GB/T 30279-2020代替 GB/T 30279一2013，GB/T 33561一2017
信息安全技术网络安全漏洞分类分级指南
Information security technology—Guidelines for categorization and classification of cybersecurity vunerability
2021-06-01实施
2020-11-19发布
目 次
前言…………………………………………………………………………………………………………1
1 范围………………………………………………………………………………………………………1
2 规范性引用文件………………………………………………………………………………………… 1
3 术语和定义 ……………………………………………………………………………………………… 1
4 缩略语 …………………………………………………………………………………………………. 1
5 网络安全漏洞分类 ……………………………………………………………………………………… 1
5.1 概述 ……………………………………………………………………………………………………1
5.2 代码问题 …………………………………………………………………………………………… 2
5.3 配置错误…………………………………………………………………………………………… 4
5.4 环境问题 …………………………………………………………………………………………… 4
5.5 其他 ………………………………………………………………………………………………… 5
6 网络安全漏洞分级……………………………………………………………………………………… 5
6.1 微述………………………………………………………………………………………………… 5
6.2 阿络安全漏洞分级指标 ……………………………………………………………………………5
6.3 阿络安全漏洞分级方法 ….…………………………………………………………………….9
附录A（规范性附录》 被利用性分级表…………………………………………………………………11
附录B（规范性附录》 影响程度分级表…………………………………………………………………13
附录C（规范性附录） 环境因素分级表………………………………………………………………… 14
附录D（规范性附录〉 漏洞技术分级表………………………………………………………………… 15
附录E（规范性附录） 漏洞综合分级表………………………………………………………………… 16
附录F（资料性附录） 漏洞分级示例 …………………………………………………………………… 17
参考文献……………………………………………………………………………………………………19
前 言
本标准按照 GB/T1.1—2009 给出的规则起草。
本标准代替GB/T33561—2017《信息安全技术 安全漏洞分类》、GB/T30279—2013《信息安全技术 安全漏洞等级划分指南》，与GB/T33561—2017、GB/T30279—2013相比，主要技术变化如下.
——将GB/T33561—2017和GB/T30279—2013 的范围进行合并修改（见第1章）;
——将GB/T 33561—2017和GB/T 30279—2013的规范性引用文件进行合并补充（见第2章）;
——将GB/T33561一2017 和 GB/T 30279—2013的术语和定义进行合并修改（见第3章）;
——删除了GB/T 33561—2017中的缩略语;
——将GB/T33561一2017中的"按成因分类"对应本标准的"网络安全漏洞分类"，将GB/T 335612017采用的线性分类框架调整为树形（见图1）;
——删除了GB/T 33561—2017中的"按空间分类";
——删除了GB/T 33561—2017中的"按时间分类";
——将GB/T30279—2013 中的"等级划分要素"对应本标准的"网络安全漏洞分级指标"，扩展了漏洞分级指标（见图 2）;
——将GB/T 30279—2013中的"等级划分"对应本标准的"网络安全漏洞分级方法"，将分级方法
——修改为技术分级和综合分级（见附录 D中表D.1 和附录E中表E.1）。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。