GB/T 30279-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級(jí)指南

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T30279—2020

代替

GB/T30279—2013,GB/T33561—2017

信息安全技術(shù)

網(wǎng)絡(luò)安全漏洞分類分級(jí)指南

Informationsecuritytechnology—

Guidelinesforcategorizationandclassificationofcybersecurityvulnerability

2020-11-19發(fā)布2021-06-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T30279—2020

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………1

網(wǎng)絡(luò)安全漏洞分類

5………………………1

概述

5.1…………………1

代碼問(wèn)題

5.2……………2

配置錯(cuò)誤

5.3……………4

環(huán)境問(wèn)題

5.4……………4

其他

5.5…………………5

網(wǎng)絡(luò)安全漏洞分級(jí)

6………………………5

概述

6.1…………………5

網(wǎng)絡(luò)安全漏洞分級(jí)指標(biāo)

6.2……………5

網(wǎng)絡(luò)安全漏洞分級(jí)方法

6.3……………9

附錄規(guī)范性附錄被利用性分級(jí)表

A()…………………11

附錄規(guī)范性附錄影響程度分級(jí)表

B()…………………13

附錄規(guī)范性附錄環(huán)境因素分級(jí)表

C()…………………14

附錄規(guī)范性附錄漏洞技術(shù)分級(jí)表

D()…………………15

附錄規(guī)范性附錄漏洞綜合分級(jí)表

E()…………………16

附錄資料性附錄漏洞分級(jí)示例

F()……………………17

參考文獻(xiàn)

……………………19

GB/T30279—2020

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息安全技術(shù)安全漏洞分類信息安全技

GB/T33561—2017《》、GB/T30279—2013《

術(shù)安全漏洞等級(jí)劃分指南與相比主要技術(shù)變化如下

》,GB/T33561—2017、GB/T30279—2013,:

將和的范圍進(jìn)行合并修改見第章

———GB/T33561—2017GB/T30279—2013(1);

將和的規(guī)范性引用文件進(jìn)行合并補(bǔ)充見第章

———GB/T33561—2017GB/T30279—2013(2);

將和的術(shù)語(yǔ)和定義進(jìn)行合并修改見第章

———GB/T33561—2017GB/T30279—2013(3);

刪除了中的縮略語(yǔ)

———GB/T33561—2017;

將中的按成因分類對(duì)應(yīng)本標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全漏洞分類將

———GB/T33561—2017“”“”,GB/T33561—

采用的線性分類框架調(diào)整為樹形見圖

2017(1);

刪除了中的按空間分類

———GB/T33561—2017“”;

刪除了中的按時(shí)間分類

———GB/T33561—2017“”;

將中的等級(jí)劃分要素對(duì)應(yīng)本標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全漏洞分級(jí)指標(biāo)擴(kuò)展了

———GB/T30279—2013“”“”,

漏洞分級(jí)指標(biāo)見圖

(2);

將中的等級(jí)劃分對(duì)應(yīng)本標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全漏洞分級(jí)方法將分級(jí)方法

———GB/T30279—2013“”“”,

修改為技術(shù)分級(jí)和綜合分級(jí)見附錄中表和附錄中表

(DD.1EE.1)。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)信息安全測(cè)評(píng)中心北京中測(cè)安華科技有限公司中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究

:、、

院國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心國(guó)家信息技術(shù)安全研究中心北京郵電大學(xué)北京華云安信

、、、、

息技術(shù)有限公司北京華順信安科技有限公司國(guó)網(wǎng)思極網(wǎng)安科技北京有限公司上海三零衛(wèi)士信息

、、()、

安全有限公司國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心中國(guó)科學(xué)院信息工程研究所國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范

、、、

中心浙江螞蟻小微金融服務(wù)集團(tuán)有限公司網(wǎng)神信息技術(shù)北京股份有限公司北京長(zhǎng)亭科技有限公

、、()、

司杭州安恒信息技術(shù)股份有限公司深信服科技股份有限公司騰訊科技北京有限公司四川省信息

、、、()、

安全測(cè)評(píng)中心上海犇眾信息技術(shù)有限公司啟明星辰信息技術(shù)集團(tuán)股份有限公司恒安嘉新北京科

、、、()

技股份公司

。

本標(biāo)準(zhǔn)主要起草人郝永樂(lè)鄭亮賈依真時(shí)志偉張寶峰李斌侯元偉曲瀧玉毛軍捷饒華一

:、、、、、、、、、、

許源孟德虎張?zhí)m蘭任澤君上官曉麗舒敏王文磊王宏連櫻趙旭東崔寶江付俊松沈傳寶

、、、、、、、、、、、、、

趙武許勇剛林亮成李智林張玉清劉奇旭史慧洋王宇簡(jiǎn)云定柳本金白健楊坤常明政劉志樂(lè)

、、、、、、、、、、、、、、

吳卓群葉潤(rùn)國(guó)劉桂澤王丹琛韓爭(zhēng)光丁斌胡兵

、、、、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T30279—2013;

———GB/T33561—2017。

Ⅰ

GB/T30279—2020

信息安全技術(shù)

網(wǎng)絡(luò)安全漏洞分類分級(jí)指南

1范圍

本標(biāo)準(zhǔn)提供了網(wǎng)絡(luò)安全漏洞以下簡(jiǎn)稱漏洞的分類方式分級(jí)指標(biāo)給出了分級(jí)方法的建議

(“”)、,。

本標(biāo)準(zhǔn)適用于網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者網(wǎng)絡(luò)運(yùn)營(yíng)者漏洞收錄組織漏洞應(yīng)急組織在漏洞管理產(chǎn)

、、、、

品生產(chǎn)技術(shù)研發(fā)網(wǎng)絡(luò)運(yùn)營(yíng)等相關(guān)活動(dòng)中進(jìn)行的漏洞分類和危害等級(jí)評(píng)估等

、、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

GB/T20984

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069

信息安全技術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范

GB/T28458

信息安全技術(shù)信息安全漏洞管理規(guī)范

GB/T30276

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T25069、GB/T20984、GB/T28458、GB/T30276。

31

.