ICS35040

L80.

中華人民共和國國家標準

GB/T33561—2017

信息安全技術安全漏洞分類

Informationsecuritytechnology—Vulnerabilitiesclassification

2017-05-12發(fā)布2017-12-01實施

中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T33561—2017

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………1

安全漏洞分類

5……………2

原則

5.1…………………2

分類

5.2…………………2

按成因分類

5.2.1……………………2

按空間分類

5.2.2……………………2

按時間分類

5.2.3……………………3

附錄資料性附錄安全漏洞分類規(guī)范圖表結構圖

A()…………………4

參考文獻

………………………5

Ⅰ

GB/T33561—2017

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位國家信息技術安全研究中心中國信息安全測評中心中國科學院研究生院國家

:、、

計算機網絡入侵防范中心國家計算機網絡應急技術處理協(xié)調中心

、。

本標準主要起草人宮亞峰杜霖魏方方李冰王宏彭恒斌原偉強郭濤郝永樂張翀斌

:、、、、、、、、、、

張玉清劉奇旭

、。

Ⅲ

GB/T33561—2017

引言

為客觀認識安全漏洞加強計算機信息系統(tǒng)安全漏洞的管理工作科學規(guī)范安全漏洞的分類是十分

,,

必要的

。

本標準是的配套標準也可獨立使用

GB/T28458—2012,。

Ⅳ

GB/T33561—2017

信息安全技術安全漏洞分類

1范圍

本標準規(guī)定了計算機信息系統(tǒng)安全漏洞分類的原則和類別

。

本標準適用于計算機信息系統(tǒng)安全管理部門進行安全漏洞管理和技術研究部門開展安全漏洞分析

研究工作

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術術語

GB/T25069—2010

信息安全技術安全漏洞標識與描述規(guī)范

GB/T28458—2012

3術語和定義

中界定的以及下列術語和定義適用于本文件

GB/T25069—2010、GB/T28458—2012。

31

.

計算機信息系統(tǒng)computerinformationsystem

由計算機及其相關的和配套的設備設施含網絡構成的按照一定的應用目標和規(guī)則對信息進行

、(),

采集加工存儲傳輸檢索等處理的人機系統(tǒng)

、、、、。

定義

[GB/T25069—2010,2.1.14]

32

.

安全漏洞vulnerability

計算機信息系統(tǒng)在需求設計實現配置運行等過程中有意或無意產生的缺陷這些缺陷以不

、、、、,。

同形式存在于計算機信息系統(tǒng)的各個層次和環(huán)節(jié)之中一旦被惡意主體所利用就會對計算機信息系統(tǒng)

,,

的安全造成損害從而影響計算機信息系統(tǒng)的正常運行

,。

定義

[GB/T28458—2012,3.2]

33

.

安全漏洞分類