标准草案稿意见汇总处理表标准项目名称《信息安全技术安全漏洞分类.doc

标准草案稿意见汇总处理表 标准项目名称：《信息安全技术 安全漏洞分类规范》 承办人：魏方方 共 4 页 标准项目负责起草单位：国家信息技术安全研究中心 电 话 2014年12月22日填写 序号 标准号 意见内容 提出单位 处理意见 备注 第1稿， 1 全文 本规范的编写角度：1、只是说明漏洞分类的某种方法，这种情况只需要对漏洞的分类进行描述；2、为有效利用漏洞分类结果来清楚地界定漏洞的性质，所做的漏洞分类规则，这种情况不仅对漏洞分类进行描述，对分类的结果也要做描述或说明。 王立福 部分采纳。本规范只是对漏洞提供分类依据，对于漏洞分类的结果，本规范不做具体描述。 内容已改写 2 5.2 安全漏洞分类原则 分类的原则只需保证三条：科学性、唯一性（互斥性、排他性）、可扩展性 王立福 采纳，已做相关修改 3 全文 卿斯汉 部分采纳。单一维度的分类方式难以满足分类的需求。本规范是根据“基于XXX的”四维度（每个维度均为一种通用的、单属性的分类方法）分类方式，从多角度、多层次、多属性等方面综合考虑形成的多维度分类方法。 4 全文 赵战生 本规范只是确定安全漏洞的分类，安全漏洞分级已有相关标准。 5 3.2 威胁、3.3 脆弱性 对于威胁和脆弱性的定义不明确。漏洞一定是脆弱性的体现，脆弱性不一定成为漏洞，被发现被利用的脆弱性才是漏洞。 王立福 采纳，已做相关修改。 6 漏洞分类模型示意图 四个维度相当于四个查询条件，安全漏洞分类外层圈应该是无指向的。空间分布维度是“或”的关系，结果能确定为一个点；危害影响等其他维度都是“与”的关系，结果本身就是又一个维度的概念，因此最终漏洞分类的结果是否能具有唯一性。 肖京华 采纳，已做相关修改。 7 全文 景乾元 本规范是从漏洞自身属性出发，已考虑到相关问题的描述。 8 全文 杨建军 采纳，已做相关修改。 9 全文 杨建军 采纳，已做相关修改。 10 全文 杨建军 采纳，已做相关修改。 11 3.14 主机操作系统 主机的定义再斟酌 杨建军 已做相关修改。 2、《信息安全技术 安全漏洞分类规范》标准草案第1稿， 1 5.1 分类原则中，唯一性和互斥性矛盾，建议可参考这几个原则：包容性原则、全覆盖原则、可扩展原则，要有继承性 崔书昆 采纳，可将此三原则写在标准的编制说明中 2 5.2.1 漏洞按照时间分类，建议只保留“生成阶段”，按照软件开发生命周期的方法，将分类过程细化 崔书昆 采纳，细化此部分。 3 5.2.3 将漏洞的成因分类放在第一位，空间分类放在第二位，时间分类放在第三位 曲成义 采纳，漏洞的成因是在不断发展的 4 5.1 分类原则，可以不在标准中提，建议删除 肖京华 采纳 5 5.2 调研其他三家国家漏洞库的分类方法，并征求其他漏洞库厂家对此漏洞分类规范的意见 肖京华 采纳 6 5.2.3.4 建议将逻辑处理、意外处理合并，简洁 采纳 3、2014年年度标准投票表决会议意见 1 5.2 5.2 存在一个悬置段，建议修改 江南天安 采纳。已删除悬置段。 2 5.2 “5.2分类”中的说明第一的与后续方法不太，本标准的漏洞分类与后半段保持一致”。 信息产业信息安全测评中心 采纳。已修改。 3 5.2.1.2 “5.2.1.2数据验证错误”中提到HTML建议改为DOM注入更为一些，HTML作为DOM模型的一种实例出现。 采纳。已修改为XSS注入。 4 5.2.1.4 “5.2.1.4处理逻辑”中“由于程序对处理过程和实现功能存在问题所导致的安全漏洞”不通，调整。 采纳。已修改。 5 5.2.1.8 “5.2.1.8配置错误”“由于对计算机信息系统配置不当所导致的安全漏洞”不通，调整 信息产业信息安全测评中心 采纳。已修改。 6 5.2.1.9 “5.2.1.9 设计缺陷”中“而使产品使用中所导致的安全漏洞”不通，调整 信息产业信息安全测评中心 采纳。已修改。 7 5.2.2.2 “5.2.2.2系统层”中，”两者是否有重叠请考虑。 采纳。已修改。 8 5.2.3.4 5.2.3.4中的修”和“修补”建议统一。 采纳。已修改。 说明：① 发送《标准草案稿》的单位数：全国信安标委网站（征求意见）、工作组专家（评审）、全体工作组成员（投票）。 ② 发送《标准草案稿》后，回函的单位数：全体工作组成员。 ③ 发送《标准草案稿》后，回函并有建议或意见的单位数： 个。 ④ 没有回函的单位数： 个。