GB/T 30279-2020信息安全技术网络安全漏洞分类分级指南

ICS35040

L80.

中华人民共和国国家标准

GB/T30279—2020

代替

GB/T30279—2013,GB/T33561—2017

信息安全技术

网络安全漏洞分类分级指南

Informationsecuritytechnology—

Guidelinesforcategorizationandclassificationofcybersecurityvulnerability

2020-11-19发布2021-06-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T30279—2020

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………1

网络安全漏洞分类

5………………………1

概述

5.1…………………1

代码问题

5.2……………2

配置错误

5.3……………4

环境问题

5.4……………4

其他

5.5…………………5

网络安全漏洞分级

6………………………5

概述

6.1…………………5

网络安全漏洞分级指标

6.2……………5

网络安全漏洞分级方法

6.3……………9

附录规范性附录被利用性分级表

A()…………………11

附录规范性附录影响程度分级表

B()…………………13

附录规范性附录环境因素分级表

C()…………………14

附录规范性附录漏洞技术分级表

D()…………………15

附录规范性附录漏洞综合分级表

E()…………………16

附录资料性附录漏洞分级示例

F()……………………17

参考文献

……………………19

GB/T30279—2020

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术安全漏洞分类信息安全技

GB/T33561—2017《》、GB/T30279—2013《

术安全漏洞等级划分指南与相比主要技术变化如下

》,GB/T33561—2017、GB/T30279—2013,:

将和的范围进行合并修改见第章

———GB/T33561—2017GB/T30279—2013(1);

将和的规范性引用文件进行合并补充见第章

———GB/T33561—2017GB/T30279—2013(2);

将和的术语和定义进行合并修改见第章

———GB/T33561—2017GB/T30279—2013(3);

删除了中的缩略语

———GB/T33561—2017;

将中的按成因分类对应本标准的网络安全漏洞分类将

———GB/T33561—2017“”“”,GB/T33561—

采用的线性分类框架调整为树形见图

2017(1);

删除了中的按空间分类

———GB/T33561—2017“”;

删除了中的按时间分类

———GB/T33561—2017“”;

将中的等级划分要素对应本标准的网络安全漏洞分级指标扩展了

———GB/T30279—2013“”“”,

漏洞分级指标见图

(2);

将中的等级划分对应本标准的网络安全漏洞分级方法将分级方法

———GB/T30279—2013“”“”,

修改为技术分级和综合分级见附录中表和附录中表

(DD.1EE.1)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国信息安全测评中心北京中测安华科技有限公司中国电子技术标准化研究

:、、

院国家计算机网络应急技术处理协调中心国家信息技术安全研究中心北京邮电大学北京华云安信

、、、、

息技术有限公司北京华顺信安科技有限公司国网思极网安科技北京有限公司上海三零卫士信息

、、()、

安全有限公司国家计算机网络入侵防范中心中国科学院信息工程研究所国家计算机网络入侵防范

、、、

中心浙江蚂蚁小微金融服务集团有限公司网神信息技术北京股份有限公司北京长亭科技有限公

、、()、

司杭州安恒信息技术股份有限公司深信服科技股份有限公司腾讯科技北京有限公司四川省信息

、、、()、

安全测评中心上海犇众信息技术有限公司启明星辰信息技术集团股份有限公司恒安嘉新北京科

、、、()

技股份公司

。

本标准主要起草人郝永乐郑亮贾依真时志伟张宝峰李斌侯元伟曲泷玉毛军捷饶华一

:、、、、、、、、、、

许源孟德虎张兰兰任泽君上官晓丽舒敏王文磊王宏连樱赵旭东崔宝江付俊松沈传宝

、、、、、、、、、、、、、

赵武许勇刚林亮成李智林张玉清刘奇旭史慧洋王宇简云定柳本金白健杨坤常明政刘志乐

、、、、、、、、、、、、、、

吴卓群叶润国刘桂泽王丹琛韩争光丁斌胡兵

、、、、、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T30279—2013;

———GB/T33561—2017。

Ⅰ

GB/T30279—2020

信息安全技术

网络安全漏洞分类分级指南

1范围

本标准提供了网络安全漏洞以下简称漏洞的分类方式分级指标给出了分级方法的建议

(“”)、,。

本标准适用于网络产品和服务的提供者网络运营者漏洞收录组织漏洞应急组织在漏洞管理产

、、、、

品生产技术研发网络运营等相关活动中进行的漏洞分类和危害等级评估等

、、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术信息安全风险评估规范

GB/T20984

信息安全技术术语

GB/T25069

信息安全技术安全漏洞标识与描述规范

GB/T28458

信息安全技术信息安全漏洞管理规范

GB/T30276

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069、GB/T20984、GB/T28458、GB/T30276。

31

.