《信息安全技术 安全漏洞等级划分指南》编制说明.pdfVIP

《信息安全技术 安全漏洞等级划分指南》编制说明 中国信息安全测评中心 中国科学院研究生院国家计算机网络入侵防范中心 2013.01.06 1 《信息安全技术 安全漏洞等级划分指南》 （征求意见稿）编制说明 一、工作简况 1.1 任务来源 2008年，经国标委批准，全国信息安全标准化技术委员会 （SAC/TC260）主 任办公会讨论通过，研究制定 《信息安全技术 安全漏洞等级划分指南》国家标 准,国标计划号T-469。该项目由全国信息安全标准化技术委员会提 出，全国信息安全标准化技术委员会归口，由中国信息安全测评中心和中国科学 院研究生院国家计算机网络入侵防范中心联合编制。 《信息安全技术 安全漏洞等级划分指南》是安标委2006 年 《漏洞等级划 分标准基础研究》项目的延续。 1.2.1 预研立项 2006年 《国家信息安全战略研究与标准制定工作专项》课题 《安全漏洞危害 等级划分标准》基础研究，研究国际和国内漏洞危害等级的评定现状，通过对漏 洞利用造成的后果、对系统安全属性的危害、漏洞可利用的难易程度等方面的分 析，总结影响漏洞安全危害等级的特征属性选取、特征属性的定性和定量分析、 安全危害等级的综合评价方法等内容。 1.2.2 预研结题 2008年完成 《漏洞等级划分标准基础研究》课题。本课题，通过对国内外漏 洞等级划分方法进行深入分析和研究，不仅能够提高我国软件与系统的安全性， 同时对保障计算机软件与系统安全，优化我国网络安全环境，构筑我国网络安全 防御体系具有重要意义。 1.2.3 标准立项 2008 12 年 月，《信息安全技术 安全漏洞等级划分指南》被全国信息安全标 准化技术委员会正式立项，定性为国家推荐性标准。 2 中国信息安全测评中心和中国科学院研究生院国家计算机网络入侵防范中 心成立标准编制组，并于2008年12月召开第一次课题组会议，明确两家单位分 工并制定标准编制计划。 1.2 主要工作过程 《安全漏洞等级划分指南》制定过程包括前期的预研、标准立项、草案拟定、 征求意见、专家评审、修改草案、形成征求意见稿、形成送审稿、形成报批稿等 过程。其中 “评审-修改”过程为反复执行过程，目前经历过8 次评审、征求意 见和修改的过程，如图1所示。 图1 工作过程流程图 8次评审或征求意见共征集到90 多条意见和建议，我们逐条针对每条意见、 建议做了应答和处理，广纳建议，更好的完善了我们的标准编制工作。具体意见 处理情况参见历次专家意见反馈表。 1.3 主要起草人及其所做工作 编制单位共两家，分别为：中国信息安全测评中心和中国科学院研究生院 国家计算机网络入侵防范中心。中国信息安全测评中心主要起草人有张翀斌、张 宝峰等人，中国科学院研究生院国家计算机网络入侵防范中心主要起草人有张玉 清和刘奇旭等人。 其中，张翀斌与张玉清负责编制思路讨论、制定，调研国内国际情况以及 项目总体进度的把握；张宝峰负责标准中漏洞等级划分元素选取与对比分析；刘 奇旭负责漏洞等级划分的方法，负责使用层次分析法分析、论证等级划分结果等。 3 其他参与人员负责从国家信息安全漏洞库随机选取上百个漏洞，进行实验验证。 根据实验验证结果调整漏洞等级划分方法。 二、编制原则及标准主要内容 2.1编制原则 之所以有众多的安全漏洞评级方法，是因为不同的研究者在不同的层次使 用了不同的观察角度。但所有研究者的共同目标是研究一个科学、合理、易于数 据组织、便于相互交流并能直接应用于脆弱性评估工具的安全漏洞评级方法和标 准。一个安全漏洞评级方法应该满足以下原则： a) 一致性：所用术语与已有的安全术语保持一致； b) 开放性：必须是免费可利用可采纳的，对任何人都开放使用。一个封闭 的标准将不会被广泛地实施，并且将不会幸存； c) 广泛性：必须能够评价任何信息系统类型中的所有