一、工作簡況

1.1任務(wù)來源

《信息安全技術(shù)安全漏洞分類規(guī)范》是國家標(biāo)準(zhǔn)化管理委員會(huì)2010年下

達(dá)的信息安全國家標(biāo)準(zhǔn)制定項(xiàng)目，國標(biāo)計(jì)劃號(hào)為：20100385-T-469。由國家信息

技術(shù)安全研究中心主要負(fù)責(zé)進(jìn)行規(guī)范的起草，中國信息安全測評(píng)中心、中國科學(xué)

院研究生院國家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中

心等單位參與起草。

1.2主要工作過程

1、2010年6月，組織參與本規(guī)范編寫的相關(guān)單位召開項(xiàng)目啟動(dòng)會(huì)，成立規(guī)

范編制小組，確立各自分工，進(jìn)行初步設(shè)計(jì)，并聽取各協(xié)作單位的相關(guān)意見。

2、2010年7月，根據(jù)任務(wù)書的要求，規(guī)范編制小組開展考察調(diào)研和資料搜

集工作，按照需求分析整理出安全漏洞分類規(guī)范的框架結(jié)構(gòu)。

3、2011年4月，按照制定的框架結(jié)構(gòu)，確定分類的原則和方法，形成《安

全漏洞分類規(guī)范》草稿V1.0。

4、2011年7月，課題組在專家指導(dǎo)下，積極采納國外相關(guān)漏洞分類的原則，

形成《安全漏洞分類規(guī)范》草稿V1.1。

5、2011年8月26日，規(guī)范編制小組在積極采納專家意見的基礎(chǔ)上，對(duì)規(guī)

范內(nèi)容進(jìn)行修改，形成《安全漏洞分類規(guī)范》草稿V1.2。

6、2013年8月28日，安標(biāo)委秘書處組織了該標(biāo)準(zhǔn)的專家評(píng)審，編制小組

聽取了專家意見，對(duì)標(biāo)準(zhǔn)文本的內(nèi)容進(jìn)行修訂、簡化，形成《安全漏洞分類規(guī)范》

草稿V1.3。

7、2014年11月，安標(biāo)委WG5工作組對(duì)《安全漏洞分類規(guī)范》標(biāo)準(zhǔn)草案稿

進(jìn)行了投票表決，通過了本標(biāo)準(zhǔn)。投票表決中相關(guān)單位和專家提出了一些修改建

議和意見，標(biāo)準(zhǔn)編制組對(duì)意見進(jìn)行了逐條分析和理解，對(duì)標(biāo)準(zhǔn)文本進(jìn)行了完善，

形成了《安全漏洞分類規(guī)范》征求意見稿及相關(guān)文件。

二、編制原則和主要內(nèi)容

2.1編制原則

本標(biāo)準(zhǔn)的研究與編制工作遵循以下原則：

（1）通用性原則

立足于當(dāng)前信息化技術(shù)水平，對(duì)國內(nèi)外知名安全漏洞庫的分類方法進(jìn)行總

結(jié)、歸納、簡化，同時(shí)參考吸納國外相關(guān)領(lǐng)域的先進(jìn)成果并融入標(biāo)準(zhǔn)。

（2）可操作性和實(shí)用性原則

標(biāo)準(zhǔn)規(guī)范是對(duì)實(shí)際工作成果的總結(jié)與提升，最終還需要用于實(shí)踐中，并經(jīng)

得起實(shí)踐的檢驗(yàn)，做到可操作、可用與實(shí)用。

（3）簡化原則

根據(jù)規(guī)范化對(duì)象的結(jié)構(gòu)、形式、規(guī)則等篩選提煉，經(jīng)過剔除、替換，保持

整體結(jié)構(gòu)合理且維持原意和功能不變。

本標(biāo)準(zhǔn)的編制的內(nèi)容制定遵循以下原則：

（A)唯一性原則：安全漏洞僅在某一類別中，其所屬類別不依賴人為因

素。

（B)互斥性原則：類別沒有重疊，安全漏洞必屬于某一分類。

（C)擴(kuò)展性原則：允許根據(jù)實(shí)際情況擴(kuò)展安全漏洞的類別。

2.2主要內(nèi)容

本標(biāo)準(zhǔn)主要內(nèi)容如下：

三、主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果

《信息安全技術(shù)安全漏洞分類規(guī)范》旨在對(duì)安全漏洞的特征屬性進(jìn)行研究，

通過統(tǒng)計(jì)國內(nèi)外主要漏洞庫的分類依據(jù)信息，并結(jié)合國內(nèi)信息安全行業(yè)應(yīng)用情

況，提出科學(xué)的、合理的安全漏洞分類意見，用以支持計(jì)算機(jī)信息系統(tǒng)風(fēng)險(xiǎn)管理、

安全漏洞管理等方面的工作，為國家計(jì)算機(jī)信息安全行業(yè)發(fā)展提供重要的技術(shù)參

考與標(biāo)準(zhǔn)規(guī)范。

四、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國際、國外同類標(biāo)準(zhǔn)水平的

對(duì)比情況，或與測試的國外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況

本標(biāo)準(zhǔn)在編寫時(shí)參考了NISTSP800-82和SP800-53等相關(guān)標(biāo)準(zhǔn)。

五、與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)的關(guān)系

本規(guī)范的編制，要配合《GB/T28458-2012信息安全技術(shù)安全漏洞標(biāo)識(shí)與

描述規(guī)范》的使用。GB/T28458-2012中對(duì)安全漏洞標(biāo)識(shí)與描述規(guī)范的要求，包

括：標(biāo)識(shí)號(hào)、名稱、發(fā)布時(shí)間、發(fā)布單位、類別、等級(jí)、影響系統(tǒng)等必須的描述

項(xiàng)（實(shí)線框描述項(xiàng)），并可根據(jù)需要擴(kuò)充（但不限于）相關(guān)編號(hào)、利用方法、解

決方案建議、其他描述等描述項(xiàng)（虛線框描述項(xiàng)）。

結(jié)合GB/T28458-2012使用：“名稱”描述項(xiàng)是安全漏洞標(biāo)題，概括性描述

安全漏洞信息的短語，例如InternetExplorer8.0緩沖區(qū)溢出漏洞，已經(jīng)涵蓋

了漏洞宿主（包括：廠商、產(chǎn)品、版本）的信息，因此在分類規(guī)范中不適合引入

該角度。

用于安全漏洞分類的漏洞等級(jí)與GB/T28458-2012使用的“等級(jí)”描述項(xiàng)重

復(fù)，因此在分類規(guī)范中不適合引入該角度。

安全漏洞形成原因和安全漏洞被利用后的威脅影響說明與GB/T

28458-2012使用的描述項(xiàng)無重復(fù)重合，因此可適合于引入該角度。

六、重大分歧意見的處理經(jīng)過和依據(jù)

詳見標(biāo)準(zhǔn)意見匯總處理表。

七、國家標(biāo)準(zhǔn)作為強(qiáng)制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議

建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實(shí)施。

八、貫徹國家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等

內(nèi)容）

本標(biāo)準(zhǔn)主要用于解決漏洞分類問題，配合《GB/T28458-2012信息安全技

術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范》使用。

九、其他事項(xiàng)說明

本標(biāo)準(zhǔn)不涉及專利。