国家信息安全测评认证_原创｜信息安全漏洞相关标准介绍_详细网安记录贴

本文链接：https://blog.csdn.net/m0_68974407/article/details/139377246

点击上方“中国信息安全” 可以订阅

中国信息安全测评中心/李龙杰郝永乐

漏洞标准是关于漏洞命名、评级、检测、管理的一系列规则和规范，是信息安全保障体系的重要组成部分，是对漏洞进行合理、有效管控的重要手段，为信息安全测评和风险评估提供了基础。本文对国内外漏洞相关标准进行了系统的介绍，希望能够为我国的漏洞标准制定以及对漏洞资源的规范、共享、协同化管理提供一定的参考价值。

美国的安全研究机构与组织先后推出了一系列有影响力的标准，其中，CVE、CVSS等6个标准已被国际电信联盟（ITU）的电信标准化部门（ITU-T）纳入到了其X系列（数据网、开放系统通信和安全性）建议书中，成为了ITU-T推荐的国际漏洞标准。表1列出了这6个标准及其建议书编号。

国家信息安全测试中心_国家信息安全测评认证_国家信息安全测评

除了上述国际标准，国际标准化组织（ISO）和国际电工委员会（IEC）的联合技术委员会也先后发布了《信息技术—安全技术—漏洞披露》（ISO/IEC 29147）和《信息技术—安全技术—漏洞处理流程》（ISO/IEC 30111）两个有关漏洞管理的国际标准。

国内的安全漏洞标准化工作也在建设中，在中国信息安全测评中心与其它政府及学术机构的共同努力下，相继制定了《信息安全技术安全漏洞标识与描述规范》（GB/T 28458-2012）、《信息安全技术信息安全漏洞管理规范》（GB/T 30276-2013）、《信息安全技术安全漏洞等级划分指南》（GB/T 30279-2013）和《信息安全技术安全漏洞分类规范》（正在制定中）四项国家标准。

一、ITU-T推荐的漏洞标准

1. 通用漏洞及暴露

通用漏洞及暴露（CVE）是美国的MITRE公司开发的一个为公开的信息安全漏洞或者暴露进行命名的国际标准。其目的在于建立连接不同漏洞数据源和安全工具之间的“关键字”，以方便彼此间共享数据。

CVE为每个公开的漏洞或暴露分配一个唯一的编号，并给出一个简要的描述以及有关参考信息，如图1所示。图1中的漏洞编号是CVE-2015-8153，这是一个SQL注入型漏洞，存在于SEPM RU6-MP4之前12.1版本中，远程攻击者可利用该漏洞执行任意SQL命令。

CVE标准制定之后，国际上很多组织机构都采用了CVE作为标识漏洞的统一标准。中国国家信息安全漏洞库（CNNVD）在使用自己的编号标识漏洞的同时也保持了与CVE编号的对应关系。上例中的CVE-2015-8153漏洞在CNNVD中对应的编号是CNNVD--272。与CVE只记录漏洞的简要信息相比，CNNVD包含更加丰富的内容，如危害等级、漏洞类型、威胁类型等，详细信息如图2所示。

国家信息安全测评认证_国家信息安全测评_国家信息安全测试中心

国家信息安全测评_国家信息安全测试中心_国家信息安全测评认证

2. 通用漏洞评分系统

通用漏洞评分系统（CVSS）是美国的事件响应与安全组织论坛（FIRST）维护的一个开放的安全漏洞评估框架，该框架使用统一的语言对信息技术产品漏洞的危害程度进行评估。

CVSS由三组指标构成，分别是基本指标组、时间指标组和环境指标组。基本指标组表示漏洞固有的、基本的、不随时间和用户环境变化的特性。时间指标组反映漏洞随时间变化但不随用户环境变化的特性。环境指标组描述漏洞与特殊用户环境相关的特性。图3中给出了CVSS 2.0版中三个度量指标组所包含的要素。由于时间评分和环境评分分别随时间和用户环境的变化而变化，因此许多厂商和漏洞库在使用CVSS时通常只给出基本评分，如美国国家安全漏洞库（NVD）。CNNVD在评估漏洞等级时采用《CNNVD漏洞分级规范》，该规范将漏洞危害分为低危、中危、高危与危急四个等级，并保持与CVSS的兼容。

国家信息安全测试中心_国家信息安全测评_国家信息安全测评认证

3. 通用缺陷枚举与评分系统

通用缺陷枚举（CWE）是MITRE公司开发的一个统一的、可度量的软件缺陷描述体系。CWE定位于创建一个软件缺陷和漏洞类别的列表，使得程序员和安全从业者能够更好地理解软件的缺陷并创建能够识别、修复以及阻止此类缺陷的自动化工具。为了便于识别，CWE为每一个条目或名词都被分配了一个唯一的编号，其基本形式是CWE-XXX，如“基于堆栈的缓冲区溢出”的编号为CWE-121。

通用缺陷评分系统（CWSS）是一个度量软件缺陷等级的开放标准，它是CWE项目的一部分。CWSS由三组指标构成，分别是基本发现指标组、攻击面指标组、环境指标组。基本发现指标组用于计算缺陷的固有风险、发现缺陷的准确性和缺陷的可控性。攻击面指标组是指攻击者为利用某个缺陷必须克服的障碍。环境指标组表示缺陷与特殊环境或操作背景相关的特性。CWSS的三个指标组也分别包含不同的要素，其组成如图4所示。

国家信息安全测评认证_国家信息安全测试中心_国家信息安全测评

4. 通用平台枚举

通用平台枚举（CPE）是一种对应用程序、操作系统以及硬件设备进行描述和标识的标准化方案，它提供了一个标准的机器可读的格式，利用这个格式可以对IT产品和平台进行编码。

CPE标准包括四个基本的规范模块，分别是命名、名称匹配、应用语言和字典。命名规范定义了对产品和平台编码的标准方法，是CPE最基本的规范模块。名称匹配规范定义了CPE名称之间的比较方法，通过比较以确定一个CPE名称是否代表某个或某些产品。字典规范规定了CPE字典的概念，明确了使用字典的程序。应用语言规范规定了通过形成复杂的逻辑表达式描述信息技术平台的标准化方法。

5. 开放漏洞评估语言

开放漏洞评估语言（OVAL）是一种用来定义检查项、漏洞等技术细节的描述语言，它能够根据系统的配置信息，分析系统的安全状态（包括漏洞、配置、系统补丁版本等），形成评估结果报告。

OVAL以XML语言描述，包含定义、系统特性和结果三个主要的模式。定义模式用于测试特定的机器状态（漏洞、配置、补丁等），系统特性模式用于描述系统信息快照，该快照可用于和OVAL定义文件进行匹配以得出评估结果，结果模式用于描述评估结果。定义模式占有较为重要的位置，它提供了一种机器可读的对系统进行安全评估的操作指南，可用来描述系统的配置信息、分析系统的安全状态、报告评估结果等。

二、ISO/IEC漏洞管理标准

漏洞披露（ISO/IEC 29147）给出了软件漏洞发现之后的标准披露流程。该标准通过规范漏洞发现者、漏洞厂商以及第三方安全漏洞管理组织在漏洞披露过程中所应承担的角色及标准操作，从而保护受影响厂商及漏洞提交者的利益。该标准描述了厂商应该如何响应外界对其产品和服务的漏洞报告，具体包括：

（1）厂商应如何接收有关他们产品和在线服务中潜在漏洞的信息。

（2）厂商应如何发布有关他们产品和在线服务漏洞的信息。

（3）厂商的漏洞发布过程应该披露哪些信息项。

（4）提供的信息项中应该包含哪些具体内的容。

国家信息安全测评认证_国家信息安全测试中心_国家信息安全测评

漏洞处理流程（ISO/IEC 30111）描述了厂商处理和解决产品或在线服务中潜在漏洞信息的标准流程，其目标是要求厂商为潜在的漏洞提供及时的解决方案。该标准与漏洞披露（ISO/IEC 29147）是相关标准，如图5所示。漏洞处理流程（ISO/IEC 30111）制定了处理漏洞报告的典型步骤，为厂商理解相关流程以及创建或修改内部流程提供了参考。该标准的漏洞处理流程如下：

（1）接收漏洞报告，包括厂商自己发现的漏洞或潜在漏洞，以及其他个人或组织发现的漏洞或潜在漏洞。

（2）漏洞验证，验证接收到的所有类型的漏洞或潜在漏洞。

（3）开发漏洞解决方案，包括方案决策、开发修复方案、测试修复方案。

（4）发布漏洞解决方案，包括在线服务漏洞解决方案和产品漏洞解决方案。

（5）方案后活动，包括案例维护、安全开发生命周期反馈、产品或服务稳定性监测等。

三、国内漏洞标准

1. 安全漏洞标识与描述规范

《信息安全技术安全漏洞标识与描述规范》（GB/T 28458-2012）规定了计算机信息系统安全漏洞的标识和描述规范，适用于计算机信息系统安全管理部门进行安全漏洞信息发布和漏洞库建设。

该标准规定了漏洞描述的原则，并根据这些原则定义了客观、明确描述安全漏洞需要指明的属性项，包括标识符、名称、发布时间、发布单位、类别、等级、影响系统等必须的属性，并可根据需要扩充相关编号、利用方法、解决方案建议，其它描述等属性。

2. 信息安全漏洞管理规范

《信息安全技术信息安全漏洞管理规范》（GB/T 30276-2013）规定了信息安全漏洞的管理要求，涉及漏洞发现、利用、修复和公开等环节，适用于用户、厂商和漏洞管理组织进行信息安全漏洞的管理活动，包括漏洞的预防、收集、消减和发布。

根据漏洞从产生到消亡的整个过程，信息安全漏洞周期可分为：发现、利用、修复、公开四个阶段。根据漏洞生命周期中漏洞所处的不同状态，漏洞管理行为对应为预防、收集、消减和发布等实施活动。漏洞生命周期与漏洞管理活动的对应关系如图6所示。

国家信息安全测评认证_国家信息安全测试中心_国家信息安全测评

该标准规定了信息安全漏洞的管理要求，涉及漏洞的产生、发现、利用、公开和修复等环节。根据漏洞管理活动的实施情况，定期对实施方案和实施效果进行检查、评审、并针对方案与相关文档做出有效改进，保障被发现的漏洞得到有效处置。

3. 安全漏洞等级划分指南

《信息安全技术安全漏洞等级划分指南》（GB/T 30279-2013）规定了信息系统安全漏洞的等级划分要素和危害等级程度，适用于信息安全漏洞管理组织和信息安全漏洞发布机构对信息安全漏洞危害程度的评估和认定，适用于信息安全产品生产、技术研发、系统运营等组织、机构在相关工作中的参考。

该标准给出了安全漏洞等级划分方法，用户根据受影响系统的具体部署情况，结合本指南给出的漏洞危害等级综合判断漏洞的危害程度。该标准中，安全漏洞等级划分要素包括访问路径、利用复杂度和影响程度三个方面。访问路径的赋值包括本地、邻接和远程，通常可被远程利用的漏洞危害程度高于可被邻接利用的漏洞，可被本地利用的漏洞次之。利用复杂度的赋值包括简单和复杂，通常利用复杂度简单的漏洞危害程度高。影响程度的赋值包括完全、部分、轻微和无，通常影响程度越大的漏洞的危害程度越高。

安全漏洞的危害程度从低至高依次为低危、中危、高危和超危，具体的危害等级由三个要素的不同取值共同决定。

4. 安全漏洞分类规范

《信息安全技术安全漏洞分类规范》规定了计算机信息系统安全漏洞的分类规范，适用于计算机信息系统安全管理部门进行安全漏洞管理和技术研究部门开展安全漏洞分析研究工作。目前，该标准处于报批稿阶段。

该标准遵循互斥性原则和扩展性原则，根据漏洞形成的原因、漏洞所处空间和时间对安全漏洞进行分类。按照安全漏洞的形成原因可分类为：边界条件错误、数据验证错误、访问验证错误、处理逻辑错误、同步错误、意外处理错误、对象验证错误、配置错误、设计缺陷、环境错误或其他等。按照安全漏洞在计算机信息系统所处的位置可分为：应用层、系统层、网络层。按照安全漏洞在软件生命周期的时间关系可分为：生成阶段、发现阶段、利用阶段和修复阶段。

四、CNNVD漏洞管理规范

经过多年的工作积累，中国国家信息安全漏洞库（CNNVD）形成了一套自己的漏洞管理规范，包括：《CNNVD漏洞编码规范》、《CNNVD漏洞命名规范》、《CNNVD漏洞内容描述规范》、《CNNVD漏洞分类描述规范》、《CNNVD漏洞分级规范》和《CNNVD漏洞影响实体描述规范》。

在漏洞标识方面，CNNVD使用自己的编号，并建立了与CVE编号的关联；在漏洞数据方面，除收录CVE漏洞数据外，CNNVD还收录了中国主流信息技术产品的重要安全漏洞。CNNVD还向信息安全产品厂商提供了兼容性服务，通过CNNVD兼容性服务，进一步提高了CNNVD的影响力，推动了CNNVD漏洞编号的使用范围和认知度。（本文刊登于《中国信息安全》2016年第7期）

中国信息安全

网络安全学习，我们一起交流