GB/T 30279-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級指南

ICS35040

L80.

中華人民共和國國家標準

GB/T30279—2020

代替

GB/T30279—2013,GB/T33561—2017

信息安全技術(shù)

網(wǎng)絡(luò)安全漏洞分類分級指南

Informationsecuritytechnology—

Guidelinesforcategorizationandclassificationofcybersecurityvulnerability

2020-11-19發(fā)布2021-06-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T30279—2020

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………1

網(wǎng)絡(luò)安全漏洞分類

5………………………1

概述

5.1…………………1

代碼問題

5.2……………2

配置錯誤

5.3……………4

環(huán)境問題

5.4……………4

其他

5.5…………………5

網(wǎng)絡(luò)安全漏洞分級

6………………………5

概述

6.1…………………5

網(wǎng)絡(luò)安全漏洞分級指標

6.2……………5

網(wǎng)絡(luò)安全漏洞分級方法

6.3……………9

附錄規(guī)范性附錄被利用性分級表

A()…………………11

附錄規(guī)范性附錄影響程度分級表

B()…………………13

附錄規(guī)范性附錄環(huán)境因素分級表

C()…………………14

附錄規(guī)范性附錄漏洞技術(shù)分級表

D()…………………15

附錄規(guī)范性附錄漏洞綜合分級表

E()…………………16

附錄資料性附錄漏洞分級示例

F()……………………17

參考文獻

……………………19

GB/T30279—2020

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準代替信息安全技術(shù)安全漏洞分類信息安全技

GB/T33561—2017《》、GB/T30279—2013《

術(shù)安全漏洞等級劃分指南與相比主要技術(shù)變化如下

》,GB/T33561—2017、GB/T30279—2013,:

將和的范圍進行合并修改見第章

———GB/T33561—2017GB/T30279—2013(1);

將和的規(guī)范性引用文件進行合并補充見第章

———GB/T33561—2017GB/T30279—2013(2);

將和的術(shù)語和定義進行合并修改見第章

———GB/T33561—2017GB/T30279—2013(3);

刪除了中的縮略語

———GB/T33561—2017;

將中的按成因分類對應(yīng)本標準的網(wǎng)絡(luò)安全漏洞分類將

———GB/T33561—2017“”“”,GB/T33561—

采用的線性分類框架調(diào)整為樹形見圖

2017(1);

刪除了中的按空間分類

———GB/T33561—2017“”;

刪除了中的按時間分類

———GB/T33561—2017“”;

將中的等級劃分要素對應(yīng)本標準的網(wǎng)絡(luò)安全漏洞分級指標擴展了

———GB/T30279—2013“”“”,

漏洞分級指標見圖

(2);

將中的等級劃分對應(yīng)本標準的網(wǎng)絡(luò)安全漏洞分級方法將分級方法

———GB/T30279—2013“”“”,

修改為技術(shù)分級和綜合分級見附錄中表和附錄中表

(DD.1EE.1)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國信息安全測評中心北京中測安華科技有限公司中國電子技術(shù)標準化研究

:、、

院國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心國家信息技術(shù)安全研究中心北京郵電大學(xué)北京華云安信

、、、、

息技術(shù)有限公司北京華順信安科技有限公司國網(wǎng)思極網(wǎng)安科技北京有限公司上海三零衛(wèi)士信息

、、()、

安全有限公司國家計算機網(wǎng)絡(luò)入侵防范中心中國科學(xué)院信息工程研究所國家計算機網(wǎng)絡(luò)入侵防范

、、、

中心浙江螞蟻小微金融服務(wù)集團有限公司網(wǎng)神信息技術(shù)北京股份有限公司北京長亭科技有限公

、、()、

司杭州安恒信息技術(shù)股份有限公司深信服科技股份有限公司騰訊科技北京有限公司四川省信息

、、、()、

安全測評中心上海犇眾信息技術(shù)有限公司啟明星辰信息技術(shù)集團股份有限公司恒安嘉新北京科

、、、()

技股份公司

。

本標準主要起草人郝永樂鄭亮賈依真時志偉張寶峰李斌侯元偉曲瀧玉毛軍捷饒華一

:、、、、、、、、、、

許源孟德虎張?zhí)m蘭任澤君上官曉麗舒敏王文磊王宏連櫻趙旭東崔寶江付俊松沈傳寶

、、、、、、、、、、、、、

趙武許勇剛林亮成李智林張玉清劉奇旭史慧洋王宇簡云定柳本金白健楊坤常明政劉志樂

、、、、、、、、、、、、、、

吳卓群葉潤國劉桂澤王丹琛韓爭光丁斌胡兵

、、、、、、。

本標準所代替標準的歷次版本發(fā)布情況為

:

———GB/T30279—2013;

———GB/T33561—2017。

Ⅰ

GB/T30279—2020

信息安全技術(shù)

網(wǎng)絡(luò)安全漏洞分類分級指南

1范圍

本標準提供了網(wǎng)絡(luò)安全漏洞以下簡稱漏洞的分類方式分級指標給出了分級方法的建議

(“”)、,。

本標準適用于網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者網(wǎng)絡(luò)運營者漏洞收錄組織漏洞應(yīng)急組織在漏洞管理產(chǎn)

、、、、

品生產(chǎn)技術(shù)研發(fā)網(wǎng)絡(luò)運營等相關(guān)活動中進行的漏洞分類和危害等級評估等

、、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)信息安全風(fēng)險評估規(guī)范

GB/T20984

信息安全技術(shù)術(shù)語

GB/T25069

信息安全技術(shù)安全漏洞標識與描述規(guī)范

GB/T28458

信息安全技術(shù)信息安全漏洞管理規(guī)范

GB/T30276

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T25069、GB/T20984、GB/T28458、GB/T30276。

31

.