從國標談網(wǎng)絡(luò)安全漏洞標識與描述

2019-08-07 06:23:16甘清云

網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 2019年8期

◆甘清云

（中國直升機設(shè)計研究所天津 300300）

網(wǎng)絡(luò)空間已經(jīng)逐步發(fā)展成為繼陸、海、空、天之后的第五大戰(zhàn)略空間。新形勢下我國網(wǎng)絡(luò)空間安全發(fā)展態(tài)勢和應(yīng)用環(huán)境發(fā)生了明顯變化，作為網(wǎng)絡(luò)空間安全領(lǐng)域中重要內(nèi)容的網(wǎng)絡(luò)安全漏洞，其定義范圍得到了很大的擴展，安全漏洞所需描述的信息日益增多，GB/T 28458-2012《信息安全技術(shù) 安全漏洞標識與描述規(guī)范》已無法滿足實際需求，有必要對該標準在漏洞定義、標識、命名、相關(guān)管理和技術(shù)方法等描述內(nèi)容進行修訂。

1 國內(nèi)外網(wǎng)絡(luò)安全漏洞描述標準簡介

CVE（Common Vulnerabilities and Exposures）是由美國國土安全部下屬的美國國家應(yīng)急響應(yīng)組發(fā)起和主辦，由MITRE公司管理。CVE相當于一個字典表，為廣泛認同的安全漏洞給出一個唯一的標識，可以幫助用戶在各自獨立的各種漏洞數(shù)據(jù)庫中共享數(shù)據(jù)。CVE成為安全信息共享的“關(guān)鍵字”。如果在一個漏洞報告中有一個漏洞CVE編號，就可以快速地在任何其他CVE兼容的數(shù)據(jù)庫中找到相應(yīng)修補的信息，解決安全問題。

國內(nèi)主要的漏洞庫平臺有國家信息安全漏洞庫（CNNVD）、國家信息安全漏洞共享平臺（CNVD）等政府部門建立的漏洞庫以及安全公司（比如綠盟、360等）建立的漏洞庫。CNNVD由中國信息安全評測中心維護，CNVD由國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心維護。CNNVD和 CNVD對于漏洞的描述也有差異。各漏洞平臺描述差異明細見表1。

表1 漏洞平臺描述差異明細

2 GB/T 28458-2012《信息安全技術(shù) 安全漏洞標識與描述規(guī)范》

在GB/28458-2012中，安全漏洞描述項有7項，包括標識號、名稱、發(fā)布時間、發(fā)布單位、類別、等級、影響系統(tǒng)等必需的描述項，并可根據(jù)需要擴充相關(guān)編號、利用方法、解決方案建議、其他描述等描述項。

3 《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞標識與描述規(guī)范》

2018年12月26日，《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞標識與描述規(guī)范》（征求意見稿）面向社會廣泛征求意見。《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞標識與描述規(guī)范》（征求意見稿）與GB/T 28458-2012《信息安全技術(shù) 安全漏洞標識與描述規(guī)范》相比，重點在以下方面進行了修訂。

（1）增加標識字段

將標識與描述作為兩個方面表述，增加了標識字段描述內(nèi)容。標識項包括標識號、相關(guān)編號兩項，描述項包括名稱、發(fā)布時間、發(fā)布組織、驗證組織、發(fā)現(xiàn)者、類別、等級、受影響產(chǎn)品或系統(tǒng)、存在性說明等九項描述必須項，并可根據(jù)需要擴展檢測方法、解決方案建議、其他描述等描述項。

（2）描述項修訂

增加了驗證組織、發(fā)現(xiàn)者、存在性說明和檢測方法等描述項內(nèi)容。刪除了利用方法描述項內(nèi)容。

修改了網(wǎng)絡(luò)安全漏洞的標識號、相關(guān)編號、名稱、受影響產(chǎn)品或系統(tǒng)、解決方案建議等內(nèi)容。以名稱為例，GB/T 28458-2012中把名稱定義為安全漏洞標題，概括性描述安全漏洞信息的短語，例如Internet Explorer 8.0緩沖區(qū)溢出漏洞。此次修訂為：采用分段式格式描述，包括固定字段和自定義字段。格式如下：受影響產(chǎn)品或系統(tǒng)名稱.等級.類別.自定義字段1.自定義字2.…自定義字段n，前三段為固定字段，使用中英文或數(shù)字標識。其中，“受影響產(chǎn)品或系統(tǒng)名稱”為漏洞所存在的產(chǎn)品或系統(tǒng)的名稱，可包含版本號信息，例如Internet Explorer 8.0、Chrome等。“等級”為網(wǎng)絡(luò)安全漏洞描述項中的漏洞等級。“類別”為網(wǎng)絡(luò)安全漏洞描述項中的漏洞類別。第四段起為自定義字段，屬可選項，可增加多個。自定義字段主要用于補充描述固定字段以外的其他信息，例如漏洞的別稱等。示例：Linux Kernel.高危.競爭條件漏洞.臟牛Ⅱ漏洞。修訂前后最直觀的變化就是至少增加了漏洞等級描述。

相關(guān)編號原來屬于描述項中的擴充項，修訂后屬于標識項中的必須項。

4 結(jié)束語

2012年發(fā)布實施的 GB/T 28458-2012《信息安全技術(shù) 安全漏洞標識與描述規(guī)范》實施6年多時間以來，對我國漏洞庫建設(shè)，以及漏洞相關(guān)產(chǎn)品的設(shè)計、生產(chǎn)和維護起到了積極作用。此次對GB/T 28458-2012的修訂（《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞分類分級指南》和《信息安全技術(shù) 網(wǎng)絡(luò)安全漏洞管理規(guī)范》也在同步修訂過程中）在支撐國家對網(wǎng)絡(luò)安全漏洞的發(fā)布管理，推動網(wǎng)絡(luò)安全漏洞信息共享和統(tǒng)一引用，提升國家漏洞庫、網(wǎng)絡(luò)安全漏洞相關(guān)產(chǎn)品的規(guī)范性和有效性等方面將發(fā)揮其重要作用。