路径: 主页 > GB/T > 第210页 > GB/T 30279-2013 | 标准编号 | GB/T 30279-2013 (GB/T30279-2013) | | 中文名称 | 信息安全技术 安全漏洞等级划分指南 | | 英文名称 | Information security technology -- Vulnerability classification guide | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 10,125 | | 引用标准 | GB/T 25069-2010 | | 标准依据 | 国家标准公告2013年第27号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准规定了信息系统安全漏洞(简称漏洞)的等级划分要素和危害程度级别。本标准适用于信息安全漏洞管理组织和信息安全漏洞发布机构对信息安全漏洞危害程度的评估和认定, 适用于信息安全产品生产、技术研发、系统运营等组织、机构在相关工作中参考。 | GB/T 30279-2013
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术
安全漏洞等级划分指南
2013-12-31发布
2014-07-15实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本文件某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准起草单位:中国信息安全测评中心、中国科学院研究生院国家计算机网络入侵防范中心、北
京航空航天大学。
本标准主要起草人:张翀斌、张玉清、张宝峰、刘奇旭、张、郭涛、毛军捷、吴毓书、郭颖、李舟军、饶华一、
许源、李凤娟、杨永生。
信息安全技术
安全漏洞等级划分指南
1 范围
本标准规定了信息系统安全漏洞(简称漏洞)的等级划分要素和危害程度级别。
本标准适用于信息安全漏洞管理组织和信息安全漏洞发布机构对信息安全漏洞危害程度的评估和
认定,适用于信息安全产品生产、技术研发、系统运营等组织、机构在相关工作中参考。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2010 信息安全技术 术语
3 术语和定义
GB/T 25069-2010界定的以及下列术语和定义适用于本文件。
3.1
安全漏洞 vulnerability
计算机信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷。这些缺陷以不
同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对计算机信息系统
的安全造成损害,从而影响计算机信息系统的正常运行。
[GB/T 28458-2012,定义3.2]
3.2
完整性 integrity
保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。
[GB/T 20984-2007,定义3.10]
3.3
可用性 availability
数据或资源的特性,被授权实体按要求能访问和使用数据或资源。
[GB/T 20984-2007,定义3.3]
3.4
保密性 confidentiality
数据所具有的特性,即表示数据所达到的未提供或未泄露......
|