從國(guó)標(biāo)談網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述

◆甘清云

（中國(guó)直升機(jī)設(shè)計(jì)研究所 天津 300300）

網(wǎng)絡(luò)空間已經(jīng)逐步發(fā)展成為繼陸、海、空、天之后的第五大戰(zhàn)略空間。新形勢(shì)下我國(guó)網(wǎng)絡(luò)空間安全發(fā)展態(tài)勢(shì)和應(yīng)用環(huán)境發(fā)生了明顯變化，作為網(wǎng)絡(luò)空間安全領(lǐng)域中重要內(nèi)容的網(wǎng)絡(luò)安全漏洞，其定義范圍得到了很大的擴(kuò)展，安全漏洞所需描述的信息日益增多，GB/T 28458-2012《信息安全技術(shù) 安全漏洞標(biāo)識(shí)與描述規(guī)范》已無(wú)法滿足實(shí)際需求，有必要對(duì)該標(biāo)準(zhǔn)在漏洞定義、標(biāo)識(shí)、命名、相關(guān)管理和技術(shù)方法等描述內(nèi)容進(jìn)行修訂。

1 國(guó)內(nèi)外網(wǎng)絡(luò)安全漏洞描述標(biāo)準(zhǔn)簡(jiǎn)介

CVE（Common Vulnerabilities and Exposures）是由美國(guó)國(guó)土安全部下屬的美國(guó)國(guó)家應(yīng)急響應(yīng)組發(fā)起和主辦，由MITRE公司管理。CVE相當(dāng)于一個(gè)字典表，為廣泛認(rèn)同的安全漏洞給出一個(gè)唯一的標(biāo)識(shí)，可以幫助用戶在各自獨(dú)立的各種漏洞數(shù)據(jù)庫(kù)中共享數(shù)據(jù)。CVE成為安全信息共享的“關(guān)鍵字”。如果在一個(gè)漏洞報(bào)告中有一個(gè)漏洞CVE編號(hào)，就可以快速地在任何其他CVE兼容的數(shù)據(jù)庫(kù)中找到相應(yīng)修補(bǔ)的信息，解決安全問(wèn)題。

國(guó)內(nèi)主要的漏洞庫(kù)平臺(tái)有國(guó)家信息安全漏洞庫(kù)（CNNVD）、國(guó)家信息安全漏洞共享平臺(tái)（CNVD）等政府部門建立的漏洞庫(kù)以及安全公司（比如綠盟、360等）建立的漏洞庫(kù)。CNNVD由中國(guó)信息安全評(píng)測(cè)中心維護(hù)，CNVD由國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心維護(hù)。CNNVD和 CNVD對(duì)于漏洞的描述也有差異。各漏洞平臺(tái)描述差異明細(xì)見(jiàn)表1。

表1 漏洞平臺(tái)描述差異明細(xì)

2 GB/T 28458-2012《信息安全技術(shù) 安全漏洞標(biāo)識(shí)與描述規(guī)范》

在GB/28458-2012中，安全漏洞描述項(xiàng)有7項(xiàng)，包括標(biāo)識(shí)號(hào)、名稱、發(fā)布時(shí)間、發(fā)布單位、類別、等級(jí)、影響系統(tǒng)等必需的描述項(xiàng)，并可根據(jù)需要擴(kuò)充相關(guān)編號(hào)、利用方法、解決方案建議、其他描述等描述項(xiàng)。

3 《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范》

2018年12月26日，《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范》（征求意見(jiàn)稿）面向社會(huì)廣泛征求意見(jiàn)。《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范》（征求意見(jiàn)稿）與GB/T 28458-2012《信息安全技術(shù) 安全漏洞標(biāo)識(shí)與描述規(guī)范》相比，重點(diǎn)在以下方面進(jìn)行了修訂。

（1）增加標(biāo)識(shí)字段

將標(biāo)識(shí)與描述作為兩個(gè)方面表述，增加了標(biāo)識(shí)字段描述內(nèi)容。標(biāo)識(shí)項(xiàng)包括標(biāo)識(shí)號(hào)、相關(guān)編號(hào)兩項(xiàng)，描述項(xiàng)包括名稱、發(fā)布時(shí)間、發(fā)布組織、驗(yàn)證組織、發(fā)現(xiàn)者、類別、等級(jí)、受影響產(chǎn)品或系統(tǒng)、存在性說(shuō)明等九項(xiàng)描述必須項(xiàng)，并可根據(jù)需要擴(kuò)展檢測(cè)方法、解決方案建議、其他描述等描述項(xiàng)。

（2）描述項(xiàng)修訂

增加了驗(yàn)證組織、發(fā)現(xiàn)者、存在性說(shuō)明和檢測(cè)方法等描述項(xiàng)內(nèi)容。刪除了利用方法描述項(xiàng)內(nèi)容。

修改了網(wǎng)絡(luò)安全漏洞的標(biāo)識(shí)號(hào)、相關(guān)編號(hào)、名稱、受影響產(chǎn)品或系統(tǒng)、解決方案建議等內(nèi)容。以名稱為例，GB/T 28458-2012中把名稱定義為安全漏洞標(biāo)題，概括性描述安全漏洞信息的短語(yǔ)，例如Internet Explorer 8.0緩沖區(qū)溢出漏洞。此次修訂為：采用分段式格式描述，包括固定字段和自定義字段。格式如下：受影響產(chǎn)品或系統(tǒng)名稱.等級(jí).類別.自定義字段1.自定義字2.…自定義字段n，前三段為固定字段，使用中英文或數(shù)字標(biāo)識(shí)。其中，“受影響產(chǎn)品或系統(tǒng)名稱”為漏洞所存在的產(chǎn)品或系統(tǒng)的名稱，可包含版本號(hào)信息，例如Internet Explorer 8.0、Chrome等。“等級(jí)”為網(wǎng)絡(luò)安全漏洞描述項(xiàng)中的漏洞等級(jí)。“類別”為網(wǎng)絡(luò)安全漏洞描述項(xiàng)中的漏洞類別。第四段起為自定義字段，屬可選項(xiàng)，可增加多個(gè)。自定義字段主要用于補(bǔ)充描述固定字段以外的其他信息，例如漏洞的別稱等。示例：Linux Kernel.高危.競(jìng)爭(zhēng)條件漏洞.臟牛Ⅱ漏洞。修訂前后最直觀的變化就是至少增加了漏洞等級(jí)描述。

相關(guān)編號(hào)原來(lái)屬于描述項(xiàng)中的擴(kuò)充項(xiàng)，修訂后屬于標(biāo)識(shí)項(xiàng)中的必須項(xiàng)。

4 結(jié)束語(yǔ)

2012年發(fā)布實(shí)施的 GB/T 28458-2012《信息安全技術(shù) 安全漏洞標(biāo)識(shí)與描述規(guī)范》實(shí)施6年多時(shí)間以來(lái)，對(duì)我國(guó)漏洞庫(kù)建設(shè)，以及漏洞相關(guān)產(chǎn)品的設(shè)計(jì)、生產(chǎn)和維護(hù)起到了積極作用。此次對(duì)GB/T 28458-2012的修訂（《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞分類分級(jí)指南》和《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞管理規(guī)范》也在同步修訂過(guò)程中）在支撐國(guó)家對(duì)網(wǎng)絡(luò)安全漏洞的發(fā)布管理，推動(dòng)網(wǎng)絡(luò)安全漏洞信息共享和統(tǒng)一引用，提升國(guó)家漏洞庫(kù)、網(wǎng)絡(luò)安全漏洞相關(guān)產(chǎn)品的規(guī)范性和有效性等方面將發(fā)揮其重要作用。