GB/T 33561-2017信息安全技术安全漏洞分类

ICS35040

L80.

中华人民共和国国家标准

GB/T33561—2017

信息安全技术安全漏洞分类

Informationsecuritytechnology—Vulnerabilitiesclassification

2017-05-12发布2017-12-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T33561—2017

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………1

安全漏洞分类

5……………2

原则

5.1…………………2

分类

5.2…………………2

按成因分类

5.2.1……………………2

按空间分类

5.2.2……………………2

按时间分类

5.2.3……………………3

附录资料性附录安全漏洞分类规范图表结构图

A()…………………4

参考文献

………………………5

Ⅰ

GB/T33561—2017

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位国家信息技术安全研究中心中国信息安全测评中心中国科学院研究生院国家

:、、

计算机网络入侵防范中心国家计算机网络应急技术处理协调中心

、。

本标准主要起草人宫亚峰杜霖魏方方李冰王宏彭恒斌原伟强郭涛郝永乐张翀斌

:、、、、、、、、、、

张玉清刘奇旭

、。

Ⅲ

GB/T33561—2017

引言

为客观认识安全漏洞加强计算机信息系统安全漏洞的管理工作科学规范安全漏洞的分类是十分

,,

必要的

。

本标准是的配套标准也可独立使用

GB/T28458—2012,。

Ⅳ

GB/T33561—2017

信息安全技术安全漏洞分类

1范围

本标准规定了计算机信息系统安全漏洞分类的原则和类别

。

本标准适用于计算机信息系统安全管理部门进行安全漏洞管理和技术研究部门开展安全漏洞分析

研究工作

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术术语

GB/T25069—2010

信息安全技术安全漏洞标识与描述规范

GB/T28458—2012

3术语和定义

中界定的以及下列术语和定义适用于本文件

GB/T25069—2010、GB/T28458—2012。

31

.

计算机信息系统computerinformationsystem

由计算机及其相关的和配套的设备设施含网络构成的按照一定的应用目标和规则对信息进行

、(),

采集加工存储传输检索等处理的人机系统

、、、、。

定义

[GB/T25069—2010,2.1.14]

32

.

安全漏洞vulnerability

计算机信息系统在需求设计实现配置运行等过程中有意或无意产生的缺陷这些缺陷以不

、、、、,。

同形式存在于计算机信息系统的各个层次和环节之中一旦被恶意主体所利用就会对计算机信息系统

,,

的安全造成损害从而影响计算机信息系统的正常运行

,。

定义

[GB/T28458—2012,3.2]

33

.

安全漏洞分类