《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞標識與描述規(guī)范-編制說明》

一、工作簡況

1.1任務(wù)來源

根據(jù)國家標準化管理委員會2018年下達的國家標準制修訂任務(wù)：《信息安

全技術(shù)網(wǎng)絡(luò)安全漏洞標識與描述規(guī)范》，由國家信息技術(shù)安全研究中心負責(zé)承擔(dān)，

任務(wù)號：2018BZXD-WG5-003。該標準由全國信息安全標準化技術(shù)委員會歸口管

理。

1.2任務(wù)背景

在《網(wǎng)絡(luò)安全法》正式實施的新形勢下，當(dāng)前的網(wǎng)絡(luò)空間安全發(fā)展態(tài)勢和應(yīng)

用環(huán)境發(fā)生了較大變化，網(wǎng)絡(luò)安全漏洞定義范圍得到了很大的擴展，國家漏洞管

理逐步實施，漏洞所需描述的信息日益豐富，GB/T28458-2012《信息安全技術(shù)安

全漏洞標識與描述規(guī)范》已無法滿足實際安全需求，因此有必要對該標準在漏洞

定義、標識、命名、相關(guān)管理和技術(shù)方法等描述內(nèi)容進行修訂。

GB/T28458-2012《信息安全技術(shù)安全漏洞標識與描述規(guī)范》實施5年多，

雖在部分機構(gòu)漏洞發(fā)布管理中得到實施，但面臨配套法規(guī)措施缺乏、宣貫執(zhí)行力

度弱等問題，國家漏洞庫、產(chǎn)品漏洞庫支持不足，需順應(yīng)新形勢，修訂完善內(nèi)容，

大力推進貫徹實施。

網(wǎng)絡(luò)安全漏洞已經(jīng)成為網(wǎng)絡(luò)空間安全領(lǐng)域極其重要的內(nèi)容，其標識與描述

影響到我國漏洞庫建設(shè)，以及漏洞相關(guān)產(chǎn)品的設(shè)計、生產(chǎn)和維護，修訂GB/T

28458-2012《信息安全技術(shù)安全漏洞標識與描述規(guī)范》，使之更適合新形勢下管

理和應(yīng)用需求，引導(dǎo)網(wǎng)絡(luò)安全漏洞技術(shù)研究，支撐國家對網(wǎng)絡(luò)安全漏洞的發(fā)布管

理，推動網(wǎng)絡(luò)安全漏洞信息共享和統(tǒng)一引用，提升國家漏洞庫、網(wǎng)絡(luò)安全漏洞相

關(guān)產(chǎn)品的規(guī)范性和有效性具有重要意義。

本標準技術(shù)內(nèi)容與同時修訂的GB/T30276-2013《信息安全技術(shù)信息安全漏

洞管理規(guī)范》、GB/T30279-2013《信息安全技術(shù)安全漏洞等級劃分指南》、GB/T

33561-2017《信息安全技術(shù)安全漏洞分類》緊密關(guān)聯(lián)、相互支撐，其修訂內(nèi)容

需協(xié)調(diào)一致。

1.3主要起草單位和工作組成員

國家信息技術(shù)安全研究中心主要負責(zé)起草，國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)

1

調(diào)中心、中國信息安全測評中心、國家計算機網(wǎng)絡(luò)入侵防范中心、中國電子技術(shù)

標準化研究院、中國科學(xué)院信息工程研究所、啟明星辰信息技術(shù)集團股份有限公

司、北京百度網(wǎng)訊科技有限公司、360企業(yè)安全集團、北京神州綠盟信息安全科

技股份有限公司、上海斗象信息科技有限公司、阿里巴巴（中國）網(wǎng)絡(luò)技術(shù)有限

公司、深圳市騰訊計算機系統(tǒng)有限公司、北京知道創(chuàng)宇信息技術(shù)有限公司、恒安

嘉新（北京）科技股份公司、安天科技股份有限公司、螞蟻金服服務(wù)集團、深信

服科技股份有限公司、北京數(shù)字觀星科技有限公司、北京智言金信信息技術(shù)有限

公司、上海計算機軟件技術(shù)開發(fā)中心等單位共同參與了該標準的起草工作。

標準編制組成員均具有較豐富的網(wǎng)絡(luò)安全漏洞研究和漏洞庫管理經(jīng)驗，以及

標準編制經(jīng)驗，人員包括核心編制工作組的王宏、張玉清、謝安明、劉奇旭、高

紅靜、郭亮、黃正、何茂根等，以及參與編制工作組的高級技術(shù)人員舒敏、李斌、

郝永樂、上官曉麗、任澤君、王千尋、王基策、陳悅、賈子驍、賈依真、徐雨晴、

郭穎、傅振宇、白曉媛、石竹君、周景平、崔婷婷、趙煥菊、宋錚、申鶴、趙旭

東、李霞、傅強、劉楠、崔牧凡、曲瀧玉、鄭亮、王文杰、史慧洋等共同參與標

準的內(nèi)容編制（修訂）與研討。

1.4主要工作過程

1.4.1制定工作計劃

編制組制定了編制工作計劃和人員任務(wù)安排，并確定了編制組人員例會安排

以便及時溝通交流工作情況。

1.4.2參考資料

該標準編制過程中，主要參考了：

?GB/T7408-2005數(shù)據(jù)元和交換格式信息交換日期和時間表示法

?GB7713-1987科學(xué)技術(shù)報告、學(xué)位論文和學(xué)術(shù)論文的編寫格式

?GB/T15835-1995出版物上數(shù)字用法的規(guī)定

?GB/T25069-2010信息安全技術(shù)術(shù)語

?GB/T28458-2012信息安全技術(shù)安全漏洞標識與描述規(guī)范

?GB/T30276-2013信息安全技術(shù)信息安全漏洞管理規(guī)范

?GB/T30279-2013信息安全技術(shù)安全漏洞等級劃分指南

?GB/T33561-2017信息安全技術(shù)安全漏洞分類規(guī)范

2

?GB/T30276-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范

?GB/T30279-XXXX信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級指南

?中華人民共和國網(wǎng)絡(luò)安全法

?NISTSpecialPublication800-51,UseofCommonVulnerabilitiesand

Exposures(CVE)VulnerabilityNamingScheme,

/publications/nistpubs/800-51/sp800-51.pdf

?NationalVulnerabilityDatabase./

1.4.3確定編制內(nèi)容

標準編制組以《網(wǎng)絡(luò)安全法》為指導(dǎo)，與同時修訂的GB/T30276-2013《信

息安全技術(shù)信息安全漏洞管理規(guī)范》、GB/T30279-2013《信息安全技術(shù)安全漏

洞等級劃分指南》、GB/T33561-2017《信息安全技術(shù)安全漏洞分類》相協(xié)調(diào)，

結(jié)合網(wǎng)絡(luò)安全漏洞管理和漏洞庫建設(shè)工作實踐，基于GB/T28458-2012《信息

安全技術(shù)安全漏洞標識與描述規(guī)范》，參考GB/T25069-2010《信息安全技術(shù)術(shù)

語》、NISTSpecialPublication800-51UseofCommonVulnerabilitiesand

Exposures(CVE)VulnerabilityNamingScheme、NationalVulnerability

Database，完成標準的編制（修訂）工作，對網(wǎng)絡(luò)安全漏洞進行定義，對網(wǎng)絡(luò)安

全漏洞的標識明確編號規(guī)則，并系統(tǒng)地歸納和闡述網(wǎng)絡(luò)安全漏洞的描述項。

1.4.4編制工作簡要過程

在網(wǎng)絡(luò)安全漏洞標識與描述規(guī)范國家標準修訂任務(wù)正式下達之前，標準工作

組就已經(jīng)開始了對現(xiàn)行相關(guān)國家標準、漏洞研究、管理和發(fā)展現(xiàn)狀的前期調(diào)研工

作。編制組人員首先對所參閱的文獻、標準等資料進行查閱和理解，編寫標準編

制提綱，并在對提綱進行修改完善的基礎(chǔ)上，開始具體的編制（修訂）工作。

編制組在2018年5月前完成了對網(wǎng)絡(luò)安全漏洞的相關(guān)技術(shù)研究和有關(guān)標準

的前期調(diào)研。調(diào)研期間，主要對現(xiàn)行的漏洞標識與描述規(guī)范國家標準實施情況進

行了總結(jié)和分析，對國內(nèi)外漏洞技術(shù)、漏洞管理的發(fā)展現(xiàn)狀與動向、相關(guān)標準、

漏洞庫建設(shè)等情況進行了研究、分析和理解。

2018年5月，在中國電子技術(shù)標準化研究院召開網(wǎng)絡(luò)安全漏洞國家標準修

訂工作研討會，討論了GB/T28458-2012《信息安全技術(shù)安全漏洞標識與描述

規(guī)范》、GB/T30276-2013《信息安全技術(shù)信息安全漏洞管理規(guī)范》、GB/T

3

30279-2013《信息安全技術(shù)安全漏洞等級劃分指南》、GB/T33561-2017《信息

安全技術(shù)安全漏洞分類》等標準的制修訂任務(wù)。5月30日，進一步討論了標準

修訂工作要點。

2018年6月，完成了標準草案初稿的編制工作。組織成立了漏洞標識和描

述編制（修訂）工作組，吸收了18家研究單位30多名技術(shù)專家參與標準修訂，

發(fā)布“網(wǎng)絡(luò)安全漏洞標識與描述規(guī)范修訂調(diào)研問題清單”，并對調(diào)研反饋進行總

結(jié)分析。6月21日，在中國電子技術(shù)標準化研究院召開網(wǎng)絡(luò)安全漏洞國家標準

修訂進展研討會，研討標準修訂進展、調(diào)研結(jié)果和編寫框架，聽取與會單位代表

的意見。6月27日，成立了核心編制組，討論了調(diào)研及前期會議反饋的主要意

見，進一步研究了編寫框架和任務(wù)。6月30日，以核心編制組人員收集的資料

為基礎(chǔ)，在不斷的討論和研究中，完善內(nèi)容，形成了本標準草案（第一稿）。

2018年7月，編制組以會議研討方式在漏洞標準編制（修訂）牽頭單位、

協(xié)作單位和參與單位中征求和研討意見。7月12日，在國家計算機網(wǎng)絡(luò)應(yīng)急技

術(shù)處理協(xié)調(diào)中心與網(wǎng)絡(luò)安全漏洞管理規(guī)范國家標準牽頭單位相關(guān)專家進行了研

討，討論了對本標準草案（第一稿）的意見和兩個標準的銜接問題。7月19日，

在國家信息技術(shù)安全研究中心召開漏洞標識和描述編制（修訂）工作組會議，在

全體參與單位內(nèi)部研討本標準草案。編制組根據(jù)反饋意見進行了修改，形成標準

草案（第二稿）。

2018年8月，編制組邀請WG5工作組專家對標準進行了研討和意見征詢。8

月22日，在中國電子技術(shù)標準化研究院召開WG5工作組專家意見征詢會，會議

專家主要意見包括：“網(wǎng)絡(luò)安全漏洞”定義的英文表述要與《網(wǎng)絡(luò)安全法》一致，

補充對描述項的格式語言表示，部分描述項內(nèi)容交叉和對部分描述項做必要的裁

剪等問題。會后，編制組根據(jù)上述專家意見進行了修改，形成標準草稿（第三稿）。

2018年10月15日，在北京應(yīng)物會議中心召開WG5工作組專家審查會，會

議專家主要意見包括：與其他兩個標準在術(shù)語和內(nèi)容方面進一步協(xié)調(diào)統(tǒng)一，進一

步規(guī)范標準的文字表述和文本格式，明確與現(xiàn)有漏洞庫的兼容問題，細化完善編

制說明等問題。10月20日，在中國電子技術(shù)標準化研究院召開漏洞標準一致性

研討會，會議邀請WG5工作組專家參加，對三個相關(guān)標準在術(shù)語和內(nèi)容方面進行

了協(xié)調(diào)統(tǒng)一。會后，編制組根據(jù)上述專家意見進行了修改，形成標準草稿（第四

4

稿）。

2018年10月25日，在山東青島舉辦的信安標委2018年第二次工作組“會

議周”活動WG5工作組第2次會議上，共103家成員單位代表參加了會議，對標

準草稿（第四稿）進行了討論和審議，建議推進形成征求意見稿。會議代表主要

意見包括：網(wǎng)絡(luò)安全漏洞的定義進一步修改、描述項進一步明確、標準適用范圍

進一步協(xié)調(diào)一致等問題。會后，編制組根據(jù)上述專家意見進行了修改，形成標準

征求意見稿（第五稿）。

2018年11月21日，在北京應(yīng)物會議中心召開WG5工作組專家審查會，會

議專家主要意見包括：增加網(wǎng)絡(luò)安全漏洞標識字段的描述內(nèi)容，在編制說明中進

一步明確與其他漏洞庫的兼容問題，補充專家意見處理匯總表采納情況的說明等

問題。會后，編制組根據(jù)上述專家意見進行了修改，形成標準征求意見稿（第六

稿）。

1.4.5標準征求意見的落實情況

標準征求意見的落實情況如下：

1）發(fā)送《標準草案稿》的單位包括WG5工作組專家（會議征詢），共匯集

反饋意見18條，其中未采納的意見0條，其余意見均為采納或部分采納，具體

參見意見匯總處理表。

2）發(fā)送《標準草案稿》的單位包括WG5工作組專家（會議審查），共匯集

反饋意見18條，其中未采納的意見1條，其余意見均為采納，具體參見意見匯

總處理表。

3）發(fā)送《標準草案稿》的單位包括WG5工作組專家、成員單位代表（會議

研討），共匯集反饋意見11條，其中未采納的意見3條，其余意見均為采納，具

體參見意見匯總處理表。

4）發(fā)送《標準草案稿》的單位包括WG5工作組專家（會議審查），共匯集

反饋意見5條，其中未采納的意見0條，其余意見均為采納，具體參見意見匯總

處理表。

二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

2.1編制原則

本標準符合我國的實際情況，遵從我國有關(guān)法律、法規(guī)的規(guī)定，與同族系相

5

關(guān)技術(shù)標準協(xié)調(diào)一致。具體原則與要求如下：

(1)先進性：標準反映網(wǎng)絡(luò)安全漏洞研究、發(fā)布和管理的先進技術(shù)水平；

(2)開放性：標準的編制、評審與使用具有開放性；

(3)適應(yīng)性：標準結(jié)合我國國情；

(4)簡明性：標準易于理解、實現(xiàn)和應(yīng)用；

(5)中立性：公正、中立，不與任何利益攸關(guān)方發(fā)生關(guān)聯(lián)；

(6)一致性：術(shù)語與國內(nèi)外標準所用術(shù)語最大程度保持一致，保持與同族

系相關(guān)技術(shù)標準《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范》和《信息安全技術(shù)網(wǎng)

絡(luò)安全漏洞分類分級指南》協(xié)調(diào)一致。

2.2標準內(nèi)容

2.2.1國內(nèi)外漏洞描述標準制定情況

國際現(xiàn)狀

CVE的英文全稱是“CommonVulnerabilitiesandExposures”。它是由美國國土

安全部（DHS）下屬的美國國家應(yīng)急響應(yīng)組（US-CERT）發(fā)起和主辦的，由MITRE

公司管理。

CVE就好像是一個字典表，為廣泛認同的安全漏洞給出一個唯一的標識。可

以幫助用戶在各自獨立的各種漏洞數(shù)據(jù)庫中和漏洞評估工具中共享數(shù)據(jù)，雖然這

些工具很難整合在一起。這樣就使得CVE成為了安全信息共享的“關(guān)鍵字”。如

果在一個漏洞報告中指明的一個漏洞CVE編號，就可以快速地在任何其它CVE

兼容的數(shù)據(jù)庫中找到相應(yīng)修補的信息，解決安全問題。

CVE是已知的漏洞的唯一的、通用的標識符，每個CVE包括以下內(nèi)容：

CVE標識號（如："CVE-1999-0067"），其中1999為本漏洞產(chǎn)生的年份，

0067為該漏洞在本年內(nèi)的序號。自2014年1月份起，當(dāng)序號超過4位

數(shù)時，可以遞增到無限大，例如CVE-2014-7654321，如圖1所示。

6

圖1CVE序號調(diào)整

對漏洞的簡要描述；

一些相關(guān)的參考條目。

CVE的特點包括：

為每個漏洞確定了唯一的標識號；

給每個漏洞一個標準化的描述；

任何完全迥異的漏洞庫都可以引用CVE；

可以使得安全事件報告更好地被理解，實現(xiàn)更好的協(xié)同工作；

可以成為評價相應(yīng)工具和數(shù)據(jù)庫的基準；

容易從互聯(lián)網(wǎng)查詢和下載，。

CVE開始建立是在1999年9月，起初只有321個條目。在2000年10月16

日，CVE達到了一個重要的里程碑——超過1000個正式條目。截至2018年10

月18日，CVE條目已經(jīng)達到了108518條。

美國國家漏洞庫NVD，對CVE漏洞進行了更加詳細的描述，并提供XML、JSON

等格式的數(shù)據(jù)源供下載。例如CVE-2018-11236漏洞的XML格式描述如下。

<?xmlversion='1.0'encoding='UTF-8'?>

<nvdxmlns:patch="/schema/patch/0.1"xmlns:vuln="/schema/vulnerability/0.4"

xmlns:xsi="/2001/XMLSchema-instance"xmlns="/schema/feed/vulnerability/2.0"

xmlns:scap-core="/schema/scap-core/0.1"xmlns:cpe-lang="/language/2.0"

xmlns:cvss="/schema/cvss-v2/0.2"nvd_xml_version="2.0"pub_date="2018-10-17T03:00:00"

xsi:schemaLocation="/schema/patch/0.1/schema/nvd/patch_0.1.xsd

/schema/feed/vulnerability/2.0/schema/nvd/nvd-cve-feed_2.0.xsd

/schema/scap-core/0.1/schema/nvd/scap-core_0.1.xsd"><entry

7

id="CVE-2018-11236">

<vuln:vulnerable-configurationid="/">

<cpe-lang:logical-testoperator="OR"negate="false">

<cpe-lang:fact-refname="cpe:/a:gnu:glibc:2.27"/>

</cpe-lang:logical-test>

</vuln:vulnerable-configuration>

<vuln:vulnerable-software-list>

<vuln:product>cpe:/a:gnu:glibc:2.27</vuln:product>

</vuln:vulnerable-software-list>

<vuln:cve-id>CVE-2018-11236</vuln:cve-id>

<vuln:published-datetime>2018-05-18T12:29:00.353-04:00</vuln:published-datetime>

<vuln:last-modified-datetime>2018-06-19T11:37:17.440-04:00</vuln:last-modified-datetime>

<vuln:cvss>

<cvss:base_metrics>

<cvss:score>6.8</cvss:score>

<cvss:access-vector>NETWORK</cvss:access-vector>

<cvss:access-complexity>MEDIUM</cvss:access-complexity>

<cvss:authentication>NONE</cvss:authentication>

<cvss:confidentiality-impact>PARTIAL</cvss:confidentiality-impact>

<cvss:integrity-impact>PARTIAL</cvss:integrity-impact>

<cvss:availability-impact>PARTIAL</cvss:availability-impact>

<cvss:source></cvss:source>

<cvss:generated-on-datetime>2018-06-18T10:38:41.500-04:00</cvss:generated-on-datetime>

</cvss:base_metrics>

</vuln:cvss>

<vuln:cweid="CWE-190"/>

<vuln:referencesxml:lang="en"reference_type="VENDOR_ADVISORY">

<vuln:source>BID</vuln:source>

<vuln:referencehref="/bid/104255"xml:lang="en">104255</vuln:reference>

</vuln:references>

<vuln:referencesxml:lang="en"reference_type="UNKNOWN">

<vuln:source>MISC</vuln:source>

<vuln:referencehref="/bugzilla/show_bug.cgi?id=22786"

xml:lang="en">/bugzilla/show_bug.cgi?id=22786</vuln:reference>

</vuln:references>

<vuln:referencesxml:lang="en"reference_type="PATCH">

<vuln:source>MISC</vuln:source>

<vuln:reference

href="/git/gitweb.cgi?p=glibc.git;h=5460617d1567657621107d895ee2dd83bc1f88f2"

xml:lang="en">/git/gitweb.cgi?p=glibc.git;h=5460617d1567657621107d895ee2dd83bc1f88f2</vuln:refe

rence>

</vuln:references>

<vuln:summary>stdlib/canonicalize.cintheGNUCLibrary(akaglibcorlibc6)2.27andearlier,whenprocessingvery

longpathnameargumentstotherealpathfunction,couldencounteranintegeroverflowon32-bitarchitectures,leadingtoa

8

stack-basedbufferoverflowand,potentially,arbitrarycodeexecution.</vuln:summary>

</entry>

</nvd>

國內(nèi)現(xiàn)狀

國內(nèi)安全漏洞庫相關(guān)領(lǐng)域的研究最早開始于研究機構(gòu)，有部分研究者從事安

全漏洞庫的設(shè)計和實現(xiàn)工作，但他們的工作重點并不是收集和發(fā)布漏洞信息，而

是通過整合漏洞屬性設(shè)計合理完善的漏洞庫結(jié)構(gòu)，因此這類漏洞庫并沒有投入實

際應(yīng)用。隨著信息安全的發(fā)展，部分政府機構(gòu)、安全組織和公司開始根據(jù)自身的

需求建立漏洞庫。表1對國內(nèi)部分安全漏洞庫做了簡要分析，從表中可以看出國

內(nèi)漏洞庫針對漏洞的描述有待于進一步規(guī)范。

表1國內(nèi)部分安全漏洞庫中漏洞描述介紹

CNVDCNNVD知道創(chuàng)宇NSFOCUS綠盟360

CNVD-IDCNNVD編號漏洞編號發(fā)布日期漏洞編號

公開日期危害等級披露/發(fā)現(xiàn)時間更新日期漏洞等級

危害級別CVE編號提交時間受影響系統(tǒng)漏洞摘要與描述

漏洞描述漏洞類型漏洞等級描述漏洞反饋

參考鏈接發(fā)布時間漏洞類別來源漏洞類型

漏洞解決方案威脅類型影響組件建議漏洞詳情

廠商補丁更新時間漏洞作者廠商補丁受影響的產(chǎn)品和版

本

驗證信息廠商提交者瀏覽次數(shù)解決方案

報送時間漏洞來源CVE-ID嚴重程度修復(fù)過程

收錄時間漏洞簡介CNNVD-ID修訂歷史

更新時間漏洞公告CNVD-ID引用

漏洞附件參考網(wǎng)址ZoomEyeDork

來源來源

鏈接漏洞詳情

受影響實體PoC

補丁參考鏈接

解決方案

2.2.2標準結(jié)構(gòu)

本標準的編寫格式和方法依照GB/T1.1-2009標準化工作導(dǎo)則第一部分：標

準的結(jié)構(gòu)和編寫規(guī)則。

本標準主要結(jié)構(gòu)包括如下內(nèi)容：

1.范圍

2.規(guī)范性引用文件

9

3.術(shù)語和定義

4.縮略語

5.網(wǎng)絡(luò)安全漏洞標識與描述

5.1框架

5.2標識項

5.3描述項

附錄

參考文獻

2.2.3主要內(nèi)容

范圍、規(guī)范性引用文件、術(shù)語和定義、縮略語

該部分定義了本標準適應(yīng)的范圍，所引用的其它標準情況，及以何種方式引

用，術(shù)語和定義部分明確了該標準所涉及的一些術(shù)語。

在術(shù)語中明確了“網(wǎng)絡(luò)安全漏洞”等重要概念。

在縮略語中明確了本標準中涉及到的CNVD、CNNVD、CVD、CVE、XML等縮

略語。

網(wǎng)絡(luò)安全漏洞標識與描述

該部分明確了本標準規(guī)范網(wǎng)絡(luò)安全漏洞標識與描述的框架和內(nèi)容。

網(wǎng)絡(luò)安全漏洞標識與描述框架分為標識項和描述項兩大類，標識項包括標識

號、相關(guān)編號兩項，描述項包括名稱、發(fā)布時間、發(fā)布組織、驗證組織、發(fā)現(xiàn)者、

類別、等級、受影響產(chǎn)品或系統(tǒng)、存在性說明等九項描述必須項，并可根據(jù)需要

擴展檢測方法、解決方案建議、其他描述等描述項。

網(wǎng)絡(luò)安全漏洞標識與描述內(nèi)容如下：

（1）標識項

1）標識號：網(wǎng)絡(luò)安全漏洞標識號格式為：CVD-YYYY-NNNNNN。CVD

（CybersecurityVulnerabilityDescriptions的縮寫）為固定編碼前綴；YYYY為4位

十進制數(shù)字，表示本漏洞發(fā)現(xiàn)的年份；NNNNNN為6位十進制數(shù)字，表示YYYY

年內(nèi)該漏洞的序號，必要時可擴展位數(shù)。以CVD-YYYY-000001為YYYY年發(fā)布的

第一個漏洞的編號。每個漏洞的標識號是唯一的。

2）相關(guān)編號：同一漏洞在不同組織中的編號，例如CNVD編號、CNNVD編

10

號、CVE編號或其他組織自定義的漏洞編號等。

（2）描述項

3）名稱：概括性描述漏洞信息的短語。采用分段式格式描述，包括固定字

段和自定義字段。格式為：受影響產(chǎn)品或系統(tǒng)名稱.等級.類別.自定義字段。前三

段為固定字段，使用中英文或數(shù)字標識。第四段起為自定義字段，屬可選項，可

增加多個。自定義字段主要用于補充描述固定字段以外的其他信息，例如漏洞的

別稱等。

4）發(fā)布時間：網(wǎng)絡(luò)安全漏洞信息發(fā)布的日期。日期書寫格式為:YYYY-MM-DD。

其中，YYYY表示一個日歷年，MM表示日歷年中日歷月的順序數(shù)，DD表示日歷

月中日歷日的順序數(shù)。

5）發(fā)布組織：發(fā)布網(wǎng)絡(luò)安全漏洞信息的組織，具體說明見GB/T30276-XXXX。

6）驗證組織：對網(wǎng)絡(luò)安全漏洞的存在性、等級、類別等進行技術(shù)驗證的組

織，具體說明見GB/T30276-XXXX。

7）發(fā)現(xiàn)者：發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞的個人或組織。發(fā)現(xiàn)者以其個人標識或組織

名稱命名。不能確認發(fā)現(xiàn)者身份，或漏洞信息為匿名披露的，發(fā)現(xiàn)者可標識為“匿

名”。漏洞發(fā)現(xiàn)者為個人的，可以冠以其所屬組織名稱，格式規(guī)范為：漏洞發(fā)現(xiàn)

者個人標識（漏洞發(fā)現(xiàn)者組織名稱）。發(fā)現(xiàn)者允許多個，以分號相隔。

8）類別：網(wǎng)絡(luò)安全漏洞所屬分類，說明漏洞分類歸屬的信息。類別遵循GB/T

30279-XXXX中的漏洞成因分類。

9）等級：網(wǎng)絡(luò)安全漏洞危害級別，說明漏洞能夠造成的危害程度。等級遵

循GB/T30279-XXXX中的技術(shù)分級。

10）受影響產(chǎn)品或系統(tǒng)：該漏洞所存在的產(chǎn)品或系統(tǒng)的詳細信息，包括供應(yīng)

商、名稱、版本號等內(nèi)容。對于共用中間件或者組件的漏洞，受其影響的相關(guān)產(chǎn)

品或系統(tǒng)信息均可列出。

11）存在性說明：描述該漏洞的觸發(fā)條件、生成機理或概念性證明等。

12）檢測方法：網(wǎng)絡(luò)安全漏洞掃描或測試的方法，例如漏洞檢測代碼、程序

或方法說明等。

13）解決方案建議：網(wǎng)絡(luò)安全漏洞的解決方案，例如補丁信息、修復(fù)建議或

控制措施等。

11

14）其他描述：網(wǎng)絡(luò)安全漏洞描述需要說明的其他相關(guān)信息。

附錄

附錄部分為資料性附錄，給出了網(wǎng)絡(luò)安全漏洞描述項示例的XML表示。

<?xmlversion="1.0"encoding="UTF-8"?>

<cvd_items>

<標識號>CVD-2018-101001</標識號>

<名稱>LinuxKernel.高危.競爭條件漏洞.臟牛Ⅱ漏洞</名稱>

<發(fā)布時間>2018-11-10</發(fā)布時間>

<發(fā)布組織>國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心</發(fā)布組織>

<驗證組織>國家信息技術(shù)安全研究中心</驗證組織>

<發(fā)現(xiàn)者>中國信息安全測評中心</發(fā)現(xiàn)者>

<類別>競爭條件漏洞</類別>

<等級>高危</等級>

<受影響產(chǎn)品或系統(tǒng)>

<生產(chǎn)廠商>Debian</生產(chǎn)廠商>

<系統(tǒng)信息>

<系統(tǒng)名稱>debian_linux</系統(tǒng)名稱>

<版本號>7.0</版本號>

<版本號>8.0</版本號>

</系統(tǒng)信息>

</受影響產(chǎn)品或系統(tǒng)>

<存在性說明>Linuxkernel2.x至4.8.3之前的4.x版本中的mm/gup.c文件存在

競爭條件漏洞，該漏洞源于程序沒有正確處理copy-on-write(COW)功能寫入只讀內(nèi)存映射。

</存在性說明>

<相關(guān)編號>

<NIPC>nipc-2018-xxxxxx</NIPC>

<CVE>CVE-2018-xxxx</CVE>

</相關(guān)編號>

<檢測方法>下載檢測代碼并編譯，使用非root用戶運行生成的程序，對只讀

文件進行寫入，如果寫入成功，則漏洞存在。檢測代碼下載地址為

/dirtycow2/</檢測方法>

<解決方案建議>廠商發(fā)布了升級程序修復(fù)該漏洞，請及時關(guān)注更新：

/cgit/linux/kernel/git/torvalds/linux.git/commit/</解決方案建議>

<其他描述></其他描述>

</cvd_items>

2.3編制目的

本標準的編制目的就是希望吸取國際、國內(nèi)先進的網(wǎng)絡(luò)安全漏洞研究與發(fā)布

管理經(jīng)驗和相關(guān)技術(shù)內(nèi)容，結(jié)合我國網(wǎng)絡(luò)安全漏洞庫建設(shè)與漏洞管理工作的特點，

制定出具有指導(dǎo)意義的技術(shù)規(guī)范：

（1）本標準給出網(wǎng)絡(luò)安全漏洞標識與描述的信息與格式規(guī)范，支撐和指導(dǎo)

12

機構(gòu)進行網(wǎng)絡(luò)安全漏洞發(fā)布管理，有助于機構(gòu)掌握、理解、改善相關(guān)網(wǎng)絡(luò)系統(tǒng)的

漏洞風(fēng)險狀況和安全態(tài)勢；

（2）本標準面向網(wǎng)絡(luò)產(chǎn)品生產(chǎn)、技術(shù)研發(fā)、系統(tǒng)運營等組織，提供統(tǒng)一的

網(wǎng)絡(luò)安全漏洞標識編號和規(guī)范的網(wǎng)絡(luò)安全漏洞描述信息，可促進與網(wǎng)絡(luò)安全漏洞

相關(guān)的產(chǎn)品與系統(tǒng)的信息共享與互操作，提高網(wǎng)絡(luò)安全保障的整體有效性；

（3）本標準主要對網(wǎng)絡(luò)安全漏洞標識與描述的相關(guān)信息提供了切實可行的

規(guī)范，在漏洞數(shù)據(jù)庫實際建設(shè)與運行時，可參考本標準指導(dǎo)并規(guī)范漏洞數(shù)據(jù)項字

段，進而高效地完成漏洞數(shù)據(jù)庫構(gòu)建與管理工作。

三、主要驗證情況分析

本標準是基于網(wǎng)絡(luò)安全漏洞標識、漏洞數(shù)據(jù)庫建設(shè)和漏洞信息發(fā)布管理實踐

提出的，相關(guān)技術(shù)已在應(yīng)用中進行了實際驗證。

本編制說明2.2.1中提到了多個國內(nèi)外重要漏洞庫，例如國家信息安全漏洞

庫CNNVD、國家信息安全漏洞共享平臺CNVD，以及國際漏洞統(tǒng)一編號CVE。為

了使得本規(guī)范與國內(nèi)外主流漏洞編號及漏洞庫兼容，我們在漏洞描述的“相關(guān)編

號”增加了同一漏洞在不同組織中的編號。例如CNVD編號、CNNVD編號、CVE

編號或其他組織自定義的漏洞編號等。

范例：CVE-2018-3137是OracleMySQLServer組件安全漏洞，在國家信息安

全漏洞庫編號為CNNVD-201810-954，在國家信息安全漏洞共享平臺的編號為

CNVD-2018-21614，那么在本標準中，將本標準描述如下：

OracleMySQLServer.中危.拒絕服務(wù)漏洞

<相關(guān)編號>

<CNVD>CNVD-2018-21614</CNVD>

<CNNVD>CNNVD-201810-954</CNNVD>

<CVE>CVE-2018-3137</CVE>

</相關(guān)編號>

另外，本規(guī)范中規(guī)定了“其他描述”項，即網(wǎng)絡(luò)安全漏洞描述需要說明的其

他相關(guān)信息。對于國內(nèi)已有主流漏洞庫，若存在不一致的描述項，可以通過“其

他描述”進一步擴展漏洞的內(nèi)容。

四、知識產(chǎn)權(quán)情況說明

13

本標準不涉及專利。

五、采用國際標準和國外先進標準情況

依據(jù)NISTSP800-51《公共漏洞及其暴露（CVE）命名方案的使用》，由美國

國土安全部（DHS）下屬的美國國家應(yīng)急響應(yīng)組（US-CERT）發(fā)起和主辦，由MITRE

公司管理CVE標準，并基于此標準建立了美國家漏洞庫NVD。CVE的英文全稱是

“CommonV