標(biāo)準(zhǔn)解讀

《GB/T 33561-2017 信息安全技術(shù) 安全漏洞分類》是中國國家標(biāo)準(zhǔn)化管理委員會發(fā)布的一項(xiàng)國家標(biāo)準(zhǔn),該標(biāo)準(zhǔn)主要針對信息安全領(lǐng)域內(nèi)安全漏洞的分類進(jìn)行了系統(tǒng)化的規(guī)定。其目的是為了提高對安全漏洞的理解和管理水平,促進(jìn)不同組織間在漏洞信息交流時的一致性和準(zhǔn)確性。

根據(jù)這項(xiàng)標(biāo)準(zhǔn),安全漏洞被定義為信息系統(tǒng)或其組件中存在的弱點(diǎn),這種弱點(diǎn)可以被利用來破壞系統(tǒng)的安全性、完整性或可用性。標(biāo)準(zhǔn)將安全漏洞按照不同的維度進(jìn)行分類:

  • 按影響對象分類:分為軟件漏洞、硬件漏洞和服務(wù)漏洞三類。軟件漏洞指的是存在于應(yīng)用程序中的問題;硬件漏洞涉及物理設(shè)備上的缺陷;而服務(wù)漏洞則指提供網(wǎng)絡(luò)服務(wù)過程中出現(xiàn)的安全問題。
  • 按表現(xiàn)形式分類:包括但不限于緩沖區(qū)溢出、SQL注入、跨站腳本攻擊(XSS)等類型。這類劃分有助于從技術(shù)角度快速識別并定位具體的漏洞種類。
  • 按嚴(yán)重程度分類:依據(jù)漏洞可能造成的危害大小將其劃分為高危、中危和低危三個等級。這一分類方法對于優(yōu)先級處理及資源配置具有指導(dǎo)意義。
  • 按可利用方式分類:區(qū)分了本地利用與遠(yuǎn)程利用兩種情形。前者需要攻擊者能夠直接訪問目標(biāo)系統(tǒng)才能實(shí)施攻擊;后者則允許攻擊者通過互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)遠(yuǎn)程發(fā)起攻擊。
  • 按發(fā)現(xiàn)時間點(diǎn)分類:分為已知漏洞和未知漏洞(零日漏洞)。已知漏洞是指已經(jīng)被公開或者有補(bǔ)丁發(fā)布的漏洞;未知漏洞則是尚未被廣泛知曉且沒有官方修復(fù)方案的新發(fā)現(xiàn)漏洞。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替,建議下載現(xiàn)行標(biāo)準(zhǔn)GB/T 30279-2020
  • 2017-05-12 頒布
  • 2017-12-01 實(shí)施
?正版授權(quán)
GB/T 33561-2017信息安全技術(shù)安全漏洞分類_第1頁
GB/T 33561-2017信息安全技術(shù)安全漏洞分類_第2頁
GB/T 33561-2017信息安全技術(shù)安全漏洞分類_第3頁
GB/T 33561-2017信息安全技術(shù)安全漏洞分類_第4頁
GB/T 33561-2017信息安全技術(shù)安全漏洞分類_第5頁
免費(fèi)預(yù)覽已結(jié)束,剩余7頁可下載查看

下載本文檔

GB/T 33561-2017信息安全技術(shù)安全漏洞分類-免費(fèi)下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T33561—2017

信息安全技術(shù)安全漏洞分類

Informationsecuritytechnology—Vulnerabilitiesclassification

2017-05-12發(fā)布2017-12-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T33561—2017

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………1

安全漏洞分類

5……………2

原則

5.1…………………2

分類

5.2…………………2

按成因分類

5.2.1……………………2

按空間分類

5.2.2……………………2

按時間分類

5.2.3……………………3

附錄資料性附錄安全漏洞分類規(guī)范圖表結(jié)構(gòu)圖

A()…………………4

參考文獻(xiàn)

………………………5

GB/T33561—2017

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位國家信息技術(shù)安全研究中心中國信息安全測評中心中國科學(xué)院研究生院國家

:、、

計算機(jī)網(wǎng)絡(luò)入侵防范中心國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心

、。

本標(biāo)準(zhǔn)主要起草人宮亞峰杜霖魏方方李冰王宏彭恒斌原偉強(qiáng)郭濤郝永樂張翀斌

:、、、、、、、、、、

張玉清劉奇旭

、。

GB/T33561—2017

引言

為客觀認(rèn)識安全漏洞加強(qiáng)計算機(jī)信息系統(tǒng)安全漏洞的管理工作科學(xué)規(guī)范安全漏洞的分類是十分

,,

必要的

本標(biāo)準(zhǔn)是的配套標(biāo)準(zhǔn)也可獨(dú)立使用

GB/T28458—2012,。

GB/T33561—2017

信息安全技術(shù)安全漏洞分類

1范圍

本標(biāo)準(zhǔn)規(guī)定了計算機(jī)信息系統(tǒng)安全漏洞分類的原則和類別

。

本標(biāo)準(zhǔn)適用于計算機(jī)信息系統(tǒng)安全管理部門進(jìn)行安全漏洞管理和技術(shù)研究部門開展安全漏洞分析

研究工作

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語

GB/T25069—2010

信息安全技術(shù)安全漏洞標(biāo)識與描述規(guī)范

GB/T28458—2012

3術(shù)語和定義

中界定的以及下列術(shù)語和定義適用于本文件

GB/T25069—2010、GB/T28458—2012。

31

.

計算機(jī)信息系統(tǒng)computerinformationsystem

由計算機(jī)及其相關(guān)的和配套的設(shè)備設(shè)施含網(wǎng)絡(luò)構(gòu)成的按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行

、(),

采集加工存儲傳輸檢索等處理的人機(jī)系統(tǒng)

、、、、。

定義

[GB/T25069—2010,2.1.14]

32

.

安全漏洞vulnerability

計算機(jī)信息系統(tǒng)在需求設(shè)計實(shí)現(xiàn)配置運(yùn)行等過程中有意或無意產(chǎn)生的缺陷這些缺陷以不

、、、、,。

同形式存在于計算機(jī)信息系統(tǒng)的各個層次和環(huán)節(jié)之中一旦被惡意主體所利用就會對計算機(jī)信息系統(tǒng)

,,

的安全造成損害從而影響計算機(jī)信息系統(tǒng)的正常運(yùn)行

,。

定義

[GB/T28458—2012,3.2]

33

.

安全漏洞分類

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論