GBT 28458-2012 信息安全技术 安全漏洞标识与描述规范

GB/T284582012

本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本标准起草单位：国家信息技术安全研究中心、中国科学院研究生院国家计算机网络人侵防范 中心。 本标准主要起草人：张玉清、宫亚峰、王宏、刘奇旭、付安民

随着计算机及互联网技术的发展，信息安全环境越来越复杂，信息安全隐患越来越严重。计算机信 息系统安全漏洞已经成为影响网络信息安全的重要因素。为规范和加强计算机信息系统安全漏洞的管 理，制定统一的安全漏洞标识与描述规范是十分必要的

信息安全技术安全漏洞标识与描述规范

本标准的制定遵循以下原则： a）：简明原则：对安全漏洞信息进行筛选，提炼安全漏洞管理所需要的基本内容电缆标准，保证安全漏洞描 述简洁明确 b）客观原则安全漏洞描述便于安全漏洞信息的发布和安全漏洞数据库的建设

安全漏洞描述项如图1所示，包括标识 发布单位、类别、等级、影

全漏洞描述项如图1所示，包括标识号、名称、发布时间、发布单位、类别、等级、影响系统等必须

GB/T284582012

的描述项（图1实线框描述项），并可根据需要扩充（但不限于）相关编号、利用方法、解决方案建议、其他 描述等描述项（图1虚线框描述项）。

用文字、字符、数字等书写形式，采用GB/T7713—198

2005中5.2.1.1完全表示法的扩展格式

装修标准规范范本发布安全漏洞的单位全称

发布安全漏洞的单位全称

安全漏洞所属分类，说明安全洞分类归属的信息

安全漏洞利用的方法，例如安全漏洞攻击方案或利用代码。

4.2.10解决方案建议

电力弱电施工组织设计4.2.10解决方索建议

安全漏洞的解决方案，例如补丁信息等。

安全漏洞描述需要说明的其他相关信息，例如安全漏减