1、7搁帀F(簀匀%纎瀒簀讀缁頀h氀椀欂靟卟婎噠遒偧饧搀漀挀砀瀀椀挀最椀昀靟卟婎噠遒偧饧搀漀挀砀尀尀攀攀攀攀搀攀戀戀戀愀昀挀昀椀一甀一椀伀攀刀嘀昀洀氀礀搀爀樀樀琀戀椀爀昀眀愀嘀最靟卟婎嘀遒倀饧愀昀戀愀愀戀戀愀愀靟卟婎噠遒偧饧靟卟婎噠遒偧饧啟奠箍麄婛葑浓桎帀婟葑杶鮀蒋v膗忿敎豟媏葑屶蒋v膗尰N斏葏堀堀尀敒汑襑葏塖晬彗腹镧敢艒歙艰簀妃晗恛卢颕婢萀膑忿虗婢k婎塑葔腶豬湦虸静號魒开屠虏齼蒏煠杙媈豑葫祔噥蹒N腹顣汙屙暂恛汎黿幦蒗鮀賿婣結屝葏貋虧魒葭煗葠豛葬嫿煔焰焰葛屎靏襥彠葟麏桎膑葠卶摖箍桎鸰桎婧塑葠薍豭腧啟婜塑奠敎杣堀堀猰蹑啟煣婎塑奠屝脰豬豻晫恛襒鉛晷恛蒋杛堀堀焰婎塑İ娰葻腶萀鹶屝蚈鐠鈰葞绿虑鸰譒蝥屝屏貘
2、鮀扥増著颕瘀蒉噷遒遨湦虸瑎葥驒虛瑎0堰著腶頀W葧婶塑奠扥蒗虑葙鵶婢王矿羏腬噒遒杛墏颕腎梉扥焰娀塑葔屙董腎梉警譎g酎沚酎定釿瑫皚萀屗屝屏腎梉塥慥青褰王襑遵慳瓿筞葎汶亚膎婳靐絙腎梉揿魧譎牠葞鑢潏萀腓犉絞歙蚈颕墘著腎遨煣婎塑靾蚋婎葑v虾貘静塦蒈齧蒏屗贰鞉瑎譒荎視腟貉瑔筞襎葒焀苿鱙煣婎塑奠癎啓言蹔N纀婎葑屶彵靜虑艐婎塑董娀葑v虾静录虢疌虑娀葑杶葎鱓犘N敎瑫晟恛噥獬尰楥貗啓葜扶腒臿媉晐恛葎硶臿娀媌二葡晶臿晗恛葎葶蔰N祎昰恛葎膋厉暚恛譔妋屝暀恛婹塑恔腎晡恛葎蝥祎膋暉恛衎罟替恛葎蕶腛羉罦晬恛乾蝭聹豢昰恛葎葶腶蹒鹎鹗豵脰梉扑晗恛婎葑补噥錰獜貋桎萠膑晷恛浓幼虒葥虶慓煣婎塑奠葒幼鹹貍仿乢鹢鹛镗敢杣煨婎塑葔腨晷怀噥
3、獬葒虧拿脰鸀虧鸰葠镶钐扥賿扒媋葑靶颕靦颕屝頀脰靓臿抉桺桟葒捷卫猰虺葨媀魣詧桢桟豒葬v膗諿璚璚峿屝葏豰胿鹓譒轺麚譒蝥偙葬v膗脰誉鸀婳葑v虾屝赏瞐斍諿麄睎卑屝葏k轺江岃脰媉葎犚脰抉鹒萀屝屏诿腟聒膀龉谰噥腻鸀譒蝥腳估屓幼腹綉膋厉脰鹒蒎龉噥猀屝鮀杣熃婎塑葔腨需蝜嘀娀栀儀渀樀樀樀吀堀吀儀砀最吀唀唀欀氀瀀爀椀刀栀焀椀眀刀攀嘀夀员会 GB/T 30279-2020 目次 前言.1 1 范围- 2 规范性寻|用文件. 3 术语和|定义. 4 缩略i吾1 5 网络安全漏洞分类 5.1 概述 5.2 代码问题2 5.3 配置错误4 5.4 环境问是巨4 5.5 其他 6 网络安伞漏洞分级5 6.1 概述5 6.2
4、 网络安全漏洞分级指标5 6.3 网络安全漏洞分级方法9 附录A(规范性附录)被利用性分级表H 附录B(规范性附录)影响程度分级表13 附录c(规范性附录)环境因素分级表M 附录D(规范性附录)漏洞技术分级表15 附录E(规范性附录)漏洞综合分级表M 附录F(资料性附录)漏洞分级示例. 参考文献19 GB/T 30279-2020 目IJ1=1 本标准按照GB/T1.1-2009给出的规则起草。 本标准代替GB/T33561-2017(信息安全技术安全漏洞分类),GB/T30279-2013(信息安全技 术安全漏洞等级划分指由),与GB/T33561-2017、GB/T30279-2013相比
5、,主要技术变化如下: 将GB/T33561-2017和IGB/T 30279-2013的范罔进行合并修改(见第1章); 一一将GB/T:-l:-l561-2017和GB/T:-l0279-20l:-l的规范性寻|用文件进行合并补充(见第2章); 将GB/T33561-2017和IGB/T 30279-2013的术语和定义进行合并修改(见第3章); 删除了GB/T:B:i61-2017中的缩略语; 将GB/丁!T3356们1-20川17中的按成怵阿|分类对应本标准的网络安全漏洞分类 2017采用的线性分类框架调整为树形(见固1); 删除了GB/T33561-2017中的按空|可分类 删除了B/T
6、:B:i61-2017中的按时间分类 将GB/T30279-2013中的等级划分要素对应本标准的网络安全漏洞分级指标扩展了 漏洞分级指标(见国2); 将GB/T30279-2013中的等级划分对应本标准的网络安全漏洞分级方法将分级方法 修改为技术分级和综合分级(见附录D中表D.1和附录E中表E.l)。 请注意本文件的某些内容口J能涉及专利O本文件的发布机构不承扣识别这些专利的责任o 本标准由全同信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:中国信息安伞测评中心、北京中测安华科技有限公司、中国电子技术标准化研究 院、同家计算机网络应急技术处理协调中心、同家信息技术安
7、全研究中心、北京邮电大学、北京华云安信 息技术有限公司、北京华II页信安科技有限公司、国网思极网安科技(北京)有限公司、海三零卫士信息 安全有限公司、同家计算机网络入侵防范中心、中同科学院信息工程研究所、同家计算机网络入侵防范 中心、浙江蚂蚁小微金融服务集团有限公司、网神信息技术(北京)股份有限公司、北京长亭科技有限公 司、杭州安恒信息技术股份有限公司、深信服科技股份有限公司、腾讯科技(北京)有限公司、四川省信息 安全测评中心、七海梓众信息技术有限公司、启明星辰信息技术集团股份有限公司、恒安嘉新(北京)科 技股份公司o 本标准主要起草人:郝永乐、郑亮、贾依真、时志伟、张宝峰、李斌、侯元伟、曲世
8、玉、毛军捷、饶华一、 许源、孟德虎、张兰兰、任泽君、上官晓丽、舒敏、玉立磊、王宏、连樱、赵旭东、崔宝江、付俊松、比传宝、 赵武、许勇刚、林亮成、李智林、张玉清、刘奇旭、史慧洋、王宁、简云定、柳本金、自健、杨坤、常明政、刘志乐、 吴丰群、叶润国、刘桂泽、王丹琛、韩争光、丁斌、胡只O 本标准所代替标准的历次版本发布情况为: GB/T 30279-2013; GB/T 33561-2017 c GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南 1 范围 本标准提供了网络安伞漏洞(以下简称漏洞)的分类方式、分级指标,给出了分级方法的建议。 本标准适用于网络产品和服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织在漏洞管理、产 品生产、技术研发、网络运营等相关活动中进行的漏洞分类和危害等级评估等。 2 规范性引用文件 下列文件对于本文件的应用是必不口J少的O凡是注日期
