（一）现状

1. 网络信息系统产品漏洞是普遍性的安全问题
2. 商业操作系统、商业数据库及开源软件都不同程度存在安全漏洞
3. 人工智能（AI）、区块链、5G等新领域漏洞问题成为研究重点和热点
4. 网络安全漏洞分析与管理技术正向智能化方向发展（机器学习+大数据技术）

（二）概念

（1）通用漏洞披露（Common Vulnerabilities and Exposures，CVE）：美国MITRE公司建立的统一规范漏洞命名。

（2）通用缺陷列表（ CommonWeaknessEnumeration，CWE）：MITRE建立的用于规范化地描述软件架构、设计及编码存在的安全漏洞。

（3）通用漏洞评分系统（Common Vulnerability Scoring System，CVSS）：由事件响应与安全组织论坛（FIRST）制定和发布的安全漏洞危害性评估系统，采用10分制。分数越高表明漏洞危害性越大，最新版本是v3.0。

（三）国内外现状

很多国家将安全漏洞列为国家安全战略资源

（1）美国：建立了国家漏洞库（ National Vulnerability Database，NVD）；美军方建立了信息战“红色小组”用于模拟网络敌手发现DoD系统安全漏洞；

（2）日本：成立“信息安全缺陷分析中心”，职责是分析操作系统和软件包安全缺陷；

（3）企业：微软（ Microsoft）、赛门铁克（Symantec）、思科（Cisco）、甲骨文（Oracle）等国际厂商都有自己相关网络安全漏洞分类级标准

（4）我国：相关部门建立了国家信息安全漏洞库CNNVD、国家信息安全漏洞共享平台CNVD，制定和颁发了系列漏洞标准规范

1. 《信息安全技术 安全漏洞分类（GB/T 33561-2017）》
2. 《信息安全技术 安全漏洞等级划分指南（GB/T 30279-2013）》
3. 《信息安全技术 安全漏洞标识与描述规范（GB/T 28458-2012）》
4. 《信息安全技术 信息安全漏洞管理规范（GB/T 30276-2013）》