ICS35.040 L80 GB 中华人民共和国国家标准 GB/T30279—2020 代替GB/T30279—2013 GB/T33561-2017 信息安全技术 网络安全漏洞分类分级指南 Information security technology- Guidelines for categorization and classification of cybersecurity vulnerability 2020-11-19发布 2021-06-01实施 国家市场监督管理总局 国家标准化管理委员会 发布 GB/T30279—2020 目 次 前言 1范围 1 2规范性引用文件 1 3术语和定义 .1 4缩略语 1 5网络安全漏洞分类1 5.1概述 1 5.2代码问题 2 5.3配置错误 4 5.4环境间题 4 5.5其他 5 6网络安全漏洞分级 .5 6.1概述 5 6.2网络安全漏洞分级指标5 6.3网络安全漏洞分级方法 9 附录A(规范性附录)被利用性分级表 11 附录B(规范性附录)影响程度分级表13 附录C(规范性附录)环境因素分级表 14 附录D(规范性附录)漏洞技术分级表15 附录E(规范性附录)漏洞综合分级表 16 附录F(资料性附录)漏洞分级示例 .17 参考文献 19 GB/T30279—2020 前 言 本标准按照GB/T1.1一2009给出的规则起草. 本标准代替GB/T33561一2017《信息安全技术安全漏洞分类》、GB/T30279一2013《信息安全技 术安全漏洞等级划分指南》,与GB/T33561一2017、GB/T30279一2013相比,主要技术变化如下: —将GB/T33561—2017和GB/T30279—2013的范围进行合并修改(见第1章); —将GB/T33561一2017和GB/T30279—2013的规范性引用文件进行合并补充(见第2章); —将GB/T33561一2017和GB/T30279—2013的术语和定义进行合并修改(见第3章); —删除了GB/T33561—2017中的缩略语; —将GB/T33561一2017中的“按成因分类”对应本标准的“网络安全漏洞分类”,将GB/T33561一 2017采用的线性分类框架调整为树形(见图1); —删除了GB/T33561一2017中的“按空间分类”; —删除了GB/T33561一2017中的“按时间分类”; —将GB/T30279一2013中的“等级划分要素”对应本标准的“网络安全漏洞分级指标”,扩展了 漏洞分级指标(见图2); —将GB/T30279一2013中的“等级划分”对应本标准的“网络安全漏洞分级方法”,将分级方法 修改为技术分级和综合分级(见附录D中表D.1和附录E中表E.1). 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任. 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口. 本标准起草单位:中国信息安全测评中心、北京中测安华科技有限公司、中国电子技术标准化研究 院、国家计算机网络应急技术处理协调中心、国家信息技术安全研究中心、北京邮电大学、北京华云安信 息技术有限公...
GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南.pdf
