GB/T 30279-2020 相关标准英文版PDF, 自动发货
| 标准号码 | 价格美元 | 第2步(购买) | 交付天数 | 标准名称 |
| GB/T 30279-2020 | 350 | GB/T 30279-2020 | 3秒自动 | 信息安全技术 网络安全漏洞分类分级指南 |
| GB/T 30279-2013 | 399 | GB/T 30279-2013 | [PDF]天数 <=3 | 信息安全技术 安全漏洞等级划分指南 |
| 基本信息 | |
|---|---|
| 标准编号 | GB/T 30279-2020 (GB/T30279-2020) |
| 中文名称 | 信息安全技术 网络安全漏洞分类分级指南 |
| 英文名称 | Information security technology - Guidelines for categorization and classification of cybersecurity vulnerability |
| 行业 | 国家标准 (推荐) |
| 中标分类 | L80 |
| 国际标准分类 | 35.040 |
| 字数估计 | 22,289 |
| 发布日期 | 2020-11-19 |
| 实施日期 | 2021-06-01 |
| 旧标准 (被替代) | GB/T 33561-2017; GB/T 30279-2013 |
| 标准依据 | 国家标准公告2020年第26号 |
| 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 |
GB/T 30279-2020: 信息安全技术 网络安全漏洞分类分级指南
GB/T 30279-2020 英文名称: Information security technology - Guidelines for categorization and classification of cybersecurity vulnerability
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 30279-2013,GB/T 33561-2017
2020-11-19发布
2021-06-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准代替GB/T 33561-2017《信息安全技术 安全漏洞分类》、GB/T 30279-2013《信息安全技
术 安全漏洞等级划分指南》,与GB/T 33561-2017、GB/T 30279-2013相比,主要技术变化如下:
---将GB/T 33561-2017和GB/T 30279-2013的范围进行合并修改(见第1章);
---将GB/T 33561-2017和GB/T 30279-2013的规范性引用文件进行合并补充(见第2章);
---将GB/T 33561-2017和GB/T 30279-2013的术语和定义进行合并修改(见第3章);
---删除了GB/T 33561-2017中的缩略语;
---将GB/T 33561-2017中的“按成因分类”对应本标准的“网络安全漏洞分类”,将GB/T 33561-
2017采用的线性分类框架调整为树形(见图1);
---删除了GB/T 33561-2017中的“按空间分类”;
---删除了GB/T 33561-2017中的“按时间分类”;
---将GB/T 30279-2013中的“等级划分要素”对应本标准的“网络安全漏洞分级指标”,扩展了
漏洞分级指标(见图2);
---将GB/T 30279-2013中的“等级划分”对应本标准的“网络安全漏洞分级方法”,将分级方法
修改为技术分级和综合分级(见附录D中表D.1和附录E中表E.1)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国信息安全测评中心、北京中测安华科技有限公司、中国电子技术标准化研究
院、国家计算机网络应急技术处理协调中心、国家信息技术安全研究中心、北京邮电大学、北京华云安信
息技术有限公司、北京华顺信安科技有限公司、国网思极网安科技(北京)有限公司、上海三零卫士信息
安全有限公司、国家计算机网络入侵防范中心、中国科学院信息工程研究所、国家计算机网络入侵防范
中心、浙江蚂蚁小微金融服务集团有限公司、网神信息技术(北京)股份有限公司、北京长亭科技有限公
司、杭州安恒信息技术股份有限公司、深信服科技股份有限公司、腾讯科技(北京)有限公司、四川省信息
安全测评中心、上海D众信息技术有限公司、启明星辰信息技术集团股份有限公司、恒安嘉新(北京)科技股份公司。
本标准主要起草人:郝永乐、郑亮、贾依真、时志伟、张宝峰、李斌、侯元伟、曲泷玉、毛军捷、饶华一、
许源、孟德虎、张兰兰、任泽君、上官晓丽、舒敏、王文磊、王宏、连樱、赵旭东、崔宝江、付俊松、沈传宝、
赵武、许勇刚、林亮成、李智林、张玉清、刘奇旭、史慧洋、王宇、简云定、柳本金、白健、杨坤、常明政、刘志乐、
吴卓群、叶润国、刘桂泽、王丹琛、韩争光、丁斌、胡兵。
本标准所代替标准的历次版本发布情况为:
---GB/T 30279-2013;
---GB/T 33561-2017。
信息安全技术
网络安全漏洞分类分级指南
1 范围
本标准提供了网络安全漏洞(以下简称“漏洞”)的分类方式、分级指标,给出了分级方法的建议。
本标准适用于网络产品和服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织在漏洞管理、产
品生产、技术研发、网络运营等相关活动中进行的漏洞分类和危害等级评估等。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20984 信息安全技术 信息安全风险评估规范
GB/T 25069 信息安全技术 术语
GB/T 28458 信息安全技术 安全漏洞标识与描述规范
GB/T 30276 信息安全技术 信息安全漏洞管理规范
3 术语和定义
GB/T 25069、GB/T 20984、GB/T 28458、GB/T 30276界定的以及下列术语和定义适用于本文件。
3.1
受影响组件 在网络产品和服务中,漏洞触发受影响的组件。
4 缩略语
下列缩略语适用于本文件。SQL:结构化查询语言
5 网络安全漏洞分类
5.1 概述
网络安全漏洞分类是基于漏洞产生或触发的技术原因对漏洞进行的划分,分类导图如图1所示。
本标准采用树形导图对漏洞进行分类,首先从根节点开始,根据漏洞成因将漏洞归入某个具体的类别,
如果该类型节点有子类型节点,且漏洞成因可以归入该子类型,则将漏洞划分为该子类型,如此递归,直
到漏洞归入的类型无子类型节点或漏洞不能归入子类型为止。
5.2 代码问题
5.2.1 概述
此类漏洞指网络产品和服务的代码开发过程中因设计或实现不当而导致的漏洞。
5.2.2 资源管理错误
此类漏洞指因对系统资源(如内存、磁盘空间、文件、CPU使用率等)的错误管理导致的漏洞。
5.2.3 输入验证错误
5.2.3.1 概述
此类漏洞指因对输入的数据缺少正确的验证而产生的漏洞。
5.2.3.2 缓冲区错误
此类漏洞指在内存上执行操作时,因缺少正确的边界数据验证,导致在其向关联的其他内存位置上
执行了错误的读写操作,如缓冲区溢出、堆溢出等。
5.2.3.3 注入
5.2.3.3.1 概述
此类漏洞指在通过用户输入构造命令、数据结构或记录的操作过程中,由于缺乏对用户输入数据的
正确验证,导致未过滤或未正确过滤掉其中的特殊元素,引发的解析或解释方式错误问题。
5.2.3.3.2 格式化字符串错误
此类漏洞指接收外部格式化字符串作为参数时,因参数类型、数量等过滤不严格,导致的漏洞。
5.2.3.3.3 跨站脚本
此类漏洞是指在 WEB应用中,因缺少对客户端数据的正确验证,导致向其他客户端提供错误执行代码的漏洞。
5.2.3.3.4 命令注入
此类漏洞指在构造可执行命令过程中,因未正确过滤其中的特殊元素,导致生成了错误的可执行命令。
5.2.3.3.5 代码注入
此类漏洞指在通过外部输入数据构造代码段的过程中,因未正确过滤其中的特殊元素,导致生成了
错误的代码段,修改了网络产品和服务的预期的执行控制流。
5.2.3.3.6 SQL注入
此类漏洞指在基于数据库的应用中,因缺少对构成SQL语句的外部输入数据的验证,导致生成并
执行了错误的SQL语句。
5.2.3.4 路径遍历
此类漏洞指因未能正确地过滤资源或文件路径中的特殊元素,导致访问受限目录之外的位置。
5.2.3.5 后置链接
此类漏洞指在使用文件名访问文件时,因未正确过滤表示非预期资源的链接或者快捷方式的文件
名,导致访问了错误的文件路径。
5.2.3.6 跨站请求伪造
此类漏洞指在 WEB应用中,因未充分验证请求是否来自可信用户,导致受欺骗的客户端向服务器
发送非预期的请求。
5.2.4 数字错误
此类漏洞指因未正确计算或转换所产生数字,导致的整数溢出、符号错误等漏洞。
5.2.5 竞争条件问题
此类漏洞指因在并发运行环境中,一段并发代码需要互斥地访问共享资源时,因另一段代码在同一
个时间窗口可以并发修改共享资源而导致的安全问题。
5.2.6 处理逻辑错误
此类漏洞是在设计实现过程中,因处理逻辑实现问题或分支覆盖不全面等原因造成。
5.2.7 加密问题
此类漏洞指未正确使用相关密码算法,导致的内容未正确加密、弱加密、明文存储敏感信息等问题。
5.2.8 授权问题
5.2.8.1 信任管理问题
此类漏洞是因缺乏有效的信任管理机制,导致受影响组件存在可被攻击者利用的默认密码或者硬
编码密码、硬编码证书等问题。
5.2.8.2 权限许可和访问控制问题
此类漏洞指因缺乏有效的权限许可和访问控制措施而导致的安全问题。
5.2.9 数据转换问题
此类漏洞是指程序处理上下文因对数据类型、编码、格式、含义等理解不一致导致的安全问题。
5.2.10 未声明功能
此类漏洞指通过测试接口、调试接口等可执行非授权功能导致的安全问题。例如,若测试命令或调
试命令在使用阶段仍可用,则可被攻击者用于显示存储器内容或执行其他功能。
5.3 配置错误
此类漏洞指网络产品和服务或组件在使用过程中因配置文件、配置参数或因默认不安全的配置状
态而产生的漏洞。
5.4 环境问题
5.4.1 概述
此类漏洞指因受影响组件部署运行环境的原因导致的安全问题。
5.4.2 信息泄露
5.4.2.1 概述
此类漏洞是指在运行过程中,因配置等错误导致的受影响组件信息被非授权获取的漏洞。
5.4.2.2 日志信息泄露
此类漏洞指因日志文件非正常输出导致的信息泄露。
5.4.2.3 调试信息泄露
此类漏洞指在运行过程中因调试信息输出导致的信息泄露。
5.4.2.4 侧信道信息泄露
此类漏洞是指功耗、电磁辐射、I/O特性、运算频率、时耗等侧信道信息的变化导致的信息泄露。
5.4.3 故障注入
此类漏洞是指通过改变运行环境(如温度、电压、频率等,或通过注入强光等方式)触发,可能导致代
码、系统数据或执行过程发生错误的安全问题。
5.5 其他
暂时无法将漏洞归入上述任何类别,或者没有足够充分的信息对其进行分类,漏洞细节未指明。
6 网络安全漏洞分级
6.1 概述
网络安全漏洞分级根据漏洞分级的场景不同,分为技术分级和综合分级两种分级方式,每种分级方
式均包括超危、高危、中危和低危四个等级。其中,技术分级反映特定产品或系统的漏洞危害程度,用于
从技术角度对漏洞危害等级进行划分,主要针对漏洞分析人员、产品开发人员等特定产品或系统漏洞的
评估工作。综合分级反映在特定时期特定环境下漏洞危害程度,用于在特定场景下对漏洞危害等级进
行划分,主要针对用户对产品或系统在特定网络环境中的漏洞评估工作。漏洞技术分级和综合分级均
可对单一漏洞进行分级,也可对多个漏洞构成的组合漏洞进行分级。
网络安全漏洞分级过程包括分级指标和分级方法两方面内容。分级指标主要阐述反映漏洞特征的
属性和赋值,包括被利用性指标类、影响程度指标类和环境因素指标类等三类指标。分级方法主要阐述
漏洞技术分级和综合分级的具体实现步骤和实现方法,包括漏洞指标类的分级方法、漏洞技术分级方法
和漏洞综合分级方法。
6.2 网络安全漏洞分级指标
6.2.1 被利用性
6.2.1.1 访问路径
“访问路径”是指触发漏洞的路径前提,反映漏洞触发时与受影响组件最低接触程度。
访问路径的赋值包括:网络、邻接、本地和物理。通常因网络、邻接、本地和物理触发的漏洞,其被利
用性程度由高到低依次降序,见表1。
6.2.1.2 触发要求
“触发要求”是指漏洞成功触发的要求,反映受影响组件在系统环境的版本、配置等因素影响下,成
功触发漏洞的要求。
触发要求的赋值包括:低、高。通常触发要求低的漏洞危害程度高,见表2。
6.2.1.3 权限需求
“权限需求”是指触发漏洞所需的权限,反映漏洞成功触发需要的最低的权限。
权限需求的赋值包括:无、低和高。通常所需要的权限越少漏洞危害程度越高,见表3。
6.2.1.4 交互条件
“交互条件”是指漏洞触发是否需要其他主体(如:系统用户、外部用户、其他系统等)的参与、配合,
反映漏洞触发时,是否需要除触发漏洞的主体之外的其他主体参与。
交互条件的赋值包括:不需要、需要。通常不需交互条件即能触发的漏洞,其危害程度较高,见表4。
6.2.3 环境因素
6.2.3.1 被利用成本
被利用成本包括:低、中、高。通常成本越低,漏洞的危害越严重,如表8所示。
6.2.3.2 修复难度
修复难度包括:高、中、低。通常漏洞修复的难度越高,危害越严重,如表9所示。
6.2.3.3 影响范围
影响范围包括:高、中、低、无。通常漏洞对环境的影响越高,危害越严重,如表10所示。
影响范围指标描述反映漏洞触发对环境的影响,漏洞受影响组件在环境中的重要性。
6.3 网络安全漏洞分级方法
6.3.1 概述
网络安全漏洞分级是指采用分级的方式对网络安全漏洞潜在危害的程度进行描述,包括技术分级
和综合分级两种分级方式,每种方式均分为超危、高危、中危和低危四个等级,具体内容如下:
---超危:漏洞可以非常容易地对目标对象造成特别严重后果;
---高危:漏洞可以容易地对目标对象造成严重后果;
---中危:漏洞可以对目标对象造成一般后果,或者比较困难地对目标造成严重后果;
---低危:漏洞可以对目标对象造成轻微后果,或者比较困难地对目标对象造成一般严重后果,或
者非常困难地对目标对象造成严重后果。
漏洞分级过程主要包括最初的指标赋值、中间的指标分级和最后的分级计算三个步骤,其中,指标
赋值是对根据具体漏洞对每个漏洞分级指标进行人工赋值;指标分级是根据指标赋值结果分别对被利
用性、影响程度和环境因素等三个指标类进行分级;分级计算是根据指标分级计算产生技术分级或综合
分级的结果,技术分级结果由被利用性和影响程度两个指标类计算产生,综合分级由被利用性、影响程
度和环境因素三个指标类计算产生。漏洞分级过程如图2所示。
6.3.2 网络安全漏洞指标分级
6.3.2.1 被利用性分级
被利用性分级反映网络安全漏洞触发的技术可能性。被利用性指标组中各指标的不同取值的组合
对应不同的被利用性级别。被利用性级别分为9级,用1~9的数字表示,数值越大被利用的可能性越高,见附录A。
6.3.2.2 影响程度分级
影响程度分级反映网络安全漏洞触发造成的危害程度。影响程度指标组中各指标的不同取值的组
合对应不同的影响程度级别。不同的影响程度级分为9级,用1~9的数字表示,数值越大导致的危害
程度越高,见附录B。
6.3.2.3 环境因素分级
环境因素是对漏洞进行分级是需要考虑的漏洞所处的网络环境、当前漏洞被利用的技术程度等外
部环境。环境因素分级反映在参考环境下,漏洞的危害程度。环境因素指标组中各指标的不同取值的
组合对应不同的环境因素级别。不同的环境因素级别分为9级,用1~9的数字表示,数值越大环境因
素导致的漏洞危害程度越高,见附录C。
6.3.3 网络安全漏洞技术分级
网络安全漏洞技术分级分为:超危、高危、中危、低危四个级别。网络安全漏洞技术分级由被利用性
和影响程度两个指标类决定,漏洞被利用可能性越高(被利用性分级越高)、影响程度越严重(影响程度
分级越高),漏洞技术分级的级别......
英文网页English: GB/T 30279-2020
相关标准: GB/T 30276|GB/T 30278|GB/T 30270|GB/T 30276|GB/T 30279-2020|GB/T 30279|