标准
1、标准名称:《信息安全技术—网络安全漏洞分类分级指南》(GB/T 30279-2020)。
2、实施日期:2021年6月1日。
3、主管部门和归口单位:中华人民共和国国家标准化管理委员会,全国信息安全标准化技术委员会(SAC/TC260)。
4、主要起草单位:包括中国信息安全测评中心、北京中测安华科技有限公司、中国电子技术标准化研究院等多家单位。
5、主要起草人:郝永乐、郑亮、贾依真等多位专家。
与解读
1、标准目的:
提供网络安全漏洞的分类方式。
给出漏洞分级的方法建议。
适用于网络产品和服务提供者、漏洞收录组织、漏洞应急组织及技术研发人员等相关方在漏洞分类、危害评估等活动中进行参考。
2、漏洞分类:
根据成因将漏洞划分为配置错误、代码问题、资源管理错误等26种类型。
采用树形结构进行分类,便于理解和使用。
3、漏洞分级:
分为超危、高危、中危、低危四个等级。
通过可利用性指标组和影响性指标组进行评分,以确定漏洞的危害等级。
4、技术变更:
相较于之前版本(GB/T 30279-2013),新标准进行了多项技术变更,如合并了规范性引用文件范围、删除了部分术语和定义等。
扩展了漏洞分级指标,提供了更为详细的分级方法。
5、标准意义:
有助于统一网络安全漏洞的分类和分级标准,提高漏洞管理的规范性和有效性。
为网络安全领域的相关方提供了明确的指导和参考,促进了网络安全技术的发展和应用。
《信息安全技术—网络安全漏洞分类分级指南》(GB/T 30279-2020)是一个全面、系统的网络安全漏洞分类和分级标准,它不仅提供了详细的漏洞分类和分级方法,还结合了最新的技术和实践经验,为网络安全领域的相关方提供了有力的支持和指导。
以上内容就是解答有关标准漏洞的详细内容了,我相信这篇文章可以为您解决一些疑惑,有任何问题欢迎留言反馈,谢谢阅读。
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/80850.html
