标准规范下载简介
GB/T 28458-2020 信息安全技术 网络安全漏洞标识与描述规范.pdfICS.35.040 L.80
GB/T28458—2020 代替GB/T28458—2012
国家市场监督管理总局 发布 国家标准化管理委员会
GB/T 284582020
HG/T 3124-2020 焊接金属波纹管釜用机械密封技术条件.pdf范围 规范性引用文件 术语和定义 缩略语 网络安全漏洞标识与描述 5.1 框架 5.2 标识项 5.3 描述项 5.4 证实方法 附录A(资料性附录)
GB/T 284582020
GB/T28458—2020
信息安全技术 网络安全漏洞标识与描述规范
本标准规定了网络安全漏洞(以下简称“漏洞”)的标识与描述信息 本标准适用于从事漏洞发布与管理、漏洞库建设、产品生产、研发、测评与网络运营等活动的所有相 关方
下列文件对于本文件的应用是必不可少的。 凡是注目期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T7408一2005数据元和交换格式信息交换日期和时间表示法 GB/T25069信息安全技术术语 GB/T30276—2020信息安全技术 网络安全漏洞管理规范 GB/T302792020 信息安全技术 网络安全漏洞分类分级指南
GB/T 25069,GB/T 30276—2020,GB/T30279— 2020界定的以及下列术语和定义适用于本文件。 3.1 网络安全漏洞cybersecurityvulnerability 网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中,无意或有意产生的、有可 能被利用的缺陷或薄弱点。 注:这些缺陷或薄弱点以不同形式存在于网络产品和服务的各个层次和环节中,一旦被恶意主体所利用,就会对网 络产品和服务的安全造成损害 从而影响其正常运行
GB/T 25069,GB/T 30276—2020,GB/T30279— 2020界定的以及下列术语和定义适用于本文件。 3.1 网络安全漏洞cybersecurityvulnerability 网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中,无意或有意产生的、有可 能被利用的缺陷或薄弱点。 注:这些缺陷或薄弱点以不同形式存在于网络产品和服务的各个层次和环节中,一旦被恶意主体所利用,就会对网 络产品和服务的安全造成损害 从而影响其正常运行
下列缩略语适用于本文件 CNCVD:中国国家网络安全漏洞库(ChinaNationalCybersecurityVulnerabilityDatabase) CVE:公共漏洞和暴露(CommonVulnerabilitiesandExposures) XML:可扩展置标语言(ExtensibleMarkupLanguage)
下列缩略语适用于本文件 CNCVD:中国国家网络安全漏洞库(ChinaNationalCybersecurityVulnerabilityDataba CVE:公共漏洞和暴露(CommonVulnerabilitiesandExposures) XML:可扩展置标语言(ExtensibleMarkupLanguage)
5网络安全漏洞标识与描述
GB/T28458—2020
GNUBash.高危.远程代码执行漏洞.破壳漏洞
发布者以具个人标议 称命名。“组织名称”可以是发布者组织的正式名称或简称等。漏洞发布者为个人的,可以完 组织名称,格式如下:
织名称,格式如下: 漏洞发布者个人标识(漏洞发布者组织名称) 发布者允许多个,中间以逗号分隔。例如: 张三(组织A),李四(组织A,组织B),王五,组织C。 漏洞发布应符合GB/T30276一2020中5.5漏洞发布规定的要求
发布者允许多个,中间以逗号分隔。例如: 张三(组织A),李四(组织A,组织B),王五,组织C。 漏洞发布应符合GB/T30276一2020中5.5漏洞发布规定的要求。
“漏洞验证者”的简称,是对漏洞 支术验证的个人或组织。验证者以其 人标识或组织名称命名。“组织名称”可以是验证者组织的正式名称或简称等。漏洞验证者为个人 约,可以冠以其所属组织名称,格式如下: 漏洞验证者个人标识(漏洞验证者组织名称) 验证者允许多个,中间以逗号分隔。例如: 张三(组织A),李四(组织A,组织B),王五,组织C。 漏洞验证应符合GB/T30276一2020中5.3漏洞验证规定的要求。
“漏洞发现者”的简称,是发现漏洞的个人或组织。发现者以其个人标识或组织名称命名。“个人标 识”可以是发现者个人的姓名或代号等,“组织名称”可以是发现者组织的正式名称或简称等。不能确认 发现者身份,或漏洞信息为匿名发布的,发现者可标识为“匿名”。漏洞发现者为个人的,可以冠以其所 禹组织名称,格式如下: 漏洞发现者个人标识(漏洞发现者组织名称) 发现者允许多个,中间以逗号分隔。例如: 张三(组织A),李四(组织A,组织B)GDBD-2021-03 L型预制电缆电缆沟等9项补充定额(2021年版)(国家电网有限公司电力建设定额站标准).pdf,王五,组织C。
漏洞所属分类。给出漏洞分类归属的信息。类别划分应符合GB/T30279一2020中第5章网 漏洞分类规定的要求。
漏洞危害级别。给出漏洞能够造成的危害程度。等级划分应符合GB/T30279一2020中6.3. 安全漏洞技术分级规定的要求
GB/T28458—2020
5.3.8受影响产品或服务
包括供应商、名称、版本号等内容。对于共用中间件或者 漏洞,受其影响的相关产品或服务信息均可列出
同一漏洞在不同组织中的编号GB 50457-2019 医药工业洁净厂房设计标准(完整正版、清晰无水印),例如,CNVD编号、CNNVD编号、CVE编号或其他组织 漏洞编号等,若存在多个编号可顺序给出,中间以逗号分隔。相关编号的XML表示方法参见
5.3.10存在性说明
苗述漏洞的触发条件、生成机理或概念性证明等