標(biāo)準(zhǔn)解讀

《GB/T 30279-2013 信息安全技術(shù) 安全漏洞等級劃分指南》是由中國國家標(biāo)準(zhǔn)化管理委員會發(fā)布的一項國家標(biāo)準(zhǔn),旨在為安全漏洞的評估提供一個統(tǒng)一的標(biāo)準(zhǔn)框架。該標(biāo)準(zhǔn)定義了安全漏洞等級劃分的基本原則、方法及流程,并適用于各類信息系統(tǒng)中發(fā)現(xiàn)的安全漏洞評價。

根據(jù)此標(biāo)準(zhǔn),安全漏洞被劃分為五個級別:極高危、高危、中危、低危和信息性。每個級別的劃分依據(jù)包括但不限于漏洞對系統(tǒng)機密性、完整性和可用性的影響程度;利用難度;以及受影響資產(chǎn)的價值等因素。具體來說:

  • 極高危:指那些一旦被利用,可能造成極其嚴(yán)重后果的安全漏洞。這類漏洞往往能夠?qū)е抡麄€系統(tǒng)的崩潰或關(guān)鍵數(shù)據(jù)的大規(guī)模泄露。
  • 高危:涉及可能導(dǎo)致重大損失但影響范圍略小于“極高危”類別的漏洞。這些漏洞同樣需要緊急處理以防止?jié)撛谕{變?yōu)楝F(xiàn)實。
  • 中危:雖然不如前兩類那么緊迫,但如果被惡意利用仍會對組織的信息安全構(gòu)成顯著風(fēng)險。
  • 低危:這類漏洞單獨存在時通常不會給信息系統(tǒng)帶來直接的危害,但在特定條件下可能會與其他因素結(jié)合而產(chǎn)生負(fù)面影響。
  • 信息性:主要是指那些本身不具備攻擊價值,但可以作為進一步研究或分析的基礎(chǔ)資料的信息披露型問題。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 30279-2020
  • 2013-12-31 頒布
  • 2014-07-15 實施
?正版授權(quán)
GB/T 30279-2013信息安全技術(shù)安全漏洞等級劃分指南_第1頁
GB/T 30279-2013信息安全技術(shù)安全漏洞等級劃分指南_第2頁
GB/T 30279-2013信息安全技術(shù)安全漏洞等級劃分指南_第3頁
免費預(yù)覽已結(jié)束,剩余9頁可下載查看

下載本文檔

GB/T 30279-2013信息安全技術(shù)安全漏洞等級劃分指南-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T30279—2013

信息安全技術(shù)

安全漏洞等級劃分指南

Informationsecuritytechnology—Vulnerabilityclassificationguide

2013-12-31發(fā)布2014-07-15實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T30279—2013

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)起草單位中國信息安全測評中心中國科學(xué)院研究生院國家計算機網(wǎng)絡(luò)入侵防范中心北

:、、

京航空航天大學(xué)

。

本標(biāo)準(zhǔn)主要起草人張翀斌張玉清張寶峰劉奇旭張郭濤毛軍捷吳毓書郭穎李舟軍饒華一

:、、、、、、、、、、、

許源李鳳娟楊永生

、、。

GB/T30279—2013

信息安全技術(shù)

安全漏洞等級劃分指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全漏洞簡稱漏洞的等級劃分要素和危害程度級別

()。

本標(biāo)準(zhǔn)適用于信息安全漏洞管理組織和信息安全漏洞發(fā)布機構(gòu)對信息安全漏洞危害程度的評估和

認(rèn)定適用于信息安全產(chǎn)品生產(chǎn)技術(shù)研發(fā)系統(tǒng)運營等組織機構(gòu)在相關(guān)工作中參考

,、、、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語

GB/T25069—2010

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T25069—2010。

31

.

安全漏洞vulnerability

計算機信息系統(tǒng)在需求設(shè)計實現(xiàn)配置運行等過程中有意或無意產(chǎn)生的缺陷這些缺陷以不

、、、、,。

同形式存在于計算機信息系統(tǒng)的各個層次和環(huán)節(jié)之中一旦被惡意主體所利用就會對計算機信息系統(tǒng)

,,

的安全造成損害從而影響計算機信息系統(tǒng)的正常運行

,。

定義

[GB/T28458—2012,3.2]

32

.

完整性integrity

保證信息及信息系統(tǒng)不會被非授權(quán)更改或破壞的特性包括數(shù)據(jù)完整性和系統(tǒng)完整性

。。

定義

[GB/T20984—2007,3.10]

33

.

可用性availability

數(shù)據(jù)或資源的特性被授權(quán)實體按要求能訪問和使用數(shù)據(jù)或資源

,。

定義

[GB/T20984—2007,3.3]

34

.

保密性confidentiality

數(shù)據(jù)所具有的特性即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給非授權(quán)的個人過程或其他實體的

,、

程度

。

定義

[GB/T20984—2007,3.5]

35

.

訪問

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

最新文檔

評論

0/150

提交評論