GB / T 30279 - 2020 網絡安全漏洞分類分級指南解讀
- 分類:新聞資訊
- 作者:蘇州華克斯信息科技有限公司
- 來源:蘇州華克斯信息科技有限公司
- 發(fā)布時(shí)間:2023-07-18
- 訪問量:0
【概要描述】
GB / T 30279 - 2020 網絡安全漏洞分類分級指南解讀
【概要描述】
- 分類:新聞資訊
- 作者:蘇州華克斯信息科技有限公司
- 來源:蘇州華克斯信息科技有限公司
- 發(fā)布時(shí)間:2023-07-18
- 訪問量:0
GB / T 30279 - 2020 網絡安全漏洞分類分級指南解讀
國(guó)家信息安全漏洞庫(CNNVD)漏洞分類分級情況
在漏洞分類方面(miàn),CNNVD將(jiāng)信息安全漏洞劃分爲26種(zhǒng)類型,分别是:配置錯誤、代碼問題、資源管理錯誤、數字錯誤、信息洩露、競争條件、輸入驗證、緩沖區錯誤、格式化字符串、跨站腳本、路徑遍曆、後(hòu)置鏈接、SQL注入、注入、代碼注入、命令注入、操作系統命令注入、安全特征問題、授權問題、信任管理、加密問題、未充分驗證數據可靠性、跨站請求僞造、權限許可和訪問控制、訪問控制錯誤、資料不足。
在漏洞分級方面(miàn),CNNVD使用兩(liǎng)組指标對(duì)漏洞進(jìn)行評分,分别是可利用性指标組和影響性指标組,并依據該評估結果對(duì)漏洞劃分爲超危、高危、中危、低危共四個危害等級。其中,可利用性指标組描述漏洞利用的方式和難易程度,反映脆弱性組件的特征,應依據脆弱性組件進(jìn)行評分,影響性指标組描述漏洞被成(chéng)功利用後(hòu)給受影響組件造成(chéng)的危害,應依據受影響組件進(jìn)行評分。
國(guó)家信息安全漏洞共享平台(CNVD)漏洞分類分級情況
在漏洞分類方面(miàn),CNVD根據漏洞産生原因,將(jiāng)漏洞分爲11種(zhǒng)類型:輸入驗證錯誤、訪問驗證錯誤、意外情況處理錯誤數目、邊界條件錯誤數目、配置錯誤、競争條件、環境錯誤、設計錯誤、緩沖區錯誤、其他錯誤、未知錯誤。此外,CNVD還(hái)進(jìn)行了部分業務的劃分,主要分爲行業漏洞和應用漏洞,行業漏洞包括:電信、移動互聯網、工控系統;應用漏洞包括web應用、安全産品、應用程序、操作系統、數據庫、網絡設備等。
在漏洞分級方面(miàn),使用自己内部分級标準,將(jiāng)網絡安全漏洞劃分爲高、中、低三種(zhǒng)危害級别。
通用漏洞評分系統(CommonVulnerabilityScoringSystem,CVSS)
通用漏洞評分系統(CommonVulnerabilityScoringSystem,CVSS)是由美國(guó)國(guó)家基礎設施顧問委員會(huì)(NIAC)開(kāi)發(fā)、事(shì)件響應與安全組織論壇(FIRST)維護的一個開(kāi)放的計算機系統安全漏洞評估框架。CVSS是一個開(kāi)放并且能(néng)夠被産品廠商免費采用的标準,其存在的主要目的是協助安全從業人員使用标準化、規範化、統一化的語言對(duì)計算機系統安全漏洞的嚴重性進(jìn)行評估。
NIAC于2004年提出了CVSSv1.0,此版本經(jīng)使用後(hòu)發(fā)現存在很大問題,爲解決存在問題并增加CVSS的準确性,由CVSS-SIG發(fā)起(qǐ)修正案并進(jìn)行修訂。在2007年6月,FIRST公開(kāi)發(fā)布了CVSSv2.0。目前,CVSS的最新版本是v3.0,發(fā)布于2015年6月10日。
通用缺陷枚舉(CommonWeaknessEnumeration,CWE)通用缺陷枚舉(CommonWeaknessEnumeration,CWE)是由美國(guó)MITRE公司開(kāi)發(fā)的一個描述在軟件架構、設計以及編碼等環節中存在的安全缺陷與漏洞的通用規範,目前CWE共包含1040個條目,其中視圖32個、類别247個、缺陷與漏洞709個、合成(chéng)元素7個,棄用45個。
GB / T 30279 — 2020 網絡安全漏洞分類分級指南
網絡安全漏洞分類
概述網絡安全漏洞分類是基于漏洞産生或觸發(fā)的技術原因 對(duì)漏洞進(jìn)行的劃分,分類導圖如圖 1 所示。本标準采用樹形導圖對(duì)漏洞進(jìn)行分類,首先從根節點開(kāi)始,根據漏洞成(chéng)因將(jiāng)漏洞歸入某個具體的類别,如果該類型節點有子類型節點,且漏洞成(chéng)因可以歸入該子類型, 則將(jiāng)漏洞劃分爲該子類型,如此遞歸,直到漏洞歸入的類型無子類型節點或漏洞不能(néng)歸入子類型爲止。
根據目前情況,CNNVD共劃分26漏洞類型,CNVD共10種(zhǒng)漏洞類型,原NVD實行124種(zhǒng)漏洞分類,現行NVD實行121種(zhǒng)漏洞分類。現修訂标準通過(guò)層級包含的關系對(duì)原NVD漏洞分類、現行NVD漏洞分類、CNNVD漏洞分類、CNVD漏洞分類進(jìn)行兼容和映射;相關對(duì)應關系如下表所示:
根據目前情況,CNNVD共劃分26漏洞類型,CNVD共10種(zhǒng)漏洞類型,原NVD實行124種(zhǒng)漏洞分類,現行NVD實行121種(zhǒng)漏洞分類。現修訂标準通過(guò)層級包含的關系對(duì)原NVD漏洞分類、現行NVD漏洞分類、CNNVD漏洞分類、CNVD漏洞分類進(jìn)行兼容和映射;相關對(duì)應關系如下表所示:
掃二維碼用手機看
更多資訊