標(biāo)準(zhǔn)解讀

《T/CPUMT 008-2022 工業(yè)信息安全漏洞分類分級(jí)指南》是一項(xiàng)針對(duì)工業(yè)控制系統(tǒng)(ICS)及工業(yè)互聯(lián)網(wǎng)環(huán)境下的信息安全漏洞進(jìn)行分類和等級(jí)劃分的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)旨在為從事工業(yè)信息安全工作的人員提供一個(gè)統(tǒng)一的參考框架,幫助他們更好地理解和管理在這些系統(tǒng)中發(fā)現(xiàn)的安全問(wèn)題。

根據(jù)此標(biāo)準(zhǔn),工業(yè)信息安全漏洞首先被分為幾個(gè)主要類別,包括但不限于:硬件缺陷、軟件錯(cuò)誤、配置不當(dāng)、認(rèn)證與授權(quán)機(jī)制失效等。每個(gè)大類之下還可能包含更具體的子類別,以便于更加精準(zhǔn)地描述特定類型的漏洞特征及其潛在影響范圍。

對(duì)于漏洞的分級(jí),則是基于其對(duì)受影響系統(tǒng)的潛在危害程度來(lái)進(jìn)行評(píng)估的。一般而言,會(huì)從以下幾個(gè)方面考慮:

  • 影響范圍:漏洞是否會(huì)影響單個(gè)設(shè)備還是整個(gè)網(wǎng)絡(luò)?
  • 可利用性:攻擊者利用此漏洞發(fā)起攻擊的可能性有多高?
  • 損害程度:一旦被成功利用,將給企業(yè)或組織帶來(lái)多大的經(jīng)濟(jì)損失或其他形式的損害?


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2022-11-08 頒布
  • 2022-11-08 實(shí)施
?正版授權(quán)
T/CPUMT 008-2022工業(yè)信息安全漏洞分類分級(jí)指南_第1頁(yè)
T/CPUMT 008-2022工業(yè)信息安全漏洞分類分級(jí)指南_第2頁(yè)
T/CPUMT 008-2022工業(yè)信息安全漏洞分類分級(jí)指南_第3頁(yè)
T/CPUMT 008-2022工業(yè)信息安全漏洞分類分級(jí)指南_第4頁(yè)
T/CPUMT 008-2022工業(yè)信息安全漏洞分類分級(jí)指南_第5頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余23頁(yè)可下載查看

下載本文檔

T/CPUMT 008-2022工業(yè)信息安全漏洞分類分級(jí)指南-免費(fèi)下載試讀頁(yè)

文檔簡(jiǎn)介

ICS3524050

CCSL.62.

團(tuán)體標(biāo)準(zhǔn)

T/CPUMT008—2022

工業(yè)信息安全漏洞分類分級(jí)指南

Guidelinesforcategorizationandclassificationofindustrialinformation

securityvulnerability

2022-11-08發(fā)布2022-11-08實(shí)施

中國(guó)和平利用軍工技術(shù)協(xié)會(huì)發(fā)布

中國(guó)標(biāo)準(zhǔn)出版社出版

T/CPUMT008—2022

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………1

工業(yè)信息安全漏洞分類

5…………………2

概述

5.1…………………2

按受影響實(shí)體分類

5.2…………………2

按漏洞成因分類

5.3……………………3

工業(yè)信息安全漏洞分級(jí)指標(biāo)

6……………7

基礎(chǔ)指標(biāo)

6.1……………7

輔助因素指標(biāo)

6.2………………………9

環(huán)境因素指標(biāo)

6.3………………………11

工業(yè)信息安全漏洞危害分級(jí)

7……………12

概述

7.1…………………12

工業(yè)信息安全漏洞危害等級(jí)說(shuō)明

7.2…………………12

工業(yè)信息安全漏洞危害分級(jí)方法

7.3…………………12

附錄規(guī)范性可利用性分級(jí)表

A()………………………14

附錄規(guī)范性影響程度分級(jí)表

B()………………………16

附錄規(guī)范性輔助因素指標(biāo)分級(jí)表

C()…………………18

附錄規(guī)范性環(huán)境因素指標(biāo)分級(jí)表

D()…………………19

附錄規(guī)范性漏洞通用分級(jí)表

E()………………………20

附錄規(guī)范性漏洞現(xiàn)場(chǎng)分級(jí)表

F()………………………21

參考文獻(xiàn)

……………………22

T/CPUMT008—2022

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由中國(guó)和平利用軍工技術(shù)協(xié)會(huì)提出并歸口

。

本文件起草單位國(guó)家工業(yè)信息安全發(fā)展研究中心浙江木鏈物聯(lián)網(wǎng)科技有限公司聯(lián)通數(shù)字科技

:、、

有限公司北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司成都安美勤信息技術(shù)股份有限公司浙江中控技術(shù)股份

、、、

有限公司奇安信科技集團(tuán)股份有限公司北京國(guó)泰網(wǎng)信科技有限公司飛諾門(mén)陣北京科技有限公司

、、、()、

新華三技術(shù)有限公司北京六方云信息技術(shù)有限公司浪潮工業(yè)互聯(lián)網(wǎng)股份有限公司北京珞安科技有

、、、

限責(zé)任公司上海市網(wǎng)絡(luò)技術(shù)綜合應(yīng)用研究所杭州中電安科現(xiàn)代科技有限公司深圳市盛視技術(shù)有限

、、、

公司重慶中科搖櫓船信息科技有限公司博智安全科技股份有限公司深圳市德傳技術(shù)有限公司河南

、、、、

金盾信安檢測(cè)評(píng)估中心有限公司北京聲智科技有限公司寧波和利時(shí)信息安全研究院有限公司成都

、、、

久信信息技術(shù)股份有限公司北京控制與電子技術(shù)研究所蘇州國(guó)芯科技股份有限公司亞信安全科技

、、、

股份有限公司新疆量子通信技術(shù)有限公司西北工業(yè)大學(xué)北京郵電大學(xué)上汽通用五菱汽車(chē)股份有限

、、、、

公司北京北武安信科技有限公司中國(guó)移動(dòng)通信集團(tuán)福建有限公司泉州分公司中國(guó)兵器裝備集團(tuán)有

、、、

限公司中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所中國(guó)電子科技集團(tuán)公司第十五研究所公安部第

、、、

一研究所公安部第三研究所國(guó)家信息技術(shù)安全研究中心北京中科北斗技術(shù)研究院上海大學(xué)空間

、、、、、

視創(chuàng)重慶科技股份有限公司北京通明湖信息技術(shù)應(yīng)用創(chuàng)新中心國(guó)網(wǎng)新疆電力有限公司電力科學(xué)研

()、、

究院北京關(guān)鍵科技股份有限公司參數(shù)技術(shù)上海軟件有限公司同方工業(yè)信息技術(shù)有限公司上海計(jì)

、、()、、

算機(jī)軟件技術(shù)開(kāi)發(fā)中心首鋼京唐鋼鐵聯(lián)合有限責(zé)任公司浙江安遠(yuǎn)檢測(cè)技術(shù)有限公司河南天祺信息

、、、

安全技術(shù)有限公司北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司

、。

本文件主要起草人楊安郭賓孫濤袁留記李勁雄豐存旭王弢李欣沈寓實(shí)李剛周永權(quán)

:、、、、、、、、、、、

商廣勇肖智中徐紹飛張俊峰曹美玲鄭道勤傅濤黃齊雄梁宏陳孝良樂(lè)翔朱光劍李曉龍

、、、、、、、、、、、、、

匡啟和楚鵬鄧璐楊黎斌崔寶江俸文都郝曉夜吳有祥安維嶸王紹杰劉健陳彥如田原

、、、、、、、、、、、、、

方進(jìn)社崔慧霞袁建軍劉才果曹軍威楊慧婷張懷珠郞燕汪志水李爽周華中徐曉翔劉向東

、、、、、、、、、、、、、

張孟雷濛張婧宇余夢(mèng)達(dá)易拓張子鈺徐偉龔沫薇王世軼姚蒙蒙張俊林曹鋒段小莉張德保

、、、、、、、、、、、、、、

馬建紅喬華陽(yáng)

、。

T/CPUMT008—2022

引言

工業(yè)信息安全漏洞是在整個(gè)工業(yè)運(yùn)轉(zhuǎn)過(guò)程中存在于工業(yè)領(lǐng)域?qū)S械姆峭ㄓ眯畔⒓夹g(shù)的軟件硬

,、、

件協(xié)議系統(tǒng)中對(duì)工業(yè)信息工業(yè)領(lǐng)域各個(gè)環(huán)節(jié)甚至經(jīng)濟(jì)進(jìn)展與社會(huì)穩(wěn)定造成影響的漏洞這些漏洞

、、,、,

對(duì)工業(yè)控制系統(tǒng)的安全機(jī)密性完整性可用性和生產(chǎn)過(guò)程穩(wěn)定性產(chǎn)生重要影響工業(yè)信息安全漏洞

(、、)。

分類分級(jí)包含工業(yè)信息安全漏洞分類工業(yè)信息安全漏洞分級(jí)指標(biāo)工業(yè)信息安全漏洞危害分級(jí)等內(nèi)

、、

容明確了工業(yè)信息安全漏洞所屬類型研判工業(yè)信息安全漏洞觸發(fā)對(duì)工業(yè)領(lǐng)域產(chǎn)品協(xié)議及相關(guān)使用

,,、

環(huán)境造成的危害程度

。

制定本文件旨在提供工業(yè)信息安全漏洞的分類方法分級(jí)方法等信息首先可協(xié)助工業(yè)信息安全人

、,

員準(zhǔn)確識(shí)別未知漏洞的類型和危害程度有針對(duì)性地選擇分析手法和技術(shù)其次可指導(dǎo)工業(yè)信息安全漏

,;

洞相關(guān)產(chǎn)品的研發(fā)使用提高工業(yè)信息安全人員的漏洞分析和應(yīng)急處置能力協(xié)助工業(yè)領(lǐng)域產(chǎn)品提供

、,,

者及時(shí)確定漏洞修復(fù)方案輔助工業(yè)信息安全應(yīng)急處置人員及時(shí)采用準(zhǔn)確的處置方案降低漏洞對(duì)工業(yè)

,,

領(lǐng)域產(chǎn)品協(xié)議或工業(yè)現(xiàn)場(chǎng)的影響此外加快制定工業(yè)信息安全漏洞分類分級(jí)相關(guān)標(biāo)準(zhǔn)建設(shè)完善工業(yè)

、;,,

信息安全漏洞標(biāo)準(zhǔn)體系有利于推動(dòng)我國(guó)工業(yè)信息安全漏洞管理工作自動(dòng)化高效化發(fā)展

,、。

T/CPUMT008—2022

工業(yè)信息安全漏洞分類分級(jí)指南

1范圍

本文件提供了工業(yè)信息安全漏洞的分類方法分級(jí)指標(biāo)和危害分級(jí)等建議

、。

本文件適用于工業(yè)領(lǐng)域的軟硬件產(chǎn)品提供者工業(yè)信息安全漏洞收集組織工業(yè)信息安全漏洞應(yīng)急

、、

組織在漏洞管理技術(shù)研發(fā)等活動(dòng)中的漏洞分類和分級(jí)評(píng)估工業(yè)領(lǐng)域產(chǎn)品提供者工業(yè)領(lǐng)域產(chǎn)品運(yùn)營(yíng)

、。、

者的漏洞分類分級(jí)可參照使用

。

2規(guī)范性引用文件

本文件沒(méi)有規(guī)范性引用文件

。

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件

31

.

工業(yè)信息安全漏洞industrialinformationsecurityvulnerability

在整個(gè)工業(yè)運(yùn)轉(zhuǎn)過(guò)程中存在于工業(yè)領(lǐng)域?qū)S械姆峭ㄓ眯畔⒓夹g(shù)的軟件硬件協(xié)議系統(tǒng)中對(duì)工

,、、、、,

業(yè)信息工業(yè)領(lǐng)域各個(gè)環(huán)節(jié)甚至經(jīng)濟(jì)進(jìn)展與社會(huì)穩(wěn)定造成影響的

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

評(píng)論

0/150

提交評(píng)論