国家标准《信息安全技术安全漏洞分类规范》
(征求意见稿)编制说明
一、工作简况
1.1任务来源
《信息安全技术安全漏洞分类规范》是国家标准化管理委员会2010年下达的信息安全国家标准制定项目,国标计划号为:20100385-T-469。由国家信息技术安全研究中心主要负责进行规范的起草,中国信息安全测评中心、中国科学院研究生院国家计算机网络入侵防范中心、国家计算机网络应急技术处理协调中心等单位参与起草。
1.2主要工作过程
1、2010年6月,组织参与本规范编写的相关单位召开项目启动会,成立规范编制小组,确立各自分工,进行初步设计,并听取各协作单位的相关意见。
2、2010年7月,根据任务书的要求,规范编制小组开展考察调研和资料搜集工作,按照需求分析整理出安全漏洞分类规范的框架结构。
3、2011年4月,按照制定的框架结构,确定分类的原则和方法,形成《安全漏洞分类规范》草稿V1.0。
4、2011年7月,课题组在专家指导下,积极采纳国外相关漏洞分类的原则,形成《安全漏洞分类规范》草稿V1.1。
5、2011年8月26日,规范编制小组在积极采纳专家意见的基础上,对规范内容进行修改,形成《安全漏洞分类规范》草稿V1.2。
6、2013年8月28日,安标委秘书处组织了该标准的专家评审,编制小组听取了专家意见,对标准文本的内容进行修订、简化,形成《安全漏洞分类规范》草稿V1.3。
7、2014年11月,安标委WG5工作组对《安全漏洞分类规范》标准草案稿进行了投票表决,通过了本标准。投票表决中相关单位和专家提出了一些修改建议和意见,标准编制组对意见进行了逐条分析和理解,对标准文本进行了完善,形成了《安全漏洞分类规范》征求意见稿及相关文件。
二、编制原则和主要内容
2.1 编制原则
本标准的研究与编制工作遵循以下原则:
(1)通用性原则
立足于当前信息化技术水平,对国内外知名安全漏洞库的分类方法进行总结、归纳、简化,同时参考吸纳国外相关领域的先进成果并融入标准。
(2)可操作性和实用性原则
标准规范是对实际工作成果的总结与提升,最终还需要用于实践中,并经得起实践的检验,做到可操作、可用与实用。
(3)简化原则
根据规范化对象的结构、形式、规则等筛选提炼,经过剔除、替换,保持整体结构合理且维持原意和功能不变。
本标准的编制的内容制定遵循以下原则:
(A) 唯一性原则:安全漏洞仅在某一类别中,其所属类别不依赖人为因素。
(B) 互斥性原则:类别没有重叠,安全漏洞必属于某一分类。
(C) 扩展性原则:允许根据实际情况扩展安全漏洞的类别。
2.2 主要内容
本标准主要内容如下:
三、主要试验(或验证)的分析、综述报告,技术经济论证,预期的经济效果
《信息安全技术安全漏洞分类规范》旨在对安全漏洞的特征属性进行研究,通过统计国内外主要漏洞库的分类依据信息,并结合国内信息安全行业应用情况,提出科学的、合理的安全漏洞分类意见,用以支持计算机信息系统风险管理、安全漏洞管理等方面的工作,为国家计算机信息安全行业发展提供重要的技术参考与标准规范。
四、采用国际标准和国外先进标准的程度,以及与国际、国外同类标准水平的
对比情况,或与测试的国外样品、样机的有关数据对比情况
本标准在编写时参考了NIST SP800-82和SP800-53等相关标准。
五、与有关的现行法律、法规和强制性国家标准的关系
本规范的编制,要配合《GB/T 28458-2012 信息安全技术安全漏洞标识与描述规范》的使用。GB/T 28458-2012中对安全漏洞标识与描述规范的要求,包括:标识号、名称、发布时间、发布单位、类别、等级、影响系统等必须的描述项(实线框描述项),并可根据需要扩充(但不限于)相关编号、利用方法、解决方案建议、其他描述等描述项(虚线框描述项)。
结合GB/T 28458-2012使用:“名称”描述项是安全漏洞标题,概括性描述安全漏洞信息的短语,例如Internet Explorer 8.0缓冲区溢出漏洞,已经涵盖了漏洞宿主(包括:厂商、产品、版本)的信息,因此在分类规范中不适合引入该角度。
用于安全漏洞分类的漏洞等级与GB/T 28458-2012使用的“等级”描述项重复,因此在分类规范中不适合引入该角度。
安全漏洞形成原因和安全漏洞被利用后的威胁影响说明与GB/T 28458-2012使用的描述项无重复重合,因此可适合于引入该角度。
六、重大分歧意见的处理经过和依据
详见标准意见汇总处理表。
七、国家标准作为强制性国家标准或推荐性国家标准的建议
建议本标准作为推荐性国家标准发布实施。
八、贯彻国家标准的要求和措施建议(包括组织措施、技术措施、过渡办法等
内容)
本标准主要用于解决漏洞分类问题,配合《GB/T 28458-2012 信息安全技术安全漏洞标识与描述规范》使用。
九、其他事项说明
本标准不涉及专利。
标准编制组
2015年2月
