標準解讀

《GB/T 28458-2020 信息安全技術 網絡安全漏洞標識與描述規范》是中國國家標準之一,旨在提供一套統一的框架和方法來標識和描述網絡安全漏洞。該標準適用于網絡安全產品和服務的設計、開發、測試及維護過程中對漏洞信息的管理和交流。

根據此標準,網絡安全漏洞被定義為可能導致系統或網絡遭受攻擊者利用從而損害其機密性、完整性或可用性的弱點。為了便于識別、分類以及溝通這些漏洞,《GB/T 28458-2020》規定了以下幾個關鍵方面:

  1. 漏洞標識:每個被發現的安全漏洞都應賦予一個唯一編號,以便于追蹤和引用。這種編號方式有助于避免混淆,并促進不同組織間關于特定漏洞的信息共享。

  2. 漏洞描述:對于每一個已知漏洞,都需要詳細記錄其基本信息(如名稱、類型等)、影響范圍、嚴重程度評估結果、發現時間及公開日期等內容。此外,還應當包括如何復現該漏洞的技術細節,但需謹慎處理敏感信息以免被惡意利用。

  3. 術語定義:為確保行業內術語使用的一致性和準確性,《GB/T 28458-2020》中提供了大量專業詞匯的確切含義,涵蓋從基礎概念到復雜技術的各種表述。

  4. 報告格式:針對不同類型的安全問題,《GB/T 28458-2020》推薦了幾種常見的報告模板,幫助編寫者按照既定結構整理相關信息,提高文檔可讀性和實用性。


如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。

....

查看全部

  • 現行
  • 正在執行有效
  • 2020-11-19 頒布
  • 2021-06-01 實施
?正版授權
GB/T 28458-2020信息安全技術網絡安全漏洞標識與描述規范_第1頁
GB/T 28458-2020信息安全技術網絡安全漏洞標識與描述規范_第2頁
GB/T 28458-2020信息安全技術網絡安全漏洞標識與描述規范_第3頁
GB/T 28458-2020信息安全技術網絡安全漏洞標識與描述規范_第4頁
免費預覽已結束,剩余8頁可下載查看

下載本文檔

GB/T 28458-2020信息安全技術網絡安全漏洞標識與描述規范-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T28458—2020

代替

GB/T28458—2012

信息安全技術

網絡安全漏洞標識與描述規范

Informationsecuritytechnology—

Cybersecurityvulnerabilityidentificationanddescriptionspecification

2020-11-19發布2021-06-01實施

國家市場監督管理總局發布

國家標準化管理委員會

GB/T28458—2020

目次

前言

…………………………Ⅲ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………1

網絡安全漏洞標識與描述

5………………1

框架

5.1…………………1

標識項

5.2………………2

描述項

5.3………………2

證實方法

5.4……………4

附錄資料性附錄漏洞標識與描述規范示例的表示

A()XML………5

GB/T28458—2020

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準代替信息安全技術安全漏洞標識與描述規范與

GB/T28458—2012《》,GB/T28458—

相比主要技術變化如下

2012,:

修改了網絡安全漏洞的術語和定義見年版的

———(3.1,20123.2);

增加了縮略語見第章

———(4);

將標識與描述作為兩個方面表述增加了標識字段描述內容見

———,(5.2);

增加了驗證者發現者存在性說明和檢測方法等描述項內容見

———、、(5.3.4、5.3.5、5.3.10、5.3.11);

修改了標識項名稱受影響產品或服務相關編號解決方案等內容見

———、、、、(5.2、5.3.1、5.3.8、

年版的

5.3.9、5.3.12,20124.2.1、4.2.2、4.2.7、4.2.8、4.2.10);

刪除了利用方法描述項見年版的

———(20124.2.9)。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位國家信息技術安全研究中心國家計算機網絡應急技術處理協調中心中國信息

:、、

安全測評中心中國科學院大學國家計算機網絡入侵防范中心中國電子技術標準化研究院中國科學

、、、

院信息工程研究所啟明星辰信息技術集團股份有限公司北京百度網訊科技有限公司奇安信科技集

、、、

團股份有限公司北京神州綠盟信息安全科技股份有限公司上海斗象信息科技有限公司阿里巴巴北

、、、(

京軟件服務有限公司深圳市騰訊計算機系統有限公司北京知道創宇信息技術有限公司恒安嘉新

)、、、

北京科技股份公司哈爾濱安天科技集團股份有限公司浙江螞蟻小微金融服務集團股份有限公司

()、、、

深信服科技股份有限公司北京數字觀星科技有限公司北京攝星科技有限公司

、、。

本標準主要起草人王宏張玉清謝安明劉奇旭高紅靜舒敏郝永樂郭亮黃正上官曉麗

:、、、、、、、、、、

任澤君崔牧凡曲瀧玉賈依真陳悅賈子驍鄭亮何茂根趙旭東李霞傅強趙煥菊李柏松劉楠

、、、、、、、、、、、、、、

王文杰王鶴

、。

本標準所代替標準的歷次版本發布情況為

:

———GB/T28458—2012。

GB/T28458—2020

信息安全技術

網絡安全漏洞標識與描述規范

1范圍

本標準規定了網絡安全漏洞以下簡稱漏洞的標識與描述信息

(“”)。

本標準適用于從事漏洞發布與管理漏洞庫建設產品生產研發測評與網絡運營等活動的所有相

、、、、

關方

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

數據元和交換格式信息交換日期和時間表示法

GB/T7408—2005

信息安全技術術語

GB/T25069

信息安全技術網絡安全漏洞管理規范

GB/T30276—2020

信息安全技術網絡安全漏洞分類分級指南

GB/T30279—2020

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T25069、GB/T30276—2020、GB/T30279—2020。

31

.

網絡安全漏洞cybersecurityvulnerability

網絡產品和服務在需求分析設計實現配置測試運行維護等過程中無意或有意產生的有可

、、、、、、,、

能被利用的缺陷或薄弱點

注這些缺陷或薄弱點以不同形式存在于網絡產品和服務的各個層次和環節中一旦被惡意主體所利用

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

最新文檔

評論

0/150

提交評論