52
浏览
GB/T 30279-2020.Information security technology-Guidelines for categorization and classification of cybersecurity vulnerability.
1范围
GB/T 30279提供了网络安全漏洞(以下简称“漏洞")的分类方式、分级指标,给出了分级方法的建议。
GB/T 30279适用于网络产品和服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织在漏洞管理、产品生产、技术研发、网络运营等相关活动中进行的漏洞分类和危害等级评估等。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20984信息安全技术信息安全风险评估规范
GB/T 25069信息安全技术术语
GB/T 28458信息安全技术安全漏洞标识与描述规范
GB/T 30276信息安全技术信息安全漏洞管理规范
3术语和定义
GB/T 25069、GB/T 20984、GB/T 28458、GB/T 30276界定的以及下列术语和定义适用于本文件。
3.1
受影响组件 impacted component
在网络产品和服务中,漏洞触发受影响的组件。
4缩胳语
下列缩略语适用于本文件。
SQL:结构化查询语言(Structured Query Language)
5网络安全漏洞分类
5.1 概述
网络安全漏洞分类是基于漏洞产生或触发的技术原因对漏洞进行的划分,分类导图如图1所示。
本标准采用树形导图对漏洞进行分类,首先从根节点开始,根据漏洞成因将漏洞归入某个具体的类别,如果该类型节点有子类型节点,且漏洞成因可以归入该子类型,则将漏洞划分为该子类型,如此递归,直到漏洞归人的类型无子类型节点或漏洞不能归入子类型为止。