國家標準信息安全管理實用規(guī)則_第1頁
國家標準信息安全管理實用規(guī)則_第2頁
國家標準信息安全管理實用規(guī)則_第3頁
國家標準信息安全管理實用規(guī)則_第4頁
全文預覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、國家標準信息安全技術(shù)安全漏洞分類規(guī)范(征求意見稿)編制說明一、工作簡況任務(wù)來源信息安全技術(shù)安全漏洞分類規(guī)范是國家標準化管理委員會2010年下達的信息安全國家標準制定項目,國標計劃號為:20100385-T-469。由國家信息技術(shù)安全研究中心主要負責進行規(guī)范的起草,中國信息安全測評中心、中國科學院研究生院國家計算機網(wǎng)絡(luò)入侵防范中心、國家計算機網(wǎng)絡(luò)應急技術(shù)處理協(xié)調(diào)中心等單位參與起草。主要工作過程1、2010年6月,組織參與本規(guī)范編寫的相關(guān)單位召開項目啟動會,成立規(guī)范編制小組,確立各自分工,進行初步設(shè)計,并聽取各協(xié)作單位的相關(guān)意見。2、2010年7月,根據(jù)任務(wù)書的要求,規(guī)范編制小組開展考察調(diào)研和資料

2、搜集工作,按照需求分析整理出安全漏洞分類規(guī)范的框架結(jié)構(gòu)。3、2011年4月,按照制定的框架結(jié)構(gòu),確定分類的原則和方法,形成安全漏洞分類規(guī)范草稿V1.0。4、2011年7月,課題組在專家指導下,積極采納國外相關(guān)漏洞分類的原則,形成安全漏洞分類規(guī)范草稿V1.1。5、2011年8月26日,規(guī)范編制小組在積極采納專家意見的基礎(chǔ)上,對規(guī)范內(nèi)容進行修改,形成安全漏洞分類規(guī)范草稿V1.2。6、2013年8月28日,安標委秘書處組織了該標準的專家評審,編制小組聽取了專家意見,對標準文本的內(nèi)容進行修訂、簡化,形成安全漏洞分類規(guī)范草稿V1.3。7、2014年11月,安標委WG5工作組對安全漏洞分類規(guī)范標準草案稿進

3、行了投票表決,通過了本標準。投票表決中相關(guān)單位和專家提出了一些修改建議和意見,標準編制組對意見進行了逐條分析和理解,對標準文本進行了完善,形成了安全漏洞分類規(guī)范征求意見稿及相關(guān)文件。二、編制原則和主要內(nèi)容2.1編制原則本標準的研究與編制工作遵循以下原則:(1)通用性原則立足于當前信息化技術(shù)水平,對國內(nèi)外知名安全漏洞庫的分類方法進行總結(jié)、歸納、簡化,同時參考吸納國外相關(guān)領(lǐng)域的先進成果并融入標準。(2)可操作性和實用性原則標準規(guī)范是對實際工作成果的總結(jié)與提升,最終還需要用于實踐中,并經(jīng)得起實踐的檢驗,做到可操作、可用與實用。(3)簡化原則根據(jù)規(guī)范化對象的結(jié)構(gòu)、形式、規(guī)則等篩選提煉,經(jīng)過剔除、替換,

4、保持整體結(jié)構(gòu)合理且維持原意和功能不變。本標準的編制的內(nèi)容制定遵循以下原則:(A)唯一性原則:安全漏洞僅在某一類別中,其所屬類別不依賴人為因素。(B)互斥性原則:類別沒有重疊,安全漏洞必屬于某一分類。(C)擴展性原則:允許根據(jù)實際情況擴展安全漏洞的類別。主要內(nèi)容本標準主要內(nèi)容如下:次中卜3.1計算機信息系統(tǒng)ComputerIiforcaticrSysTen.3.2安全掃洞Vi-ilrerability3.3安全掃洞分類VulnerabilitiesClassification三、主要試驗(或驗證)的分析、綜述報告,技術(shù)經(jīng)濟論證,預期的經(jīng)濟效果信息安全技術(shù)安全漏洞分類規(guī)范旨在對安全漏洞的特征屬性進

5、行研究,通過統(tǒng)計國內(nèi)外主要漏洞庫的分類依據(jù)信息,并結(jié)合國內(nèi)信息安全行業(yè)應用情況,提出科學的、合理的安全漏洞分類意見,用以支持計算機信息系統(tǒng)風險管理、安全漏洞管理等方面的工作,為國家計算機信息安全行業(yè)發(fā)展提供重要的技術(shù)參考與標準規(guī)范。四、采用國際標準和國外先進標準的程度,以及與國際、國外同類標準水平的對比情況,或與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況本標準在編寫時參考了NISTSP800-82和SP800-53等相關(guān)標準。五、與有關(guān)的現(xiàn)行法律、法規(guī)和強制性國家標準的關(guān)系本規(guī)范的編制,要配合GB/T28458-2012信息安全技術(shù)安全漏洞標識與描述規(guī)范的使用。GB/T28458-2012中對安全

6、漏洞標識與描述規(guī)范的要求,包括:標識號、名稱、發(fā)布時間、發(fā)布單位、類別、等級、影響系統(tǒng)等必須的描述項(實線框描述項),并可根據(jù)需要擴充(但不限于)相關(guān)編號、利用方法、解決方案建議、其他描述等描述項(虛線框描述項)。安全蒲洞描述和關(guān)編II.SrII-Hfe描述-!解決力案建諫-II丿利川力法結(jié)合GB/T28458-2012使用:“名稱”描述項是安全漏洞標題,概括性描述安全漏洞信息的短語,例如InternetExplorer8.0緩沖區(qū)溢出漏洞,已經(jīng)涵蓋了漏洞宿主(包括:廠商、產(chǎn)品、版本)的信息,因此在分類規(guī)范中不適合引入該角度。用于安全漏洞分類的漏洞等級與GB/T28458-2012使用的“等級”描述項重復,因此在分類規(guī)范中不適合引入該角度。安全漏洞形成原因和安全漏洞被利用后的威脅影響說明與GB/T28458-2012使用的描述項無重復重合,因此可適合于引入該角度。六、重大分歧意見的處理經(jīng)過和依據(jù)詳見標準意見匯總處理表。七、國家標準作為強制性國家標準或推薦性國家標準的建議建議本標準作為推薦性國家標準發(fā)布實施。八、貫徹國家標準的要求和措施建

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論