《信息安全技術(shù) 安全漏洞分類(lèi)規(guī)范》編制說(shuō)明

一、工作簡(jiǎn)況

1.1任務(wù)來(lái)源

《信息安全技術(shù)安全漏洞分類(lèi)規(guī)范》是國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2010年下

達(dá)的信息安全國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目，國(guó)標(biāo)計(jì)劃號(hào)為：20100385-T-469。由國(guó)家信息

技術(shù)安全研究中心主要負(fù)責(zé)進(jìn)行規(guī)范的起草，中國(guó)信息安全測(cè)評(píng)中心、中國(guó)科學(xué)

院研究生院國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中

心等單位參與起草。

1.2主要工作過(guò)程

1、2010年6月，組織參與本規(guī)范編寫(xiě)的相關(guān)單位召開(kāi)項(xiàng)目啟動(dòng)會(huì)，成立規(guī)

范編制小組，確立各自分工，進(jìn)行初步設(shè)計(jì)，并聽(tīng)取各協(xié)作單位的相關(guān)意見(jiàn)。

2、2010年7月，根據(jù)任務(wù)書(shū)的要求，規(guī)范編制小組開(kāi)展考察調(diào)研和資料搜

集工作，按照需求分析整理出安全漏洞分類(lèi)規(guī)范的框架結(jié)構(gòu)。

3、2011年4月，按照制定的框架結(jié)構(gòu)，確定分類(lèi)的原則和方法，形成《安

全漏洞分類(lèi)規(guī)范》草稿V1.0。

4、2011年7月，課題組在專(zhuān)家指導(dǎo)下，積極采納國(guó)外相關(guān)漏洞分類(lèi)的原則，

形成《安全漏洞分類(lèi)規(guī)范》草稿V1.1。

5、2011年8月26日，規(guī)范編制小組在積極采納專(zhuān)家意見(jiàn)的基礎(chǔ)上，對(duì)規(guī)

范內(nèi)容進(jìn)行修改，形成《安全漏洞分類(lèi)規(guī)范》草稿V1.2。

6、2013年8月28日，安標(biāo)委秘書(shū)處組織了該標(biāo)準(zhǔn)的專(zhuān)家評(píng)審，編制小組

聽(tīng)取了專(zhuān)家意見(jiàn)，對(duì)標(biāo)準(zhǔn)文本的內(nèi)容進(jìn)行修訂、簡(jiǎn)化，形成《安全漏洞分類(lèi)規(guī)范》

草稿V1.3。

7、2014年11月，安標(biāo)委WG5工作組對(duì)《安全漏洞分類(lèi)規(guī)范》標(biāo)準(zhǔn)草案稿

進(jìn)行了投票表決，通過(guò)了本標(biāo)準(zhǔn)。投票表決中相關(guān)單位和專(zhuān)家提出了一些修改建

議和意見(jiàn)，標(biāo)準(zhǔn)編制組對(duì)意見(jiàn)進(jìn)行了逐條分析和理解，對(duì)標(biāo)準(zhǔn)文本進(jìn)行了完善，

形成了《安全漏洞分類(lèi)規(guī)范》征求意見(jiàn)稿及相關(guān)文件。

二、編制原則和主要內(nèi)容

2.1編制原則

本標(biāo)準(zhǔn)的研究與編制工作遵循以下原則：

（1）通用性原則

立足于當(dāng)前信息化技術(shù)水平，對(duì)國(guó)內(nèi)外知名安全漏洞庫(kù)的分類(lèi)方法進(jìn)行總

結(jié)、歸納、簡(jiǎn)化，同時(shí)參考吸納國(guó)外相關(guān)領(lǐng)域的先進(jìn)成果并融入標(biāo)準(zhǔn)。

（2）可操作性和實(shí)用性原則

標(biāo)準(zhǔn)規(guī)范是對(duì)實(shí)際工作成果的總結(jié)與提升，最終還需要用于實(shí)踐中，并經(jīng)

得起實(shí)踐的檢驗(yàn)，做到可操作、可用與實(shí)用。

（3）簡(jiǎn)化原則

根據(jù)規(guī)范化對(duì)象的結(jié)構(gòu)、形式、規(guī)則等篩選提煉，經(jīng)過(guò)剔除、替換，保持

整體結(jié)構(gòu)合理且維持原意和功能不變。

本標(biāo)準(zhǔn)的編制的內(nèi)容制定遵循以下原則：

（A)唯一性原則：安全漏洞僅在某一類(lèi)別中，其所屬類(lèi)別不依賴(lài)人為因

素。

（B)互斥性原則：類(lèi)別沒(méi)有重疊，安全漏洞必屬于某一分類(lèi)。

（C)擴(kuò)展性原則：允許根據(jù)實(shí)際情況擴(kuò)展安全漏洞的類(lèi)別。

2.2主要內(nèi)容

本標(biāo)準(zhǔn)主要內(nèi)容如下：

三、主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果

《信息安全技術(shù)安全漏洞分類(lèi)規(guī)范》旨在對(duì)安全漏洞的特征屬性進(jìn)行研究，

通過(guò)統(tǒng)計(jì)國(guó)內(nèi)外主要漏洞庫(kù)的分類(lèi)依據(jù)信息，并結(jié)合國(guó)內(nèi)信息安全行業(yè)應(yīng)用情

況，提出科學(xué)的、合理的安全漏洞分類(lèi)意見(jiàn)，用以支持計(jì)算機(jī)信息系統(tǒng)風(fēng)險(xiǎn)管理、

安全漏洞管理等方面的工作，為國(guó)家計(jì)算機(jī)信息安全行業(yè)發(fā)展提供重要的技術(shù)參

考與標(biāo)準(zhǔn)規(guī)范。

四、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國(guó)際、國(guó)外同類(lèi)標(biāo)準(zhǔn)水平的

對(duì)比情況，或與測(cè)試的國(guó)外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況

本標(biāo)準(zhǔn)在編寫(xiě)時(shí)參考了NISTSP800-82和SP800-53等相關(guān)標(biāo)準(zhǔn)。

五、與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的關(guān)系

本規(guī)范的編制，要配合《GB/T28458-2012信息安全技術(shù)安全漏洞標(biāo)識(shí)與

描述規(guī)范》的使用。GB/T28458-2012中對(duì)安全漏洞標(biāo)識(shí)與描述規(guī)范的要求，包

括：標(biāo)識(shí)號(hào)、名稱(chēng)、發(fā)布時(shí)間、發(fā)布單位、類(lèi)別、等級(jí)、影響系統(tǒng)等必須的描述

項(xiàng)（實(shí)線框描述項(xiàng)），并可根據(jù)需要擴(kuò)充（但不限于）相關(guān)編號(hào)、利用方法、解

決方案建議、其他描述等描述項(xiàng)（虛線框描述項(xiàng)）。

結(jié)合GB/T28458-2012使用：“名稱(chēng)”描述項(xiàng)是安全漏洞標(biāo)題，概括性描述

安全漏洞信息的短語(yǔ)，例如InternetExplorer8.0緩沖區(qū)溢出漏洞，已經(jīng)涵蓋

了漏洞宿主（包括：廠商、產(chǎn)品、版本）的信息，因此在分類(lèi)規(guī)范中不適合引入

該角度。

用于安全漏洞分類(lèi)的漏洞等級(jí)與GB/T28458-2012使用的“等級(jí)”描述項(xiàng)重

復(fù)，因此在分類(lèi)規(guī)范中不適合引入該角度。

安全漏洞形成原因和安全漏洞被利用后的威脅影響說(shuō)明與GB/T

28458-2012使用的描述項(xiàng)無(wú)重復(fù)重合，因此可適合于引入該角度。

六、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)

詳見(jiàn)標(biāo)準(zhǔn)意見(jiàn)匯總處理表。

七、國(guó)家標(biāo)準(zhǔn)作為強(qiáng)制性國(guó)家標(biāo)準(zhǔn)或推薦性國(guó)家標(biāo)準(zhǔn)的建議

建議本標(biāo)準(zhǔn)作為推薦性國(guó)家標(biāo)準(zhǔn)發(fā)布實(shí)施。

八、貫徹國(guó)家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過(guò)渡辦法等

內(nèi)容）

本標(biāo)準(zhǔn)主要用于解決漏洞分類(lèi)問(wèn)題，配合《GB/T28458-2012信息安全技

術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范》使用。

九、其他事項(xiàng)說(shuō)明

本標(biāo)準(zhǔn)不涉及專(zhuān)利。