注册

国家标准计划《信息安全技术 网络安全漏洞分类分级指南》由 TC260(全国网络安全标准化技术委员会)归口 ,主管部门为国家标准化管理委员会

主要起草单位 中国信息安全测评中心中国科学院研究生院国家计算机网络入侵防范中心北京航空航天大学国家信息技术安全研究中心国家计算机网络应急技术处理协调中心中国电子技术标准化研究院北京奇安信科技有限公司浙江蚂蚁小微金融服务集团股份有限公司北京长亭科技有限公司国家计算机网络入侵防范中心北京中电普华信息技术有限公司杭州安恒信息技术股份有限公司北京邮电大学腾讯科技(北京)有限公司北京启明星辰信息安全技术有限公司上海犇众信息技术有限公司中新网络信息安全股份有限公司

目录

拟采信团体标准信息

基础信息

计划号
20190906-T-469
制修订
修订
项目周期
24个月
下达日期
2019-03-28
申报日期
2018-07-30
公示开始日期
2019-01-03
公示截止日期
2019-01-18
标准类别
安全
国际标准分类号
35.040
35 信息技术、办公机械
35.040 字符集和信息编码
归口单位
全国网络安全标准化技术委员会
执行单位
全国网络安全标准化技术委员会
主管部门
国家标准化管理委员会

起草单位

目的意义

近些年,由漏洞导致的网络安全事件层出不穷,安全漏洞的大量出现和加速增长是目前网络安全问题趋于严峻的重要原因之一。

根据国家信息安全漏洞库(CNNVD)的统计,截止2018年5月, 已发布109,562条漏洞信息,近三年每年新增漏洞数量均在8000个以上。

这一信息安全新形势,对漏洞分析、漏洞管控、漏洞消控等工作均提出了新的要求。

漏洞的等级和漏洞的类型,作为漏洞的重要属性项之一,对于客观、完整、准确认识漏洞必不可少。

规范、科学、合理地制定漏洞等级和漏洞类型的划分方法和标准,能针对性地解决企业和组织信息系统安全管理中的实际问题,同时对后续的漏洞消控、披露等工作和环节,有着直接的影响。

因此,做好漏洞分级和分类的标准化研究,对降低漏洞风险,保护系统安全乃至国家安全,都有着重要的意义。

随着漏洞分析技术和信息安全技术的不断发展,目前国家标准GB/T 30279-2013《信息安全技术 安全漏洞等级划分指南》已经不能完全满足现阶段信息安全和网络空间安全的技术要求。

该标准于2013年正式实施,经过5年的发展,各方对漏洞等级的需求、认识、理解与应用也有了较大提升,在此期间,漏洞等级相关评估技术、方法、标准和模型也有了一定发展。

因此,应当结合当前最新技术、先进经验、相关标准法规等,对该标准进行内容修订,。

同时,由于漏洞的分类和分级存在一定关联性,因此,建议将GB/T 30279-2013《信息安全技术 安全漏洞等级划分指南》和GB/T 33561-2017《信息安全技术 安全漏洞分类》进行合并修订。

范围和主要技术内容

该标准可对每个漏洞形成确定、统一的漏洞等级和类型,以便更好的指导、协助各相关方开展漏洞等级划分和类型划分的具体工作,同时也为根据漏洞等级对漏洞的进一步、有重点、有规律的研判、协调、修复和披露等工作,以及国家层面的漏洞管理、漏洞处置及风险控制等工作提供技术支持和依据。 结合目前最新漏洞分析技术与漏洞等级划分和分类研究成果、国际标准以及国内漏洞数据平台、安全厂商、互联网厂商、运营商等组织及单位的实践经验和成果,对GB/T 30279-2013《信息安全技术 安全漏洞等级划分指南》和GB/T 33561-2017《信息安全技术 安全漏洞分类》进行修订,主要技术内容如下: (1)安全漏洞等级划分模型优化 在现行安全漏洞等级划分指南和安全漏洞分类规范的基础上,优化、调整安全漏洞等级划分模型和安全漏洞分类模型,以适用于多种漏洞类型、漏洞所处的各类产品/系统以及复杂的环境、应用场景和业务场景。在此基础上,进一步优化具体的分级评价规则。 (2)安全漏洞等级评价规则调整 在优化安全漏洞等级划分模型的基础上,扩展现有评价规则,制定更具一致性、可操作性、灵活性的安全漏洞等级划分评价规则,可以对安全漏洞进行定量和定性评价,同时适应不同评价目标和不同环境场景。 (3)安全漏洞分类规则调整 在现有安全漏洞分类模型基础上,扩充、修改现有分类方式,将关注对象、攻击效果、受影响实体、触发条件、设计标准等相关影响对象充分考虑,同时适应不同评价目标和不同环境场景。