信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范-編制說明

一、工作簡況1.1任務(wù)來源根據(jù)國家標(biāo)準(zhǔn)化管理委員會(huì)2018年下達(dá)的國家標(biāo)準(zhǔn)制修訂任務(wù)：《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范》，由國家信息技術(shù)安全研究中心負(fù)責(zé)承擔(dān)，任務(wù)號(hào)：2018BZXD-WG5-003。該標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口管理。1.2任務(wù)背景在《網(wǎng)絡(luò)安全法》正式實(shí)施的新形勢下，當(dāng)前的網(wǎng)絡(luò)空間安全發(fā)展態(tài)勢和應(yīng)用環(huán)境發(fā)生了較大變化，網(wǎng)絡(luò)安全漏洞定義范圍得到了很大的擴(kuò)展，國家漏洞管理逐步實(shí)施，漏洞所需描述的信息日益豐富，GB/T28458-2012《信息安全技術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范》已無法滿足實(shí)際安全需求，因此有必要對(duì)該標(biāo)準(zhǔn)在漏洞定義、標(biāo)識(shí)、命名、相關(guān)管理和技術(shù)方法等描述內(nèi)容進(jìn)行修訂。GB/T28458-2012《信息安全技術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范》實(shí)施5年多，雖在部分機(jī)構(gòu)漏洞發(fā)布管理中得到實(shí)施，但面臨配套法規(guī)措施缺乏、宣貫執(zhí)行力度弱等問題，國家漏洞庫、產(chǎn)品漏洞庫支持不足，需順應(yīng)新形勢，修訂完善內(nèi)容，大力推進(jìn)貫徹實(shí)施。網(wǎng)絡(luò)安全漏洞已經(jīng)成為網(wǎng)絡(luò)空間安全領(lǐng)域極其重要的內(nèi)容，其標(biāo)識(shí)與描述影響到我國漏洞庫建設(shè)，以及漏洞相關(guān)產(chǎn)品的設(shè)計(jì)、生產(chǎn)和維護(hù)，修訂GB/T28458-2012《信息安全技術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范》，使之更適合新形勢下管理和應(yīng)用需求，引導(dǎo)網(wǎng)絡(luò)安全漏洞技術(shù)研究，支撐國家對(duì)網(wǎng)絡(luò)安全漏洞的發(fā)布管理，推動(dòng)網(wǎng)絡(luò)安全漏洞信息共享和統(tǒng)一引用，提升國家漏洞庫、網(wǎng)絡(luò)安全漏洞相關(guān)產(chǎn)品的規(guī)范性和有效性具有重要意義。本標(biāo)準(zhǔn)技術(shù)內(nèi)容與同時(shí)修訂的GB/T30276-2013《信息安全技術(shù)信息安全漏洞管理規(guī)范》、GB/T30279-2013《信息安全技術(shù)安全漏洞等級(jí)劃分指南》、GB/T33561-2017《信息安全技術(shù)安全漏洞分類》緊密關(guān)聯(lián)、相互支撐，其修訂內(nèi)容需協(xié)調(diào)一致。1.3主要起草單位和工作組成員國家信息技術(shù)安全研究中心主要負(fù)責(zé)起草，國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國信息安全測評(píng)中心、國家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國科學(xué)院信息工程研究所、啟明星辰信息技術(shù)集團(tuán)股份有限公司、北京百度網(wǎng)訊科技有限公司、360企業(yè)安全集團(tuán)、北京神州綠盟信息安全科技股份有限公司、上海斗象信息科技有限公司、阿里巴巴（中國）網(wǎng)絡(luò)技術(shù)有限公司、深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司、北京知道創(chuàng)宇信息技術(shù)有限公司、恒安嘉新（北京）科技股份公司、安天科技股份有限公司、螞蟻金服服務(wù)集團(tuán)、深信服科技股份有限公司、北京數(shù)字觀星科技有限公司、北京智言金信信息技術(shù)有限公司、上海計(jì)算機(jī)軟件技術(shù)開發(fā)中心等單位共同參與了該標(biāo)準(zhǔn)的起草工作。標(biāo)準(zhǔn)編制組成員均具有較豐富的網(wǎng)絡(luò)安全漏洞研究和漏洞庫管理經(jīng)驗(yàn)，以及標(biāo)準(zhǔn)編制經(jīng)驗(yàn)，人員包括核心編制工作組的王宏、張玉清、謝安明、劉奇旭、高紅靜、郭亮、黃正、何茂根等，以及參與編制工作組的高級(jí)技術(shù)人員舒敏、李斌、郝永樂、上官曉麗、任澤君、王千尋、王基策、陳悅、賈子驍、賈依真、徐雨晴、郭穎、傅振宇、白曉媛、石竹君、周景平、崔婷婷、趙煥菊、宋錚、申鶴、趙旭東、李霞、傅強(qiáng)、劉楠、崔牧凡、曲瀧玉、鄭亮、王文杰、史慧洋等共同參與標(biāo)準(zhǔn)的內(nèi)容編制（修訂）與研討。1.4主要工作過程1.4.1制定工作計(jì)劃編制組制定了編制工作計(jì)劃和人員任務(wù)安排，并確定了編制組人員例會(huì)安排以便及時(shí)溝通交流工作情況。1.4.2參考資料該標(biāo)準(zhǔn)編制過程中，主要參考了：GB/T7408-2005數(shù)據(jù)元和交換格式信息交換日期和時(shí)間表示法GB7713-1987科學(xué)技術(shù)報(bào)告、學(xué)位論文和學(xué)術(shù)論文的編寫格式GB/T15835-1995出版物上數(shù)字用法的規(guī)定GB/T25069-2010信息安全技術(shù)術(shù)語GB/T28458-2012信息安全技術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范GB/T30276-2013信息安全技術(shù)信息安全漏洞管理規(guī)范GB/T30279-2013信息安全技術(shù)安全漏洞等級(jí)劃分指南GB/T33561-2017信息安全技術(shù)安全漏洞分類規(guī)范GB/T30276-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范GB/T30279-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級(jí)指南中華人民共和國網(wǎng)絡(luò)安全法NISTSpecialPublication800-51,UseofCommonVulnerabilitiesandExposures(CVE)VulnerabilityNamingScheme,/publications/nistpubs/800-51/sp800-51.pdfNationalVulnerabilityDatabase./1.4.3確定編制內(nèi)容標(biāo)準(zhǔn)編制組以《網(wǎng)絡(luò)安全法》為指導(dǎo)，與同時(shí)修訂的GB/T30276-2013《信息安全技術(shù)信息安全漏洞管理規(guī)范》、GB/T30279-2013《信息安全技術(shù)安全漏洞等級(jí)劃分指南》、GB/T33561-2017《信息安全技術(shù)安全漏洞分類》相協(xié)調(diào)，結(jié)合網(wǎng)絡(luò)安全漏洞管理和漏洞庫建設(shè)工作實(shí)踐，基于GB/T28458-2012《信息安全技術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范》，參考GB/T25069-2010《信息安全技術(shù)術(shù)語》、NISTSpecialPublication800-51UseofCommonVulnerabilitiesandExposures(CVE)VulnerabilityNamingScheme、NationalVulnerabilityDatabase，完成標(biāo)準(zhǔn)的編制（修訂）工作，對(duì)網(wǎng)絡(luò)安全漏洞進(jìn)行定義，對(duì)網(wǎng)絡(luò)安全漏洞的標(biāo)識(shí)明確編號(hào)規(guī)則，并系統(tǒng)地歸納和闡述網(wǎng)絡(luò)安全漏洞的描述項(xiàng)。1.4.4編制工作簡要過程在網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范國家標(biāo)準(zhǔn)修訂任務(wù)正式下達(dá)之前，標(biāo)準(zhǔn)工作組就已經(jīng)開始了對(duì)現(xiàn)行相關(guān)國家標(biāo)準(zhǔn)、漏洞研究、管理和發(fā)展現(xiàn)狀的前期調(diào)研工作。編制組人員首先對(duì)所參閱的文獻(xiàn)、標(biāo)準(zhǔn)等資料進(jìn)行查閱和理解，編寫標(biāo)準(zhǔn)編制提綱，并在對(duì)提綱進(jìn)行修改完善的基礎(chǔ)上，開始具體的編制（修訂）工作。編制組在2018年5月前完成了對(duì)網(wǎng)絡(luò)安全漏洞的相關(guān)技術(shù)研究和有關(guān)標(biāo)準(zhǔn)的前期調(diào)研。調(diào)研期間，主要對(duì)現(xiàn)行的漏洞標(biāo)識(shí)與描述規(guī)范國家標(biāo)準(zhǔn)實(shí)施情況進(jìn)行了總結(jié)和分析，對(duì)國內(nèi)外漏洞技術(shù)、漏洞管理的發(fā)展現(xiàn)狀與動(dòng)向、相關(guān)標(biāo)準(zhǔn)、漏洞庫建設(shè)等情況進(jìn)行了研究、分析和理解。2018年5月，在中國電子技術(shù)標(biāo)準(zhǔn)化研究院召開網(wǎng)絡(luò)安全漏洞國家標(biāo)準(zhǔn)修訂工作研討會(huì)，討論了GB/T28458-2012《信息安全技術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范》、GB/T30276-2013《信息安全技術(shù)信息安全漏洞管理規(guī)范》、GB/T30279-2013《信息安全技術(shù)安全漏洞等級(jí)劃分指南》、GB/T33561-2017《信息安全技術(shù)安全漏洞分類》等標(biāo)準(zhǔn)的制修訂任務(wù)。5月30日，進(jìn)一步討論了標(biāo)準(zhǔn)修訂工作要點(diǎn)。2018年6月，完成了標(biāo)準(zhǔn)草案初稿的編制工作。組織成立了漏洞標(biāo)識(shí)和描述編制（修訂）工作組，吸收了18家研究單位30多名技術(shù)專家參與標(biāo)準(zhǔn)修訂，發(fā)布“網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范修訂調(diào)研問題清單”，并對(duì)調(diào)研反饋進(jìn)行總結(jié)分析。6月21日，在中國電子技術(shù)標(biāo)準(zhǔn)化研究院召開網(wǎng)絡(luò)安全漏洞國家標(biāo)準(zhǔn)修訂進(jìn)展研討會(huì)，研討標(biāo)準(zhǔn)修訂進(jìn)展、調(diào)研結(jié)果和編寫框架，聽取與會(huì)單位代表的意見。6月27日，成立了核心編制組，討論了調(diào)研及前期會(huì)議反饋的主要意見，進(jìn)一步研究了編寫框架和任務(wù)。6月30日，以核心編制組人員收集的資料為基礎(chǔ)，在不斷的討論和研究中，完善內(nèi)容，形成了本標(biāo)準(zhǔn)草案（第一稿）。2018年7月，編制組以會(huì)議研討方式在漏洞標(biāo)準(zhǔn)編制（修訂）牽頭單位、協(xié)作單位和參與單位中征求和研討意見。7月12日，在國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心與網(wǎng)絡(luò)安全漏洞管理規(guī)范國家標(biāo)準(zhǔn)牽頭單位相關(guān)專家進(jìn)行了研討，討論了對(duì)本標(biāo)準(zhǔn)草案（第一稿）的意見和兩個(gè)標(biāo)準(zhǔn)的銜接問題。7月19日，在國家信息技術(shù)安全研究中心召開漏洞標(biāo)識(shí)和描述編制（修訂）工作組會(huì)議，在全體參與單位內(nèi)部研討本標(biāo)準(zhǔn)草案。編制組根據(jù)反饋意見進(jìn)行了修改，形成標(biāo)準(zhǔn)草案（第二稿）。2018年8月，編制組邀請WG5工作組專家對(duì)標(biāo)準(zhǔn)進(jìn)行了研討和意見征詢。8月22日，在中國電子技術(shù)標(biāo)準(zhǔn)化研究院召開WG5工作組專家意見征詢會(huì)，會(huì)議專家主要意見包括：“網(wǎng)絡(luò)安全漏洞”定義的英文表述要與《網(wǎng)絡(luò)安全法》一致，補(bǔ)充對(duì)描述項(xiàng)的格式語言表示，部分描述項(xiàng)內(nèi)容交叉和對(duì)部分描述項(xiàng)做必要的裁剪等問題。會(huì)后，編制組根據(jù)上述專家意見進(jìn)行了修改，形成標(biāo)準(zhǔn)草稿（第三稿）。2018年10月15日，在北京應(yīng)物會(huì)議中心召開WG5工作組專家審查會(huì)，會(huì)議專家主要意見包括：與其他兩個(gè)標(biāo)準(zhǔn)在術(shù)語和內(nèi)容方面進(jìn)一步協(xié)調(diào)統(tǒng)一，進(jìn)一步規(guī)范標(biāo)準(zhǔn)的文字表述和文本格式，明確與現(xiàn)有漏洞庫的兼容問題，細(xì)化完善編制說明等問題。10月20日，在中國電子技術(shù)標(biāo)準(zhǔn)化研究院召開漏洞標(biāo)準(zhǔn)一致性研討會(huì)，會(huì)議邀請WG5工作組專家參加，對(duì)三個(gè)相關(guān)標(biāo)準(zhǔn)在術(shù)語和內(nèi)容方面進(jìn)行了協(xié)調(diào)統(tǒng)一。會(huì)后，編制組根據(jù)上述專家意見進(jìn)行了修改，形成標(biāo)準(zhǔn)草稿（第四稿）。2018年10月25日，在山東青島舉辦的信安標(biāo)委2018年第二次工作組“會(huì)議周”活動(dòng)WG5工作組第2次會(huì)議上，共103家成員單位代表參加了會(huì)議，對(duì)標(biāo)準(zhǔn)草稿（第四稿）進(jìn)行了討論和審議，建議推進(jìn)形成征求意見稿。會(huì)議代表主要意見包括：網(wǎng)絡(luò)安全漏洞的定義進(jìn)一步修改、描述項(xiàng)進(jìn)一步明確、標(biāo)準(zhǔn)適用范圍進(jìn)一步協(xié)調(diào)一致等問題。會(huì)后，編制組根據(jù)上述專家意見進(jìn)行了修改，形成標(biāo)準(zhǔn)征求意見稿（第五稿）。2018年11月21日，在北京應(yīng)物會(huì)議中心召開WG5工作組專家審查會(huì)，會(huì)議專家主要意見包括：增加網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)字段的描述內(nèi)容，在編制說明中進(jìn)一步明確與其他漏洞庫的兼容問題，補(bǔ)充專家意見處理匯總表采納情況的說明等問題。會(huì)后，編制組根據(jù)上述專家意見進(jìn)行了修改，形成標(biāo)準(zhǔn)征求意見稿（第六稿）。1.4.5標(biāo)準(zhǔn)征求意見的落實(shí)情況標(biāo)準(zhǔn)征求意見的落實(shí)情況如下：發(fā)送《標(biāo)準(zhǔn)草案稿》的單位包括WG5工作組專家（會(huì)議征詢），共匯集反饋意見18條，其中未采納的意見0條，其余意見均為采納或部分采納，具體參見意見匯總處理表。發(fā)送《標(biāo)準(zhǔn)草案稿》的單位包括WG5工作組專家（會(huì)議審查），共匯集反饋意見18條，其中未采納的意見1條，其余意見均為采納，具體參見意見匯總處理表。發(fā)送《標(biāo)準(zhǔn)草案稿》的單位包括WG5工作組專家、成員單位代表（會(huì)議研討），共匯集反饋意見11條，其中未采納的意見3條，其余意見均為采納，具體參見意見匯總處理表。發(fā)送《標(biāo)準(zhǔn)草案稿》的單位包括WG5工作組專家（會(huì)議審查），共匯集反饋意見5條，其中未采納的意見0條，其余意見均為采納，具體參見意見匯總處理表。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題編制原則本標(biāo)準(zhǔn)符合我國的實(shí)際情況，遵從我國有關(guān)法律、法規(guī)的規(guī)定，與同族系相關(guān)技術(shù)標(biāo)準(zhǔn)協(xié)調(diào)一致。具體原則與要求如下：(1)先進(jìn)性：標(biāo)準(zhǔn)反映網(wǎng)絡(luò)安全漏洞研究、發(fā)布和管理的先進(jìn)技術(shù)水平；(2)開放性：標(biāo)準(zhǔn)的編制、評(píng)審與使用具有開放性；(3)適應(yīng)性：標(biāo)準(zhǔn)結(jié)合我國國情；(4)簡明性：標(biāo)準(zhǔn)易于理解、實(shí)現(xiàn)和應(yīng)用；(5)中立性：公正、中立，不與任何利益攸關(guān)方發(fā)生關(guān)聯(lián)；(6)一致性：術(shù)語與國內(nèi)外標(biāo)準(zhǔn)所用術(shù)語最大程度保持一致，保持與同族系相關(guān)技術(shù)標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范》和《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級(jí)指南》協(xié)調(diào)一致。標(biāo)準(zhǔn)內(nèi)容2.2.1國內(nèi)外漏洞描述標(biāo)準(zhǔn)制定情況國際現(xiàn)狀CVE的英文全稱是“CommonVulnerabilitiesandExposures”。它是由美國國土安全部（DHS）下屬的美國國家應(yīng)急響應(yīng)組（US-CERT）發(fā)起和主辦的，由MITRE公司管理。CVE就好像是一個(gè)字典表，為廣泛認(rèn)同的安全漏洞給出一個(gè)唯一的標(biāo)識(shí)?？梢詭椭脩粼诟髯元?dú)立的各種漏洞數(shù)據(jù)庫中和漏洞評(píng)估工具中共享數(shù)據(jù)，雖然這些工具很難整合在一起。這樣就使得CVE成為了安全信息共享的“關(guān)鍵字”。如果在一個(gè)漏洞報(bào)告中指明的一個(gè)漏洞CVE編號(hào)，就可以快速地在任何其它CVE兼容的數(shù)據(jù)庫中找到相應(yīng)修補(bǔ)的信息，解決安全問題。CVE是已知的漏洞的唯一的、通用的標(biāo)識(shí)符，每個(gè)CVE包括以下內(nèi)容：CVE標(biāo)識(shí)號(hào)（如："CVE-1999-0067"），其中1999為本漏洞產(chǎn)生的年份，0067為該漏洞在本年內(nèi)的序號(hào)。自2014年1月份起，當(dāng)序號(hào)超過4位數(shù)時(shí)，可以遞增到無限大，例如CVE-2014-7654321，如圖1所示。圖1CVE序號(hào)調(diào)整對(duì)漏洞的簡要描述；一些相關(guān)的參考條目。CVE的特點(diǎn)包括：為每個(gè)漏洞確定了唯一的標(biāo)識(shí)號(hào)；給每個(gè)漏洞一個(gè)標(biāo)準(zhǔn)化的描述；任何完全迥異的漏洞庫都可以引用CVE；可以使得安全事件報(bào)告更好地被理解，實(shí)現(xiàn)更好的協(xié)同工作；可以成為評(píng)價(jià)相應(yīng)工具和數(shù)據(jù)庫的基準(zhǔn)；容易從互聯(lián)網(wǎng)查詢和下載，。CVE開始建立是在1999年9月，起初只有321個(gè)條目。在2000年10月16日，CVE達(dá)到了一個(gè)重要的里程碑——超過1000個(gè)正式條目。截至2018年10月18日，CVE條目已經(jīng)達(dá)到了108518條。美國國家漏洞庫NVD，對(duì)CVE漏洞進(jìn)行了更加詳細(xì)的描述，并提供XML、JSON等格式的數(shù)據(jù)源供下載。例如CVE-2018-11236漏洞的XML格式描述如下。<?xmlversion='1.0'encoding='UTF-8'?><nvdxmlns:patch="/schema/patch/0.1"xmlns:vuln="/schema/vulnerability/0.4"xmlns:xsi="/2001/XMLSchema-instance"xmlns="/schema/feed/vulnerability/2.0"xmlns:scap-core="/schema/scap-core/0.1"xmlns:cpe-lang="/language/2.0"xmlns:cvss="/schema/cvss-v2/0.2"nvd_xml_version="2.0"pub_date="2018-10-17T03:00:00"xsi:schemaLocation="/schema/patch/0.1/schema/nvd/patch_0.1.xsd/schema/feed/vulnerability/2.0/schema/nvd/nvd-cve-feed_2.0.xsd/schema/scap-core/0.1/schema/nvd/scap-core_0.1.xsd"><entryid="CVE-2018-11236"><vuln:vulnerable-configurationid="/"><cpe-lang:logical-testoperator="OR"negate="false"><cpe-lang:fact-refname="cpe:/a:gnu:glibc:2.27"/></cpe-lang:logical-test></vuln:vulnerable-configuration><vuln:vulnerable-software-list><vuln:product>cpe:/a:gnu:glibc:2.27</vuln:product></vuln:vulnerable-software-list><vuln:cve-id>CVE-2018-11236</vuln:cve-id><vuln:published-datetime>2018-05-18T12:29:00.353-04:00</vuln:published-datetime><vuln:last-modified-datetime>2018-06-19T11:37:17.440-04:00</vuln:last-modified-datetime><vuln:cvss><cvss:base_metrics><cvss:score>6.8</cvss:score><cvss:access-vector>NETWORK</cvss:access-vector><cvss:access-complexity>MEDIUM</cvss:access-complexity><cvss:authentication>NONE</cvss:authentication><cvss:confidentiality-impact>PARTIAL</cvss:confidentiality-impact><cvss:integrity-impact>PARTIAL</cvss:integrity-impact><cvss:availability-impact>PARTIAL</cvss:availability-impact><cvss:source></cvss:source><cvss:generated-on-datetime>2018-06-18T10:38:41.500-04:00</cvss:generated-on-datetime></cvss:base_metrics></vuln:cvss><vuln:cweid="CWE-190"/><vuln:referencesxml:lang="en"reference_type="VENDOR_ADVISORY"><vuln:source>BID</vuln:source><vuln:referencehref="/bid/104255"xml:lang="en">104255</vuln:reference></vuln:references><vuln:referencesxml:lang="en"reference_type="UNKNOWN"><vuln:source>MISC</vuln:source><vuln:referencehref="/bugzilla/show_bug.cgi?id=22786"xml:lang="en">/bugzilla/show_bug.cgi?id=22786</vuln:reference></vuln:references><vuln:referencesxml:lang="en"reference_type="PATCH"><vuln:source>MISC</vuln:source><vuln:referencehref="/git/gitweb.cgi?p=glibc.git;h=5460617d1567657621107d895ee2dd83bc1f88f2"xml:lang="en">/git/gitweb.cgi?p=glibc.git;h=5460617d1567657621107d895ee2dd83bc1f88f2</vuln:reference></vuln:references><vuln:summary>stdlib/canonicalize.cintheGNUCLibrary(akaglibcorlibc6)2.27andearlier,whenprocessingverylongpathnameargumentstotherealpathfunction,couldencounteranintegeroverflowon32-bitarchitectures,leadingtoastack-basedbufferoverflowand,potentially,arbitrarycodeexecution.</vuln:summary></entry></nvd>國內(nèi)現(xiàn)狀國內(nèi)安全漏洞庫相關(guān)領(lǐng)域的研究最早開始于研究機(jī)構(gòu)，有部分研究者從事安全漏洞庫的設(shè)計(jì)和實(shí)現(xiàn)工作，但他們的工作重點(diǎn)并不是收集和發(fā)布漏洞信息，而是通過整合漏洞屬性設(shè)計(jì)合理完善的漏洞庫結(jié)構(gòu)，因此這類漏洞庫并沒有投入實(shí)際應(yīng)用。隨著信息安全的發(fā)展，部分政府機(jī)構(gòu)、安全組織和公司開始根據(jù)自身的需求建立漏洞庫。表1對(duì)國內(nèi)部分安全漏洞庫做了簡要分析，從表中可以看出國內(nèi)漏洞庫針對(duì)漏洞的描述有待于進(jìn)一步規(guī)范。表1國內(nèi)部分安全漏洞庫中漏洞描述介紹CNVDCNNVD知道創(chuàng)宇NSFOCUS綠盟360CNVD-IDCNNVD編號(hào)漏洞編號(hào)發(fā)布日期漏洞編號(hào)公開日期危害等級(jí)披露/發(fā)現(xiàn)時(shí)間更新日期漏洞等級(jí)危害級(jí)別CVE編號(hào)提交時(shí)間受影響系統(tǒng)漏洞摘要與描述漏洞描述漏洞類型漏洞等級(jí)描述漏洞反饋參考鏈接發(fā)布時(shí)間漏洞類別來源漏洞類型漏洞解決方案威脅類型影響組件建議漏洞詳情廠商補(bǔ)丁更新時(shí)間漏洞作者廠商補(bǔ)丁受影響的產(chǎn)品和版本驗(yàn)證信息廠商提交者瀏覽次數(shù)解決方案報(bào)送時(shí)間漏洞來源CVE-ID嚴(yán)重程度修復(fù)過程收錄時(shí)間漏洞簡介CNNVD-ID修訂歷史更新時(shí)間漏洞公告CNVD-ID引用漏洞附件參考網(wǎng)址ZoomEyeDork來源來源鏈接漏洞詳情受影響實(shí)體PoC補(bǔ)丁參考鏈接解決方案2.2.2標(biāo)準(zhǔn)結(jié)構(gòu)本標(biāo)準(zhǔn)的編寫格式和方法依照GB/T1.1-2009標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫規(guī)則。本標(biāo)準(zhǔn)主要結(jié)構(gòu)包括如下內(nèi)容：范圍規(guī)范性引用文件術(shù)語和定義縮略語網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述5.1框架5.2標(biāo)識(shí)項(xiàng)5.3描述項(xiàng)附錄參考文獻(xiàn)2.2.3主要內(nèi)容范圍、規(guī)范性引用文件、術(shù)語和定義、縮略語該部分定義了本標(biāo)準(zhǔn)適應(yīng)的范圍，所引用的其它標(biāo)準(zhǔn)情況，及以何種方式引用，術(shù)語和定義部分明確了該標(biāo)準(zhǔn)所涉及的一些術(shù)語。在術(shù)語中明確了“網(wǎng)絡(luò)安全漏洞”等重要概念。在縮略語中明確了本標(biāo)準(zhǔn)中涉及到的CNVD、CNNVD、CVD、CVE、XML等縮略語。網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述該部分明確了本標(biāo)準(zhǔn)規(guī)范網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述的框架和內(nèi)容。網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述框架分為標(biāo)識(shí)項(xiàng)和描述項(xiàng)兩大類，標(biāo)識(shí)項(xiàng)包括標(biāo)識(shí)號(hào)、相關(guān)編號(hào)兩項(xiàng)，描述項(xiàng)包括名稱、發(fā)布時(shí)間、發(fā)布組織、驗(yàn)證組織、發(fā)現(xiàn)者、類別、等級(jí)、受影響產(chǎn)品或系統(tǒng)、存在性說明等九項(xiàng)描述必須項(xiàng)，并可根據(jù)需要擴(kuò)展檢測方法、解決方案建議、其他描述等描述項(xiàng)。網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述內(nèi)容如下：（1）標(biāo)識(shí)項(xiàng)1）標(biāo)識(shí)號(hào)：網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)號(hào)格式為：CVD-YYYY-NNNNNN。CVD（CybersecurityVulnerabilityDescriptions的縮寫）為固定編碼前綴；YYYY為4位十進(jìn)制數(shù)字，表示本漏洞發(fā)現(xiàn)的年份；NNNNNN為6位十進(jìn)制數(shù)字，表示YYYY年內(nèi)該漏洞的序號(hào)，必要時(shí)可擴(kuò)展位數(shù)。以CVD-YYYY-000001為YYYY年發(fā)布的第一個(gè)漏洞的編號(hào)。每個(gè)漏洞的標(biāo)識(shí)號(hào)是唯一的。2）相關(guān)編號(hào)：同一漏洞在不同組織中的編號(hào)，例如CNVD編號(hào)、CNNVD編號(hào)、CVE編號(hào)或其他組織自定義的漏洞編號(hào)等。（2）描述項(xiàng)3）名稱：概括性描述漏洞信息的短語。采用分段式格式描述，包括固定字段和自定義字段。格式為：受影響產(chǎn)品或系統(tǒng)名稱.等級(jí).類別.自定義字段。前三段為固定字段，使用中英文或數(shù)字標(biāo)識(shí)。第四段起為自定義字段，屬可選項(xiàng)，可增加多個(gè)。自定義字段主要用于補(bǔ)充描述固定字段以外的其他信息，例如漏洞的別稱等。4）發(fā)布時(shí)間：網(wǎng)絡(luò)安全漏洞信息發(fā)布的日期。日期書寫格式為:YYYY-MM-DD。其中，YYYY表示一個(gè)日歷年，MM表示日歷年中日歷月的順序數(shù)，DD表示日歷月中日歷日的順序數(shù)。5）發(fā)布組織：發(fā)布網(wǎng)絡(luò)安全漏洞信息的組織，具體說明見GB/T30276-XXXX。6）驗(yàn)證組織：對(duì)網(wǎng)絡(luò)安全漏洞的存在性、等級(jí)、類別等進(jìn)行技術(shù)驗(yàn)證的組織，具體說明見GB/T30276-XXXX。7）發(fā)現(xiàn)者：發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞的個(gè)人或組織。發(fā)現(xiàn)者以其個(gè)人標(biāo)識(shí)或組織名稱命名。不能確認(rèn)發(fā)現(xiàn)者身份，或漏洞信息為匿名披露的，發(fā)現(xiàn)者可標(biāo)識(shí)為“匿名”。漏洞發(fā)現(xiàn)者為個(gè)人的，可以冠以其所屬組織名稱，格式規(guī)范為：漏洞發(fā)現(xiàn)者個(gè)人標(biāo)識(shí)（漏洞發(fā)現(xiàn)者組織名稱）。發(fā)現(xiàn)者允許多個(gè)，以分號(hào)相隔。8）類別：網(wǎng)絡(luò)安全漏洞所屬分類，說明漏洞分類歸屬的信息。類別遵循GB/T30279-XXXX中的漏洞成因分類。9）等級(jí)：網(wǎng)絡(luò)安全漏洞危害級(jí)別，說明漏洞能夠造成的危害程度。等級(jí)遵循GB/T30279-XXXX中的技術(shù)分級(jí)。10）受影響產(chǎn)品或系統(tǒng)：該漏洞所存在的產(chǎn)品或系統(tǒng)的詳細(xì)信息，包括供應(yīng)商、名稱、版本號(hào)等內(nèi)容。對(duì)于共用中間件或者組件的漏洞，受其影響的相關(guān)產(chǎn)品或系統(tǒng)信息均可列出。11）存在性說明：描述該漏洞的觸發(fā)條件、生成機(jī)理或概念性證明等。12）檢測方法：網(wǎng)絡(luò)安全漏洞掃描或測試的方法，例如漏洞檢測代碼、程序或方法說明等。13）解決方案建議：網(wǎng)絡(luò)安全漏洞的解決方案，例如補(bǔ)丁信息、修復(fù)建議或控制措施等。14）其他描述：網(wǎng)絡(luò)安全漏洞描述需要說明的其他相關(guān)信息。附錄附錄部分為資料性附錄，給出了網(wǎng)絡(luò)安全漏洞描述項(xiàng)示例的XML表示。<?xmlversion="1.0"encoding="UTF-8"?><cvd_items><標(biāo)識(shí)號(hào)>CVD-2018-101001</標(biāo)識(shí)號(hào)><名稱>LinuxKernel.高危.競爭條件漏洞.臟牛Ⅱ漏洞</名稱><發(fā)布時(shí)間>2018-11-10</發(fā)布時(shí)間><發(fā)布組織>國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心</發(fā)布組織><驗(yàn)證組織>國家信息技術(shù)安全研究中心</驗(yàn)證組織><發(fā)現(xiàn)者>中國信息安全測評(píng)中心</發(fā)現(xiàn)者><類別>競爭條件漏洞</類別><等級(jí)>高危</等級(jí)><受影響產(chǎn)品或系統(tǒng)><生產(chǎn)廠商>Debian</生產(chǎn)廠商><系統(tǒng)信息><系統(tǒng)名稱>debian_linux</系統(tǒng)名稱><版本號(hào)>7.0</版本號(hào)><版本號(hào)>8.0</版本號(hào)></系統(tǒng)信息></受影響產(chǎn)品或系統(tǒng)><存在性說明>Linuxkernel2.x至4.8.3之前的4.x版本中的mm/gup.c文件存在競爭條件漏洞，該漏洞源于程序沒有正確處理copy-on-write(COW)功能寫入只讀內(nèi)存映射。</存在性說明><相關(guān)編號(hào)><NIPC>nipc-2018-xxxxxx</NIPC><CVE>CVE-2018-xxxx</CVE></相關(guān)編號(hào)><檢測方法>下載檢測代碼并編譯，使用非root用戶運(yùn)行生成的程序，對(duì)只讀文件進(jìn)行寫入，如果寫入成功，則漏洞存在。檢測代碼下載地址為/dirtycow2/</檢測方法><解決方案建議>廠商發(fā)布了升級(jí)程序修復(fù)該漏洞，請及時(shí)關(guān)注更新：/cgit/linux/kernel/git/torvalds/linux.git/commit/</解決方案建議><其他描述></其他描述></cvd_items>編制目的本標(biāo)準(zhǔn)的編制目的就是希望吸取國際、國內(nèi)先進(jìn)的網(wǎng)絡(luò)安全漏洞研究與發(fā)布管理經(jīng)驗(yàn)和相關(guān)技術(shù)內(nèi)容，結(jié)合我國網(wǎng)絡(luò)安全漏洞庫建設(shè)與漏洞管理工作的特點(diǎn)，制定出具有指導(dǎo)意義的技術(shù)規(guī)范：（1）本標(biāo)準(zhǔn)給出網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述的信息與格式規(guī)范，支撐和指導(dǎo)機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安全漏洞發(fā)布管理，有助于機(jī)構(gòu)掌握、理解、改善相關(guān)網(wǎng)絡(luò)系統(tǒng)的漏洞風(fēng)險(xiǎn)狀況和安全態(tài)勢；（2）本標(biāo)準(zhǔn)面向網(wǎng)絡(luò)產(chǎn)品生產(chǎn)、技術(shù)研發(fā)、系統(tǒng)運(yùn)營等組織，提供統(tǒng)一的網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)編號(hào)和規(guī)范的網(wǎng)絡(luò)安全漏洞描述信息，可促進(jìn)與網(wǎng)絡(luò)安全漏洞相關(guān)的產(chǎn)品與系統(tǒng)的信息共享與互操作，提高網(wǎng)絡(luò)安全保障的整體有效性；（3）本標(biāo)準(zhǔn)主要對(duì)網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述的相關(guān)信息提供了切實(shí)可行的規(guī)范，在漏洞數(shù)據(jù)庫實(shí)際建設(shè)與運(yùn)行時(shí)，可參考本標(biāo)準(zhǔn)指導(dǎo)并規(guī)范漏洞數(shù)據(jù)項(xiàng)字段，進(jìn)而高效地完成漏洞數(shù)據(jù)庫構(gòu)建與管理工作。三、主要驗(yàn)證情況分析本標(biāo)準(zhǔn)是基于網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)、漏洞數(shù)據(jù)庫建設(shè)和漏洞信息發(fā)布管理實(shí)踐提出的，相關(guān)技術(shù)已在應(yīng)用中進(jìn)行了實(shí)際驗(yàn)證。本編制說明2.2.1中提到了多個(gè)國內(nèi)外重要漏洞庫，例如國家信息安全漏洞庫CNNVD、國家信息安全漏洞共享平臺(tái)CNVD，以及國際漏洞統(tǒng)一編號(hào)CVE。為了使得本規(guī)范與國內(nèi)外主流漏洞編號(hào)及漏洞庫兼容，我們在漏洞描述的“相關(guān)編號(hào)”增加了同一漏洞在不同組織中的編號(hào)。例如CNVD編號(hào)、CNNVD編號(hào)、CVE編號(hào)或其他組織自定義的漏洞編號(hào)等。范例：CVE-2018-3137是OracleMySQLServer組件安全漏洞，在國家信息安全漏洞庫編號(hào)為CNNVD-201810-954，在國家信息安全漏洞共享平臺(tái)的編號(hào)為CNVD-2018-21614，那么在本標(biāo)準(zhǔn)中，將本標(biāo)準(zhǔn)描述如下：OracleMySQLServer.中危.拒絕服務(wù)漏洞<相關(guān)編號(hào)><CNVD>CNVD-2018-21614</CNVD><CNNVD>CNNVD-201810-954</CNNVD><CVE>CVE-2018-3137</CVE></相關(guān)編號(hào)>另外，本規(guī)范中規(guī)定了“其他描述”項(xiàng)，即網(wǎng)絡(luò)安全漏洞描述需要說明的其他相關(guān)信息。對(duì)于國內(nèi)已有主流漏洞庫，若存在不一致的描述項(xiàng)，可以通過“其他描述”進(jìn)一步擴(kuò)展漏洞的內(nèi)容。四、知識(shí)產(chǎn)權(quán)情況說明本標(biāo)準(zhǔn)不涉及專利。五、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況依據(jù)NISTSP800-51《公共漏洞及其暴露（CVE）命名方案的使用》，由美國國土安全部（DHS）下屬的美國國家應(yīng)急響應(yīng)組（US-CERT）發(fā)起和主辦，由MITRE公司管理CVE標(biāo)準(zhǔn)，并基于此標(biāo)準(zhǔn)建立了美國家漏洞庫NVD。CVE的英文全稱是“CommonVulnerabilitiesandExposures”。它是一個(gè)字典表，為廣泛認(rèn)同的信息安全漏洞或者已經(jīng)暴露出來的弱點(diǎn)給出一個(gè)唯一的命名，可以幫助用戶在各自獨(dú)立的各種漏洞數(shù)據(jù)庫和漏洞評(píng)估工具中共享數(shù)據(jù)。這使得