标准解读

《GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南》相较于《GB/T 30279-2013》和《GB/T 33561-2017》,在内容上进行了更新与补充,主要体现在以下几个方面:

首先,在适用范围上,《GB/T 30279-2020》进一步明确了其适用于网络安全漏洞的分类与分级工作,并对各类组织机构如何应用该标准提供了指导。相比之前的版本,新标准更加注重实践操作中的灵活性与适应性。

其次,关于网络安全漏洞的定义,《GB/T 30279-2020》给出了更为精确且全面的描述,不仅包括了软件缺陷、配置错误等传统意义上的漏洞类型,还涵盖了由于人为因素或环境变化引起的安全风险点。这使得新标准能够更好地反映当前复杂多变的信息安全形势。

再者,在分类体系方面,《GB/T 30279-2020》基于影响程度、利用难度等多个维度构建了一个更为细致合理的漏洞分类框架。例如,将漏洞按照可能造成的危害分为高危、中危、低危三个等级;同时根据攻击者实施攻击所需的技术水平及资源条件等因素,对每个级别内的漏洞再次细分,从而帮助用户更准确地评估自身面临的风险状况。

此外,《GB/T 30279-2020》还增加了对于新兴技术领域(如物联网、云计算等)中出现的新类型漏洞的关注,并提出了相应的处理建议。这部分内容是之前版本所未涉及或者不够深入的部分。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2020-11-19 颁布
  • 2021-06-01 实施
©正版授权
GB/T 30279-2020信息安全技术网络安全漏洞分类分级指南_第1页
GB/T 30279-2020信息安全技术网络安全漏洞分类分级指南_第2页
GB/T 30279-2020信息安全技术网络安全漏洞分类分级指南_第3页
GB/T 30279-2020信息安全技术网络安全漏洞分类分级指南_第4页
免费预览已结束,剩余20页可下载查看

下载本文档

GB/T 30279-2020信息安全技术网络安全漏洞分类分级指南-免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T30279—2020

代替

GB/T30279—2013,GB/T33561—2017

信息安全技术

网络安全漏洞分类分级指南

Informationsecuritytechnology—

Guidelinesforcategorizationandclassificationofcybersecurityvulnerability

2020-11-19发布2021-06-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T30279—2020

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………1

网络安全漏洞分类

5………………………1

概述

5.1…………………1

代码问题

5.2……………2

配置错误

5.3……………4

环境问题

5.4……………4

其他

5.5…………………5

网络安全漏洞分级

6………………………5

概述

6.1…………………5

网络安全漏洞分级指标

6.2……………5

网络安全漏洞分级方法

6.3……………9

附录规范性附录被利用性分级表

A()…………………11

附录规范性附录影响程度分级表

B()…………………13

附录规范性附录环境因素分级表

C()…………………14

附录规范性附录漏洞技术分级表

D()…………………15

附录规范性附录漏洞综合分级表

E()…………………16

附录资料性附录漏洞分级示例

F()……………………17

参考文献

……………………19

GB/T30279—2020

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术安全漏洞分类信息安全技

GB/T33561—2017《》、GB/T30279—2013《

术安全漏洞等级划分指南与相比主要技术变化如下

》,GB/T33561—2017、GB/T30279—2013,:

将和的范围进行合并修改见第章

———GB/T33561—2017GB/T30279—2013(1);

将和的规范性引用文件进行合并补充见第章

———GB/T33561—2017GB/T30279—2013(2);

将和的术语和定义进行合并修改见第章

———GB/T33561—2017GB/T30279—2013(3);

删除了中的缩略语

———GB/T33561—2017;

将中的按成因分类对应本标准的网络安全漏洞分类将

———GB/T33561—2017“”“”,GB/T33561—

采用的线性分类框架调整为树形见图

2017(1);

删除了中的按空间分类

———GB/T33561—2017“”;

删除了中的按时间分类

———GB/T33561—2017“”;

将中的等级划分要素对应本标准的网络安全漏洞分级指标扩展了

———GB/T30279—2013“”“”,

漏洞分级指标见图

(2);

将中的等级划分对应本标准的网络安全漏洞分级方法将分级方法

———GB/T30279—2013“”“”,

修改为技术分级和综合分级见附录中表和附录中表

(DD.1EE.1)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国信息安全测评中心北京中测安华科技有限公司中国电子技术标准化研究

:、、

院国家计算机网络应急技术处理协调中心国家信息技术安全研究中心北京邮电大学北京华云安信

、、、、

息技术有限公司北京华顺信安科技有限公司国网思极网安科技北京有限公司上海三零卫士信息

、、()、

安全有限公司国家计算机网络入侵防范中心中国科学院信息工程研究所国家计算机网络入侵防范

、、、

中心浙江蚂蚁小微金融服务集团有限公司网神信息技术北京股份有限公司北京长亭科技有限公

、、()、

司杭州安恒信息技术股份有限公司深信服科技股份有限公司腾讯科技北京有限公司四川省信息

、、、()、

安全测评中心上海犇众信息技术有限公司启明星辰信息技术集团股份有限公司恒安嘉新北京科

、、、()

技股份公司

本标准主要起草人郝永乐郑亮贾依真时志伟张宝峰李斌侯元伟曲泷玉毛军捷饶华一

:、、、、、、、、、、

许源孟德虎张兰兰任泽君上官晓丽舒敏王文磊王宏连樱赵旭东崔宝江付俊松沈传宝

、、、、、、、、、、、、、

赵武许勇刚林亮成李智林张玉清刘奇旭史慧洋王宇简云定柳本金白健杨坤常明政刘志乐

、、、、、、、、、、、、、、

吴卓群叶润国刘桂泽王丹琛韩争光丁斌胡兵

、、、、、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T30279—2013;

———GB/T33561—2017。

GB/T30279—2020

信息安全技术

网络安全漏洞分类分级指南

1范围

本标准提供了网络安全漏洞以下简称漏洞的分类方式分级指标给出了分级方法的建议

(“”)、,。

本标准适用于网络产品和服务的提供者网络运营者漏洞收录组织漏洞应急组织在漏洞管理产

、、、、

品生产技术研发网络运营等相关活动中进行的漏洞分类和危害等级评估等

、、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术信息安全风险评估规范

GB/T20984

信息安全技术术语

GB/T25069

信息安全技术安全漏洞标识与描述规范

GB/T28458

信息安全技术信息安全漏洞管理规范

GB/T30276

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069、GB/T20984、GB/T28458、GB/T30276。

31

.

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论