國(guó)家標(biāo)準(zhǔn)信息安全管理實(shí)用規(guī)則

1、國(guó)家標(biāo)準(zhǔn)信息安全技術(shù)安全漏洞分類規(guī)范（征求意見(jiàn)稿）編制說(shuō)明一、工作簡(jiǎn)況任務(wù)來(lái)源信息安全技術(shù)安全漏洞分類規(guī)范是國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2010年下達(dá)的信息安全國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目，國(guó)標(biāo)計(jì)劃號(hào)為：20100385-T-469。由國(guó)家信息技術(shù)安全研究中心主要負(fù)責(zé)進(jìn)行規(guī)范的起草，中國(guó)信息安全測(cè)評(píng)中心、中國(guó)科學(xué)院研究生院國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心等單位參與起草。主要工作過(guò)程1、2010年6月，組織參與本規(guī)范編寫的相關(guān)單位召開(kāi)項(xiàng)目啟動(dòng)會(huì)，成立規(guī)范編制小組，確立各自分工，進(jìn)行初步設(shè)計(jì)，并聽(tīng)取各協(xié)作單位的相關(guān)意見(jiàn)。2、2010年7月，根據(jù)任務(wù)書的要求，規(guī)范編制小組開(kāi)展考察調(diào)研和資料

2、搜集工作，按照需求分析整理出安全漏洞分類規(guī)范的框架結(jié)構(gòu)。3、2011年4月，按照制定的框架結(jié)構(gòu)，確定分類的原則和方法，形成安全漏洞分類規(guī)范草稿V1.0。4、2011年7月，課題組在專家指導(dǎo)下，積極采納國(guó)外相關(guān)漏洞分類的原則，形成安全漏洞分類規(guī)范草稿V1.1。5、2011年8月26日，規(guī)范編制小組在積極采納專家意見(jiàn)的基礎(chǔ)上，對(duì)規(guī)范內(nèi)容進(jìn)行修改，形成安全漏洞分類規(guī)范草稿V1.2。6、2013年8月28日，安標(biāo)委秘書處組織了該標(biāo)準(zhǔn)的專家評(píng)審，編制小組聽(tīng)取了專家意見(jiàn)，對(duì)標(biāo)準(zhǔn)文本的內(nèi)容進(jìn)行修訂、簡(jiǎn)化，形成安全漏洞分類規(guī)范草稿V1.3。7、2014年11月，安標(biāo)委WG5工作組對(duì)安全漏洞分類規(guī)范標(biāo)準(zhǔn)草案稿進(jìn)

3、行了投票表決，通過(guò)了本標(biāo)準(zhǔn)。投票表決中相關(guān)單位和專家提出了一些修改建議和意見(jiàn)，標(biāo)準(zhǔn)編制組對(duì)意見(jiàn)進(jìn)行了逐條分析和理解，對(duì)標(biāo)準(zhǔn)文本進(jìn)行了完善，形成了安全漏洞分類規(guī)范征求意見(jiàn)稿及相關(guān)文件。二、編制原則和主要內(nèi)容2.1編制原則本標(biāo)準(zhǔn)的研究與編制工作遵循以下原則：（1）通用性原則立足于當(dāng)前信息化技術(shù)水平，對(duì)國(guó)內(nèi)外知名安全漏洞庫(kù)的分類方法進(jìn)行總結(jié)、歸納、簡(jiǎn)化，同時(shí)參考吸納國(guó)外相關(guān)領(lǐng)域的先進(jìn)成果并融入標(biāo)準(zhǔn)。（2）可操作性和實(shí)用性原則標(biāo)準(zhǔn)規(guī)范是對(duì)實(shí)際工作成果的總結(jié)與提升，最終還需要用于實(shí)踐中，并經(jīng)得起實(shí)踐的檢驗(yàn)，做到可操作、可用與實(shí)用。（3）簡(jiǎn)化原則根據(jù)規(guī)范化對(duì)象的結(jié)構(gòu)、形式、規(guī)則等篩選提煉，經(jīng)過(guò)剔除、替換，

4、保持整體結(jié)構(gòu)合理且維持原意和功能不變。本標(biāo)準(zhǔn)的編制的內(nèi)容制定遵循以下原則：（A）唯一性原則：安全漏洞僅在某一類別中，其所屬類別不依賴人為因素。（B）互斥性原則：類別沒(méi)有重疊，安全漏洞必屬于某一分類。（C）擴(kuò)展性原則：允許根據(jù)實(shí)際情況擴(kuò)展安全漏洞的類別。主要內(nèi)容本標(biāo)準(zhǔn)主要內(nèi)容如下：次中卜3.1計(jì)算機(jī)信息系統(tǒng)ComputerIiforcaticrSysTen.3.2安全掃洞Vi-ilrerability3.3安全掃洞分類VulnerabilitiesClassification三、主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果信息安全技術(shù)安全漏洞分類規(guī)范旨在對(duì)安全漏洞的特征屬性進(jìn)

5、行研究，通過(guò)統(tǒng)計(jì)國(guó)內(nèi)外主要漏洞庫(kù)的分類依據(jù)信息，并結(jié)合國(guó)內(nèi)信息安全行業(yè)應(yīng)用情況，提出科學(xué)的、合理的安全漏洞分類意見(jiàn)，用以支持計(jì)算機(jī)信息系統(tǒng)風(fēng)險(xiǎn)管理、安全漏洞管理等方面的工作，為國(guó)家計(jì)算機(jī)信息安全行業(yè)發(fā)展提供重要的技術(shù)參考與標(biāo)準(zhǔn)規(guī)范。四、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國(guó)際、國(guó)外同類標(biāo)準(zhǔn)水平的對(duì)比情況，或與測(cè)試的國(guó)外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況本標(biāo)準(zhǔn)在編寫時(shí)參考了NISTSP800-82和SP800-53等相關(guān)標(biāo)準(zhǔn)。五、與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的關(guān)系本規(guī)范的編制，要配合GB/T28458-2012信息安全技術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范的使用。GB/T28458-2012中對(duì)安全

6、漏洞標(biāo)識(shí)與描述規(guī)范的要求，包括：標(biāo)識(shí)號(hào)、名稱、發(fā)布時(shí)間、發(fā)布單位、類別、等級(jí)、影響系統(tǒng)等必須的描述項(xiàng)（實(shí)線框描述項(xiàng)），并可根據(jù)需要擴(kuò)充（但不限于）相關(guān)編號(hào)、利用方法、解決方案建議、其他描述等描述項(xiàng)（虛線框描述項(xiàng)）。安全蒲洞描述和關(guān)編II.SrII-Hfe描述-!解決力案建諫-II丿利川力法結(jié)合GB/T28458-2012使用：“名稱”描述項(xiàng)是安全漏洞標(biāo)題，概括性描述安全漏洞信息的短語(yǔ)，例如InternetExplorer8.0緩沖區(qū)溢出漏洞，已經(jīng)涵蓋了漏洞宿主（包括：廠商、產(chǎn)品、版本）的信息，因此在分類規(guī)范中不適合引入該角度。用于安全漏洞分類的漏洞等級(jí)與GB/T28458-2012使用的“等級(jí)”描述項(xiàng)重復(fù)，因此在分類規(guī)范中不適合引入該角度。安全漏洞形成原因和安全漏洞被利用后的威脅影響說(shuō)明與GB/T28458-2012使用的描述項(xiàng)無(wú)重復(fù)重合，因此可適合于引入該角度。六、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)詳見(jiàn)標(biāo)準(zhǔn)意見(jiàn)匯總處理表。七、國(guó)家標(biāo)準(zhǔn)作為強(qiáng)制性國(guó)家標(biāo)準(zhǔn)或推薦性國(guó)家標(biāo)準(zhǔn)的建議建議本標(biāo)準(zhǔn)作為推薦性國(guó)家標(biāo)準(zhǔn)發(fā)布實(shí)施。八、貫徹國(guó)家標(biāo)準(zhǔn)的要求和措施建