《信息安全技術—網路安全漏洞分類分級指南》(GB/T 30279-2020)是2021年6月1日實施的一項中華人民共和國國家標準,歸口於全國信息安全標準化技術委員會。
《信息安全技術—網路安全漏洞分類分級指南》(GB/T 30279-2020)提供了網路安全漏洞的分類方式、分級指標,給出了分級方法的建議。該標準適用於網路產品和服務的提供者、網終運營者、漏洞收錄組織、漏洞應急組織在漏洞管理、產品生產、技術研發、網路運營等相關活動中進行的漏洞分類和危害等級評估等。
基本介紹
- 中文名:信息安全技術—網路安全漏洞分類分級指南
- 外文名:Information security technology—Guidelines for categorization and classification of cybersecurity vulnerability
- 標準號:GB/T 30279-2020
- 發布日期:2020-11-19
- 實施日期:2021-06-01
- 全部代替標準:GB/T 30279-2013、GB/T 33561-2017
- 中國標準分類號:L80
- 國際標準分類號:35.040
- 歸口單位:全國信息安全標準化技術委員會
- 執行單位:全國信息安全標準化技術委員會
- 主管部門:中華人民共和國國家標準化管理委員會
- 性質:推薦性國家標準
- 狀態:現行
制定過程,修訂背景,編制進程,修訂依據,修訂情況,起草工作,標準目次,內容範圍,引用檔案,實施建議,意義價值,
制定過程
修訂背景
隨著漏洞分析技術和信息安全技術的不斷發展,國家標準《信息安全技術—安全漏洞等級劃分指南》(GB/T 30279-2013)已經不能完全滿足現階段信息安全和網路空間安全的技術要求。《信息安全技術—安全漏洞等級劃分指南》(GB/T 30279-2013)於2013年正式實施,截止2018年,經過5年的發展,各方對漏洞等級的需求、認識、理解與套用也有了較大提升,在此期間,漏洞等級相關評估技術、方法、標準和模型也有了一定發展。因此,應當結合最新技術、先進經驗、相關標準法規等,對該標準進行內容修訂。同時,由於漏洞的分類和分級存在一定關聯性,因此,把《信息安全技術—安全漏洞等級劃分指南》(GB/T 30279-2013)和《信息安全技術—安全漏洞分類》(GB/T 33561-2017)進行合併修訂。
編制進程
- 起草階段
2018年5月,組織參與該標準編寫的相關單位召開項目啟動會,成立規範編制小組,確立各自分工,進行初步設計,並聽取各協作單位的相關意見。
2018年6月,編制組通過問卷調查的方式,向安全公司、專家收集關於分類分級國標的修訂意見,整理相關意見形成了《信息安全漏洞分類分級修訂建議調查情況》。編制組同時對漏洞分類分級的現狀做了調研,整理出《信息安全漏洞分類分級修訂相關情況調研與分析》報告,進一步佐證了標準修訂的必要性以及提供了標準修訂的依據。
2018年7月,編制組結合充分的調研結果,參考CWE、CVSS等國際通用漏洞分類分級方法,提出詳細的標準修訂計畫,形成標準草案第一稿。
2018年8月,編制組召開組內研討會,基於前期成果,經多次內部討論研究,組織完善草案內容,形成草案第二稿。
2018年9月,編制組繼續研究討論,並與國內其他漏洞平台運營單位進行交流,吸收各位專家的意見,反覆修訂完善草案,形成草案第三稿。
2018年10月8日,編制組召開針對草案第三稿的討論會,會上各參與單位的代表對漏洞分類分級的具體內容進行了深入討論。根據討論結果,編制組對草案進行進一步修改,形成草案第四稿。
2018年10月15日,安標委組織WG5組相關專家召開評審會,對項目進行評審,審閱了標準草案文本、編制說明、意見匯總表等項目相關文檔,質詢了有關問題,提出增加網路安全漏洞分類分級概述說明、細化編制說明、增加實驗驗證和使用情況說明、簡化分級評價指標等意見。根據專家意見,編制組對草案進行進一步修改,形成草案第五稿。
2018年10月19日,中國電子技術標準化研究院組織《信息安全技術—網路安全漏洞分類分級指南》、《信息安全技術—網路安全漏洞管理規範》和《信息安全技術 —網路安全漏洞標識與描述規範》等三個編制組召開研討會,明確規範三個標準採用的定義和術語等內容,進一步加強了標準的關聯性和準確性。
2018年10月24日,在2018年第二次全體會議WG5組工作會議上,編制組將草案編制情況向WG5組成員單位進行了介紹,並對成員單位意見進行應答;通過草案評審,根據專家和成員單位意見對草案進行進一步修改,形成徵求意見稿。
2018年11月21日,安標委組織該標準的專家審查會,著重對10月24日會議專家意見的應答修改情況進行核查,並對標準文本、編制說明等材料進行總體審查,提出進一步的修改意見。編制組對專家意見進行應答,並根據採納和部分採納的專家意見內容,對標準文本和編制說明進行修改,更新專家意見匯總表。
- 標準計畫
2019年3月9日,國家標準計畫《信息安全技術—網路安全漏洞分類分級指南》(20190906-T-469)下達,項目周期24個月,由TC260(全國信息安全標準化技術委員會)提出並歸口上報及執行,主管部門為中華人民共和國國家標準化管理委員會。
- 發布實施
2020年11月19日,國家標準《信息安全技術—網路安全漏洞分類分級指南》(GB/T 30279-2020)由中華人民共和國國家市場監督管理總局、中華人民共和國國家標準化管理委員會發布。
2021年6月1日,國家標準《信息安全技術—網路安全漏洞分類分級指南》(GB/T 30279-2020)實施。
修訂依據
國家標準《信息安全技術—網路安全漏洞分類分級指南》(GB/T 30279-2020)依據中國國家標準《標準化工作導則—第1部分:標準的結構和編寫》(GB/T 1.1-2009)規則起草。
修訂情況
《信息安全技術—網路安全漏洞分類分級指南》(GB/T 30279-2020)代替《信息安全技術—安全漏洞分類》(GB/T 33561-2017)、《信息安全技術—安全漏洞等級劃分指南》(GB/T 30279-2013),與《信息安全技術—安全漏洞分類》(GB/T 33561-2017)、《信息安全技術—安全漏洞等級劃分指南》(GB/T 30279-2013)相比,主要技術變化如下:
- 將GB/T 33561-2017和GB/T 30279-2013的範圍進行合併修改;
- 將GB/T 33561-2017和GB/T 30279-2013的規範性引用檔案進行合併補充;
- 將GB/T 33561-2017和GB/T 30279-2013的術語和定義進行合併修改;
- 刪除了GB/T 33561-2017中的縮略語;
- 將GB/T 33561-2017中的“按成因分類”對應該標準的“網路安全漏洞分類”,將GB/T 33561-2017採用的線性分類框架調整為樹形;
- 刪除了GB/T 33561-2017中的“按空間分類”;
- 刪除了GB/T 33561-2017中的“按時間分類”;
- 將GB/T 30279-2013中的“等級劃分要素”對應該標準的“網路安全漏洞分級指標”,擴展了漏洞分級指標;
- 將GB/T 30279-2013中的“等級劃分”對應該標準的“網路安全漏洞分級方法”,將分級方法修改為技術分級和綜合分級。
起草工作
主要起草單位:中國信息安全測評中心、北京中測安華科技有限公司、中國電子技術標準化研究院、國家計算機網路應急技術處理協調中心、國家信息技術安全研究中心、北京郵電大學、北京華雲安信息技術有限公司、北京華順信安科技有限公司、國網思極網安科技(北京)有限公司、上海三零衛士信息安全有限公司、國家計算機網路入侵防範中心、中國科學院信息工程研究所、國家計算機網路入侵防範中心、浙江螞蟻小微金融服務集團有限公司、網神信息技術(北京)股份有限公司、北京長亭科技有限公司、杭州安恆信息技術股份有限公司、深信服科技股份有限公司、騰訊科技(北京)有限公司、四川省信息安全測評中心、上海犇眾信息技術有限公司、啟明星辰信息技術集團股份有限公司、恆安嘉新(北京)科技股份公司。
主要起草人:郝永樂、鄭亮、賈依真、時志偉、張寶峰、李斌、侯元偉、曲瀧玉、毛軍捷、饒華一、許源、孟德虎、張蘭蘭、任澤君、上官曉麗、舒敏、王文磊、王宏、連櫻、趙旭東、崔寶江、付俊松、沈傳寶、趙武、許勇剛、林亮成、李智林、張玉清、劉奇旭、史慧洋、王宇、簡雲定、柳本金、白健、楊坤、常明政、劉志樂、吳卓群、葉潤國、劉桂澤、王丹琛、韓爭光、丁斌、胡兵。
標準目次
前言 | Ⅰ |
|---|---|
1範圍 | 1 |
2規範性引用檔案 | 1 |
3術語和定義 | 1 |
4縮略語 | 1 |
5網路安全漏洞分類 | 1 |
6網路安全漏洞分級 | 5 |
附錄A(規範性附錄)被利用性分級表 | 11 |
附錄B(規範性附錄)影響程度分級表 | 13 |
附錄C(規範性附錄)環境因素分級表 | 14 |
附錄D(規範性附錄)漏洞技術分級表 | 15 |
附錄E(規範性附錄)漏洞綜合分級表 | 16 |
附錄F(資料性附錄)漏洞分級示例 | 17 |
參考文獻 | 19 |
參考資料:
內容範圍
《信息安全技術—網路安全漏洞分類分級指南》(GB/T 30279-2020)提供了網路安全漏洞的分類方式、分級指標,給出了分級方法的建議。該標準適用於網路產品和服務的提供者、網終運營者、漏洞收錄組織、漏洞應急組織在漏洞管理、產品生產、技術研發、網路運營等相關活動中進行的漏洞分類和危害等級評估等。
引用檔案
GB/T 20984 信息安全技術—信息安全風險評估規範 GB/T 25069 信息安全技術—術語 | GB/T 28458 信息安全技術—安全漏洞標識與描述規範 GB/T 30276 信息安全技術—信息安全漏洞管理規範 |
參考資料:
實施建議
鑒於該標準是對原國標《信息安全技術—安全漏洞分類》(GB/T 33561-2017)、《信息安全技術—安全漏洞等級劃分指南》(GB/T 30279-2013)的修訂,同時也是漏洞系列標準的一部分。
建議在標準貫徹執行過程中,國家信息安全主管部門應當起到協調以及推廣的作用,召開研討會、協調會,國內各漏洞庫首先使用該標準中的方法進行安全漏洞危害等級評定。
在各漏洞庫統一的情況下,建議與其他配套標準同步推廣實施,促進漏洞研究者、廠商、漏洞管理組織、最終用戶能夠使用該標準的方法進行安全漏洞危害等級評定。
意義價值
《信息安全技術—網路安全漏洞分類分級指南》(GB/T 30279-2020)兼容CNNVD現行漏洞分類分級規範,因此能夠確保以現有兼容性服務為基礎,進一步擴大該標準在產業界的套用推廣範圍。此外,該標準在漏洞分類分級方面同樣兼容CNVD、NVD等主要漏洞資料庫。該標準發布後,可以為中國國內漏洞管理機構、漏洞數據平台、安全廠商、網際網路廠商、運營商、漏洞提交者等漏洞分級和分類提供統一的標準。
