声明
本文是学习GB-T 30279-2020 信息安全技术 网络安全漏洞分类分级指南. 下载地址 http://github5.com/view/574而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
网络安全漏洞分类分级
本标准按照GB/T 1.1—2009《标准化工作导则 第1部分:标准的结构和编写》给出的规则起草。
本标准代替GB/T 33561—2017《信息安全技术 安全漏洞分类》、GB/T 30279—2013《信息安全技术 安全漏洞等级划分指南》。与GB/T 33561—2017、GB/T 30279—2013相比,除编辑性修改外的主要技术变化如下:
- 原标准GB/T 33561—2017和GB/T 30279—2013中的范围对应本标准的范围,内容进行合并修改。
- 原标准GB/T 33561—2017和GB/T 30279—2013中的规范性引用文件对应本标准的规范性引用文件,引用文件内容有所补充。
- 原标准GB/T 33561—2017和GB/T 30279—2013中的术语和定义对应本标准的术语和定义,内容进行合并修改。
- 删除了原标准GB/T 33561—2017中的缩略语。
- 原标准GB/T 33561—2017中的“按成因分类”对应本标准的“网络安全漏洞分类”,将原标准采用的线性分类框架调整为树形
- 删除原标准GB/T 33561—2017中的“按空间分类”。
- 删除原标准GB/T 33561—2017中的“按时间分类”。
- 原标准GB/T 30279—2013的“等级划分要素”对应本标准的“网络安全漏洞评级指标”,丰富了漏洞分级指标。
- 原标准GB/T 30279—2013的“等级划分”对应本标准的“网络安全漏洞分级方法”,将原标准中的分级方法修订为技术分级和综合分级。
本标准由全国信息安全标准化技术委员会(TC260)提出并归口。
本标准起草单位:中国信息安全测评中心、北京中测安华科技有限公司、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、国家信息技术安全研究中心、国家计算机网络入侵防范中心、北京邮电大学、浙江蚂蚁小微金融服务集团股份有限公司、北京华顺信安科技有限公司、北京中电普华信息技术有限公司、上海三零卫士信息安全有限公司、杭州安恒信息技术股份有限公司、腾讯科技(北京)有限公司、北京启明星辰信息安全技术有限公司、深信服科技股份有限公司、上海犇众信息技术有限公司、中新网络信息安全股份有限公司、北京奇安信科技有限公司、北京长亭科技有限公司、恒安嘉新(北京)科技股份公司、四川省信息安全测评中心。
本标准主要起草人:郝永乐、贾依真、郑亮、时志伟、张宝峰、李斌、侯元伟、曲泷玉、孟德虎、张兰兰、毛军捷、饶华一、许源、上官晓丽、任泽君、舒敏、崔牧凡、王文磊、王宏、连樱、张丹、崔宝江、沈传宝、赵武、林亮成、李智林、陈晨、张芳蕾、张玉清、刘奇旭、史慧洋、白健、王宇、杨坤、刘志乐、叶润国、刘桂泽、朱钱杭、韩争光、朱劲波、陈晓光、崔婷婷、王丹琛。
网络安全漏洞分类分级 范围
本标准给出了网络安全漏洞(简称“漏洞”)的分类方式、分级指标及分级方法指南。
本标准适用于网络产品、服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织在漏洞信息管理,网络产品生产、技术研发、系统运营等相关活动中进行的漏洞分类、漏洞危害等级评估等工作。
网络安全漏洞分类分级 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是标注日期的引用文件,仅标注日期的版本适用于本文件。凡是不标注日期的引用文件,其最新版本(包括所有的修改)适用于本文件。
GB/T 20984 信息安全技术 信息安全风险评估规范
GB/T 22186 信息安全技术 具有中央处理器的 IC 卡芯片安全技术要求
GB/T 25069 信息安全技术 术语
GB/T 28458 信息安全技术 安全漏洞标识与描述规范
GB/T 30276 信息安全技术 安全漏洞管理规范
网络安全漏洞分类分级 术语和定义
GB/T 25069、GB/T 20984、GB/T 28458、GB/T 30276中界定的术语和以下定义适用于本文件。
受影响组件 impacted component
在网络产品或系统中,漏洞触发受影响的组件。
网络安全漏洞分类分级 缩略语
下列缩略语适用于本文件。
SQL 结构化查询语言(Structured Query Language)
延伸阅读
更多内容 可以点击下载 GB-T 30279-2020 信息安全技术 网络安全漏洞分类分级指南. http://github5.com/view/574进一步学习
