《信息安全技術—網路安全漏洞標識與描述規範》(GB/T 28458-2020)是2021年6月1日實施的一項中華人民共和國國家標準,歸口於全國信息安全標準化技術委員會。
《信息安全技術—網路安全漏洞標識與描述規範》(GB/T 28458-2020)規定了網路安全漏洞的標識與描述信息。該標準適用於從事漏洞發布與管理、漏洞庫建設、產品生產、研發、測評與網路運營等活動的所有相關方。
基本介紹
- 中文名:信息安全技術—網路安全漏洞標識與描述規範
- 外文名:Information security technology—Cybersecurity vulnerability identification and description specification
- 標準號:GB/T 28458-2020
- 發布日期:2020-11-19
- 實施日期:2021-06-01
- 全部代替標準:GB/T 28458-2012
- 中國標準分類號:L80
- 國際標準分類號:35.040
- 歸口單位:全國信息安全標準化技術委員會
- 執行單位:全國信息安全標準化技術委員會
- 主管部門:中華人民共和國國家標準化管理委員會
- 性質:推薦性國家標準
- 狀態:現行
制定過程,修訂背景,編制進程,修訂依據,修訂情況,起草工作,標準目次,內容範圍,引用檔案,意義價值,
制定過程
修訂背景
漏洞已經成為網路空間安全領域的國家戰略資源,因此,對中國國家漏洞庫建設以及網路安全漏洞相關的產品設計、生產、維護,都應有適合套用需求的規範性要求,否則將為各類漏洞管理套用帶來混亂和安全隱患,進而威脅國家戰略安全。針對網路空間安全發展形勢和套用環境,《信息安全技術—安全漏洞標識與描述規範》(GB/T 28458-2012)已無法滿足實際安全需求,因此有必要對《信息安全技術—安全漏洞標識與描述規範》(GB/T 28458-2012)進行修訂。
編制進程
- 標準計畫
2019年3月28日,國家標準計畫《信息安全技術—網路安全漏洞標識與描述規範》(20190910-T-469)下達,項目周期24個月,由TC260(全國信息安全標準化技術委員會)提出並歸口上報及執行,主管部門為中華人民共和國國家標準化管理委員會。
- 發布實施
2020年11月19日,國家標準《信息安全技術—網路安全漏洞標識與描述規範》(GB/T 28458-2020)由中華人民共和國國家市場監督管理總局、中華人民共和國國家標準化管理委員會發布。
2021年6月1日,國家標準《信息安全技術—網路安全漏洞標識與描述規範》(GB/T 28458-2020)實施。
修訂依據
國家標準《信息安全技術—網路安全漏洞標識與描述規範》(GB/T 28458-2020)依據中國國家標準《標準化工作導則—第1部分:標準的結構和編寫》(GB/T 1.1-2009)規則起草。
修訂情況
《信息安全技術—網路安全漏洞標識與描述規範》(GB/T 28458-2020)代替《信息安全技術—安全漏洞標識與描述規範》(GB/T 28458-2012),與《信息安全技術—安全漏洞標識與描述規範》(GB/T 28458-2012)相比,主要技術變化如下:
- 修改了網路安全漏洞的術語和定義;
- 增加了縮略語;
- 將標識與描述作為兩個方面表述,增加了標識欄位描述內容;
- 增加了驗證者、發現者、存在性說明和檢測方法等描述項內容;
- 修改了標識項、名稱、受影響產品或服務、相關編號、解決方案等內容;
- 刪除了利用方法描述項。
起草工作
主要起草單位:國家信息技術安全研究中心、國家計算機網路應急技術處理協調中心、中國信息安全測評中心、中國科學院大學國家計算機網路入侵防範中心、中國電子技術標準化研究院、中國科學院信息工程研究所、啟明星辰信息技術集團股份有限公司、北京百度網訊科技有限公司、奇安信科技集團股份有限公司、北京神州綠盟信息安全科技股份有限公司、上海斗象信息科技有限公司、阿里巴巴(北京)軟體服務有限公司、深圳市騰訊計算機系統有限公司、北京知道創宇信息技術股份有限公司、恆安嘉新(北京)科技股份公司、哈爾濱安天科技集團股份有限公司、浙江螞蟻小微金融服務集團股份有限公司、深信服科技股份有限公司、北京數字觀星科技有限公司、北京攝星科技有限公司。
主要起草人:王宏、張玉清、謝安明、劉奇旭、高紅靜、舒敏、郝永樂、郭亮、黃正、上官曉麗、任澤君、崔牧凡、曲瀧玉、賈依真、陳悅、賈子驍、鄭亮、何茂根、趙旭東、李霞、傅強、趙煥菊、李柏松、劉楠、王文杰、王鶴。
標準目次
前言 | Ⅲ |
|---|---|
1範圍 | 1 |
2規範性引用檔案 | 1 |
3術語和定義 | 1 |
4縮略語 | 1 |
5網路安全漏洞標識與描述 | 1 |
參考文獻 | 5 |
參考資料:
內容範圍
《信息安全技術—網路安全漏洞標識與描述規範》(GB/T 28458-2020)規定了網路安全漏洞的標識與描述信息。該標準適用於從事漏洞發布與管理、漏洞庫建設、產品生產、研發、測評與網路運營等活動的所有相關方。
引用檔案
GB/T 7408-2005 數據元和交換格式—信息交換—日期和時間表示法 GB/T 25069 信息安全技術—術語 | GB/T 30276-2020 信息安全技術—網路安全漏洞管理規範 GB/T 30279-2020 信息安全技術—網路安全漏洞分類分級指南 |
參考資料:
意義價值
《信息安全技術—網路安全漏洞標識與描述規範》(GB/T 28458-2020)規範了網路安全漏洞的標識與描述內容,解決中國國內漏洞發布機構對漏洞標識和描述不一致、不統一的問題,使其技術內容能與《信息安全技術—信息安全漏洞管理規範》(GB/T 30276-2013)、《信息安全技術—安全漏洞等級劃分指南》(GB/T 30279-2013)、《信息安全技術—安全漏洞分類》(GB/T 33561-2017)的修訂內容協調一致,提升國家漏洞庫、網路安全漏洞產品的規範性,這對國家經濟運行安全、社會安全和國家戰略安全具有極其重要的現實意義和長遠的戰略意義。
