ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T30279—2013

信息安全技術(shù)

安全漏洞等級(jí)劃分指南

Informationsecuritytechnology—Vulnerabilityclassificationguide

2013-12-31發(fā)布2014-07-15實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T30279—2013

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)起草單位中國(guó)信息安全測(cè)評(píng)中心中國(guó)科學(xué)院研究生院國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心北

:、、

京航空航天大學(xué)

。

本標(biāo)準(zhǔn)主要起草人張翀斌張玉清張寶峰劉奇旭張郭濤毛軍捷吳毓書郭穎李舟軍饒華一

:、、、、、、、、、、、

許源李鳳娟楊永生

、、。

Ⅰ

GB/T30279—2013

信息安全技術(shù)

安全漏洞等級(jí)劃分指南

1范圍

本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)安全漏洞簡(jiǎn)稱漏洞的等級(jí)劃分要素和危害程度級(jí)別

()。

本標(biāo)準(zhǔn)適用于信息安全漏洞管理組織和信息安全漏洞發(fā)布機(jī)構(gòu)對(duì)信息安全漏洞危害程度的評(píng)估和

認(rèn)定適用于信息安全產(chǎn)品生產(chǎn)技術(shù)研發(fā)系統(tǒng)運(yùn)營(yíng)等組織機(jī)構(gòu)在相關(guān)工作中參考

,、、、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語

GB/T25069—2010

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T25069—2010。

31

.

安全漏洞vulnerability

計(jì)算機(jī)信息系統(tǒng)在需求設(shè)計(jì)實(shí)現(xiàn)配置運(yùn)行等過程中有意或無意產(chǎn)生的缺陷這些缺陷以不

、、、、,。

同形式存在于計(jì)算機(jī)信息系統(tǒng)的各個(gè)層次和環(huán)節(jié)之中一旦被惡意主體所利用就會(huì)對(duì)計(jì)算機(jī)信息系統(tǒng)

,,

的安全造成損害從而影響計(jì)算機(jī)信息系統(tǒng)的正常運(yùn)行

,。

定義

[GB/T28458—2012,3.2]

32

.

完整性integrity

保證信息及信息系統(tǒng)不會(huì)被非授權(quán)更改或破壞的特性包括數(shù)據(jù)完整性和系統(tǒng)完整性

。。

定義

[GB/T20984—2007,3.10]

33

.

可用性availability

數(shù)據(jù)或資源的特性被授權(quán)實(shí)體按要求能訪問和使用數(shù)據(jù)或資源

,。

定義

[GB/T20984—2007,3.3]

34

.

保密性confidentiality

數(shù)據(jù)所具有的特性即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給非授權(quán)的個(gè)人過程或其他實(shí)體的

,、

程度

。

定義

[GB/T20984—2007,3.5]

35

.

訪問