原則

:

簡明原則對安全漏洞信息進行篩選提煉安全漏洞管理所需要的基本內容保證安全漏洞描

a):,,

述簡潔明確

。

客觀原則安全漏洞描述便于安全漏洞信息的發(fā)布和安全漏洞數據庫的建設

b):。

42描述項

.