《信息安全技術(shù) 安全漏洞分類規(guī)范》編制說明

一、工作簡況

1.1任務(wù)來源

《信息安全技術(shù)安全漏洞分類規(guī)范》是國家標(biāo)準(zhǔn)化管理委員會2010年下

達的信息安全國家標(biāo)準(zhǔn)制定項目，國標(biāo)計劃號為：20100385-T-469。由國家信息

技術(shù)安全研究中心主要負責(zé)進行規(guī)范的起草，中國信息安全測評中心、中國科學(xué)

院研究生院國家計算機網(wǎng)絡(luò)入侵防范中心、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中

心等單位參與起草。

1.2主要工作過程

1、2010年6月，組織參與本規(guī)范編寫的相關(guān)單位召開項目啟動會，成立規(guī)

范編制小組，確立各自分工，進行初步設(shè)計，并聽取各協(xié)作單位的相關(guān)意見。

2、2010年7月，根據(jù)任務(wù)書的要求，規(guī)范編制小組開展考察調(diào)研和資料搜

集工作，按照需求分析整理出安全漏洞分類規(guī)范的框架結(jié)構(gòu)。

3、2011年4月，按照制定的框架結(jié)構(gòu)，確定分類的原則和方法，形成《安

全漏洞分類規(guī)范》草稿V1.0。

4、2011年7月，課題組在專家指導(dǎo)下，積極采納國外相關(guān)漏洞分類的原則，

形成《安全漏洞分類規(guī)范》草稿V1.1。

5、2011年8月26日，規(guī)范編制小組在積極采納專家意見的基礎(chǔ)上，對規(guī)

范內(nèi)容進行修改，形成《安全漏洞分類規(guī)范》草稿V1.2。

6、2013年8月28日，安標(biāo)委秘書處組織了該標(biāo)準(zhǔn)的專家評審，編制小組

聽取了專家意見，對標(biāo)準(zhǔn)文本的內(nèi)容進行修訂、簡化，形成《安全漏洞分類規(guī)范》

草稿V1.3。

7、2014年11月，安標(biāo)委WG5工作組對《安全漏洞分類規(guī)范》標(biāo)準(zhǔn)草案稿

進行了投票表決，通過了本標(biāo)準(zhǔn)。投票表決中相關(guān)單位和專家提出了一些修改建

議和意見，標(biāo)準(zhǔn)編制組對意見進行了逐條分析和理解，對標(biāo)準(zhǔn)文本進行了完善，

形成了《安全漏洞分類規(guī)范》征求意見稿及相關(guān)文件。

二、編制原則和主要內(nèi)容

2.1編制原則

本標(biāo)準(zhǔn)的研究與編制工作遵循以下原則：

（1）通用性原則

立足于當(dāng)前信息化技術(shù)水平，對國內(nèi)外知名安全漏洞庫的分類方法進行總

結(jié)、歸納、簡化，同時參考吸納國外相關(guān)領(lǐng)域的先進成果并融入標(biāo)準(zhǔn)。

（2）可操作性和實用性原則

標(biāo)準(zhǔn)規(guī)范是對實際工作成果的總結(jié)與提升，最終還需要用于實踐中，并經(jīng)

得起實踐的檢驗，做到可操作、可用與實用。

（3）簡化原則

根據(jù)規(guī)范化對象的結(jié)構(gòu)、形式、規(guī)則等篩選提煉，經(jīng)過剔除、替換，保持

整體結(jié)構(gòu)合理且維持原意和功能不變。

本標(biāo)準(zhǔn)的編制的內(nèi)容制定遵循以下原則：

（A)唯一性原則：安全漏洞僅在某一類別中，其所屬類別不依賴人為因

素。

（B)互斥性原則：類別沒有重疊，安全漏洞必屬于某一分類。

（C)擴展性原則：允許根據(jù)實際情況擴展安全漏洞的類別。

2.2主要內(nèi)容

本標(biāo)準(zhǔn)主要內(nèi)容如下：

三、主要試驗（或驗證）的分析、綜述報告，技術(shù)經(jīng)濟論證，預(yù)期的經(jīng)濟效果

《信息安全技術(shù)安全漏洞分類規(guī)范》旨在對安全漏洞的特征屬性進行研究，

通過統(tǒng)計國內(nèi)外主要漏洞庫的分類依據(jù)信息，并結(jié)合國內(nèi)信息安全行業(yè)應(yīng)用情

況，提出科學(xué)的、合理的安全漏洞分類意見，用以支持計算機信息系統(tǒng)風(fēng)險管理、

安全漏洞管理等方面的工作，為國家計算機信息安全行業(yè)發(fā)展提供重要的技術(shù)參

考與標(biāo)準(zhǔn)規(guī)范。

四、采用國際標(biāo)準(zhǔn)和國外先進標(biāo)準(zhǔn)的程度，以及與國際、國外同類標(biāo)準(zhǔn)水平的

對比情況，或與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況

本標(biāo)準(zhǔn)在編寫時參考了NISTSP800-82和SP800-53等相關(guān)標(biāo)準(zhǔn)。

五、與有關(guān)的現(xiàn)行法律、法規(guī)和強制性國家標(biāo)準(zhǔn)的關(guān)系

本規(guī)范的編制，要配合《GB/T28458-2012信息安全技術(shù)安全漏洞標(biāo)識與

描述規(guī)范》的使用。GB/T28458-2012中對安全漏洞標(biāo)識與描述規(guī)范的要求，包

括：標(biāo)識號、名稱、發(fā)布時間、發(fā)布單位、類別、等級、影響系統(tǒng)等必須的描述

項（實線框描述項），并可根據(jù)需要擴充（但不限于）相關(guān)編號、利用方法、解

決方案建議、其他描述等描述項（虛線框描述項）。

結(jié)合GB/T28458-2012使用：“名稱”描述項是安全漏洞標(biāo)題，概括性描述

安全漏洞信息的短語，例如InternetExplorer8.0緩沖區(qū)溢出漏洞，已經(jīng)涵蓋

了漏洞宿主（包括：廠商、產(chǎn)品、版本）的信息，因此在分類規(guī)范中不適合引入

該角度。

用于安全漏洞分類的漏洞等級與GB/T28458-2012使用的“等級”描述項重

復(fù)，因此在分類規(guī)范中不適合引入該角度。

安全漏洞形成原因和安全漏洞被利用后的威脅影響說明與GB/T

28458-2012使用的描述項無重復(fù)重合，因此可適合于引入該角度。

六、重大分歧意見的處理經(jīng)過和依據(jù)

詳見標(biāo)準(zhǔn)意見匯總處理表。

七、國家標(biāo)準(zhǔn)作為強制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議

建議本標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實施。

八、貫徹國家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等

內(nèi)容）

本標(biāo)準(zhǔn)主要用于解決漏洞分類問題，配合《GB/T28458-2012信息安全技

術(shù)安全漏洞標(biāo)識與描述規(guī)范》使用。

九、其他事項說明

本標(biāo)準(zhǔn)不涉及專利。