下载文档原格式
国家标准《信息安全技术政府网站系统安全指南》(征求意见稿)修订编制说明一、工作简况1、任务来源《WG5工作组第 2 次会议(2018)工作组会议纪要》指出,为有效应对政府网站入云等新型运营模式,以及网站服务对象多元化、系统结构复杂化和数据集中化等应用新形势,切实保障政府网站系统安全运行,建议着力完善当前政府网站类安全标准。
经中国国家标准化管理委员会批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究修订GB/T 31506-2015《政府门户网站安全技术指南》国家标准。
根据《全国信息安全标准化技术委员会关于2019年网络安全标准项目立项的通知》(信安秘字[2019]050号),该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由北京信息安全测评中心负责主办。
2、起草单位在接到标准的任务后,北京信息安全测评中心立即与相关机构、厂商进行沟通,并得到了政府网站运营机构、高校、业内知名厂商及测评机构的积极参与和反馈。
经筛选,最后确定由中电数据服务有限公司、首都之窗运营管理中心、中电长城网际系统应用有限公司、黑龙江省测评中心、北京市城乡经济信息中心、杭州安恒信息技术有限公司、北京天融信网络安全技术有限公司、桂林电子科技大学、北京神州绿盟信息安全科技股份有限公司、新华三技术有限公司、深圳开源互联网安全技术有限公司、武汉网安教育科技有限公司、国家应用软件产品质量检测检验中心、北京数字认证股份有限公司、湖北省标准化与质量研究院、国家工业信息安全发展研究中心、北京北信源软件股份有限公司、江苏省信息安全测评中心、陕西省信息化工程研究院、国家计算机网络应急技术处理协调中心、江远盛邦(北京)网络安全科技有限公司、恒安嘉新(北京)科技股份公司、山谷网安科技股份有限公司、北京知道创宇信息技术股份有限公司和陕西省网络与信息安全测评中心等单位共同参与编制。
3、主要工作过程(一)标准制定的主要工作过程如下:1)工作启动2018年10月,北京信息安全测评中心联合政府网站运营单位、业内知名安全服务厂商、科研机构及测评机构等组建标准编制组,编制组成员具有丰富的标准编制经验、政务领域网络安全研究经验、信息系统安全控制研究等经验。
《网络安全标准实践指南——网络数据分类分级指引》正式
发布
佚名
【期刊名称】《网络新媒体技术》
【年(卷),期】2022(11)1
【摘要】近日,全国信息安全标准化技术委员会秘书处正式发布《网络安全标准实践指南——网络数据分类分级指引》(以下简称“《实践指南》”)。
亚信安全全程参与了《指南》的讨论和编制工作,基于多年积累的数据安全实践经验以及前瞻性数据安全技术研究与创新,在网络数据安全标准框架、分类分级工作中提出了大量建议,助力《指南》制定与落地。
【总页数】1页(PF0003)
【正文语种】中文
【中图分类】TP3
【相关文献】
1.全国信息安全标准化技术委员会发布《网络安全实践指南-CPU熔断和幽灵漏洞防范指引》
2.全国信息安全标准化技术委员会发布《网络安全实践指南—CPU熔断和幽灵漏洞防范指引》
3.证监会发布《证券期货业数据分类分级指引》等四项金融行业标准
4.发布《网络安全实践指南--CPU熔断和幽灵漏洞防范指引》
5.《网络安全实践指南——CPU熔断和幽灵漏洞防范指引》发布
因版权原因,仅展示原文概要,查看原文内容请购买。
国家标准《信息安全技术网络安全漏洞分类分级规范》(草案)编制说明一、工作简况1.1 任务来源根据国家标准化委员会于2018年下达的国家标准修订计划,《信息安全技术网络安全漏洞分类分级指南》由中国信息安全测评中心作为承担单位。
该标准由全国信息安全标准化技术委员会归口管理。
1.2 主要起草单位和工作组成员本标准由中国信息安全测评中心(以下简称“国测”)牵头,国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、中国电子技术标准化研究院等多家单位共同参与编制。
1.3 主要工作过程(1)2018年5月,组织参与本标准编写的相关单位召开项目启动会,成立规范编制小组,确立各自分工,进行初步设计,并听取各协作单位的相关意见。
(2)2018年6月,编制组通过问卷调查的方式,向安全公司、专家收集关于分类分级国标的修订意见,整理相关意见形成了《信息安全漏洞分类分级修订建议调查情况》。
编制组同时对国内外漏洞分类分级的现状做了调研,整理出《信息安全漏洞分类分级修订相关情况调研与分析》报告,进一步佐证了标准修订的必要性以及提供了标准修订的依据。
(3)2018年7月,编制组结合充分的调研结果,参考CWE、CVSS等国际通用漏洞分类分级方法,提出详细的标准修订计划,形成标准草案第一稿。
(4)2018年8月,编制组召开组内研讨会,基于前期成果,经多次内部讨论研究,组织完善草案内容,形成草案第二稿。
(5)2018年9月,编制组继续研究讨论,并与国内其他漏洞平台运营单位进行交流,吸收各位专家的意见,反复修订完善草案,形成草案第三稿。
(6)2018年10月8日,编制组召开针对草案第三稿的讨论会,会上各参与单位的代表对漏洞分类分级的具体内容进行了深入讨论。
根据讨论结果,编制组对草案进行进一步修改,形成草案第四稿。
(7)2018年10月15日,安标委组织WG5组相关专家召开评审会,对项目进行评审,审阅了标准草案文本、编制说明、意见汇总表等项目相关文档,质询了有关问题,提出增加网络安全漏洞分类分级概述说明、细化编制说明、增加实验验证和使用情况说明、简化分级评价指标等意见。
漏洞危害等级评定标准详细分类漏洞危害等级评定标准详细分类你好,今天我将为你撰写一篇关于漏洞危害等级评定标准详细分类的文章。
漏洞危害等级评定是信息安全领域中非常重要的一项工作,它有助于确保系统和应用程序的安全性,并提供了指导企业和组织在修复漏洞方面的决策依据。
在本文中,我将从简单到复杂地介绍漏洞危害等级评定的相关概念和分类,以帮助你更全面、深入地理解这个主题。
1. 引言漏洞危害等级评定是网络安全领域中一项至关重要的工作。
随着信息技术的不断发展和普及,网络攻击的频率和复杂性不断增加,因此对漏洞的评估和危害等级分类显得尤为重要。
漏洞危害等级评定旨在帮助企业和组织了解和评估不同漏洞对其系统和应用程序的威胁程度,以便有针对性地进行修复和加强安全防护。
2. 漏洞危害等级评定的基本概念漏洞危害等级评定一般基于多个因素进行综合评估,包括漏洞的影响范围、攻击者潜在利用漏洞的能力以及漏洞修复的难度等。
基于这些因素,漏洞危害等级通常分为以下几个级别:2.1 低危漏洞低危漏洞通常是指那些对系统造成较小影响且修复相对简单的漏洞。
对于这类漏洞,攻击者难以利用其对系统进行严重破坏或窃取敏感信息。
尽管低危漏洞相对较为轻微,但仍需及时修复以确保系统的整体安全性。
2.2 中危漏洞中危漏洞对系统的影响相对较大,修复难度也相对较高。
攻击者可能利用中危漏洞进行一定程度的系统入侵、数据篡改或敏感信息获取。
中危漏洞在评估时需要给予一定的重视,并及时采取修复措施以增强系统的安全性。
2.3 高危漏洞高危漏洞是指那些对系统造成严重影响、攻击者可轻松利用并可能导致重大损失的漏洞。
高危漏洞往往涉及关键系统或应用程序,攻击者可能利用其完全控制系统、窃取敏感信息或对系统进行大规模破坏。
对于高危漏洞,修复工作需立即展开,并采取更严格的安全措施以彻底消除潜在威胁。
2.4 严重危害漏洞严重危害漏洞是那些对系统和应用程序造成极大危害且可能引发灾难性后果的漏洞。
攻击者可以利用严重危害漏洞完全控制系统、破坏关键基础设施或丧失对重要数据的控制。
信息安全技术信息安全分类分级指南信息安全技术是指为保护信息系统和信息内容的安全而采取的一系列技术措施和方法。
信息安全的分类分级指南是一种用于对信息安全进行分类和分级管理的指南,它可以帮助组织和个人根据信息的重要性和敏感程度,采取相应的安全措施,确保信息的机密性、完整性和可用性。
根据国家标准《信息安全技术信息安全分类分级指南》(GB/T 22239-2008)的规定,信息安全可以分为四个级别:绝密级、机密级、秘密级和内部级。
不同级别的信息安全要求和保护措施各不相同。
绝密级信息安全是指国家最重要的秘密信息,一旦泄露可能对国家安全造成重大损害。
对于绝密级信息安全,需要采取最高级别的保护措施,包括严格的访问控制、强大的加密技术、完善的安全审计等。
同时,对于存储、传输和处理绝密级信息的设备和系统,也要符合严格的安全要求,确保其不受恶意攻击和非法访问。
机密级信息安全是指对国家、组织或个人利益具有重大影响的机密信息。
对于机密级信息安全,同样需要采取较高级别的保护措施,如访问控制、加密和安全审计等。
此外,还需要定期进行安全评估和漏洞扫描,及时修复系统中的安全漏洞,防止未经授权的访问和泄露。
秘密级信息安全是指对组织或个人利益具有重要影响的秘密信息。
对于秘密级信息安全,需要采取适当的保护措施,如访问控制、加密和防火墙等,确保信息的机密性和完整性。
此外,还需要对人员进行安全培训,提高员工的安全意识和技能,防止社会工程学攻击和内部威胁。
内部级信息安全是指对组织内部运作和管理具有一定影响的信息。
对于内部级信息安全,需要采取基本的保护措施,如密码锁、访问控制和网络隔离等,确保信息的可用性和完整性。
此外,还需要定期备份和恢复数据,以防止数据丢失或损坏。
除了以上四个级别的信息安全,还有一些特殊的信息安全要求,如电子商务信息安全、移动互联网信息安全等。
这些特殊领域的信息安全要求需要根据具体情况和特点来制定相应的保护措施和管理规范。
网络安全漏洞分类指南在当今数字化的时代,网络安全已经成为了一个至关重要的问题。
网络安全漏洞是网络威胁的主要来源之一,了解它们的分类对于有效地防范和应对网络攻击至关重要。
本文将为您详细介绍网络安全漏洞的分类,帮助您更好地理解和应对网络安全风险。
一、按照漏洞产生的原因分类1、编程错误这是最常见的漏洞类型之一。
在软件开发过程中,由于程序员的疏忽或对编程语言的理解不够深入,可能会导致代码中存在逻辑错误、语法错误或算法错误。
这些错误可能会被攻击者利用,从而获取系统的控制权或敏感信息。
2、配置错误系统管理员在配置服务器、网络设备或应用程序时,如果设置不当,可能会导致安全漏洞。
例如,开放不必要的端口、使用弱密码、授予过高的权限等。
3、设计缺陷在系统或软件的设计阶段,如果没有充分考虑到安全因素,可能会导致先天性的安全漏洞。
这种漏洞往往比较难以修复,需要对系统进行重大的改进或重新设计。
二、按照漏洞的影响范围分类1、本地漏洞这类漏洞只能在本地系统上被利用,通常需要攻击者具有物理访问权限或者已经通过其他方式获取了本地用户的权限。
例如,利用本地权限提升漏洞获取管理员权限。
2、远程漏洞攻击者可以通过网络远程利用这些漏洞,无需直接接触目标系统。
远程漏洞的危害通常较大,因为攻击者可以在任何地方发起攻击。
三、按照漏洞所涉及的技术领域分类1、操作系统漏洞操作系统是计算机系统的核心,如果操作系统存在漏洞,将会影响整个系统的安全性。
例如,Windows、Linux 等操作系统的内核漏洞、驱动程序漏洞等。
2、数据库漏洞数据库中存储着大量的敏感信息,如用户数据、财务数据等。
数据库漏洞可能导致数据泄露、数据篡改等严重后果。
3、网络协议漏洞网络协议是实现网络通信的基础,如果网络协议存在漏洞,可能会被攻击者利用来进行中间人攻击、拒绝服务攻击等。
4、应用程序漏洞各种应用程序,如 Web 应用、电子邮件客户端、办公软件等,都可能存在漏洞。
例如,Web 应用中的 SQL 注入漏洞、跨站脚本漏洞等。
信息安全技术数据安全分类分级实施指南1.引言1.1 概述概述部分的内容可以描述该篇文章的主题和背景,以及解释为什么信息安全技术数据安全分类分级实施指南的编写非常重要。
可以按照以下方式撰写概述内容:概述信息安全技术数据安全分类分级实施指南是一项重要的指南,旨在帮助组织和个人确保其关键数据的安全性。
在当今数字化时代,数据已成为组织和个人运作的核心,因此保护数据的安全性对于持续运营和个人隐私保护至关重要。
数据的安全性不仅涉及到保护数据不被未经授权的访问,还包括数据的完整性和可用性。
由于数据涉及到各种敏感信息,如个人信息、商业机密等,数据的安全性越发引起人们的关注。
在过去的几年中,我们已经目睹了多起涉及数据泄露和黑客攻击的严重安全事件,这进一步强调了我们必须采取适当措施来保护数据免受威胁的重要性。
本指南的目的是为读者提供关于信息安全技术数据安全分类分级的实施指南,以帮助他们理解和应用适当的数据安全分类方法。
该指南将覆盖数据分类的基础知识、数据安全级别的定义和评估、实施数据安全分类的步骤以及相应的控制措施。
通过实施这些措施,组织和个人可以更好地管理和保护其数据资产,确保其在面对不可预测的风险时始终保持安全。
作为一份指南,本文的结构将分为三个主要部分。
首先,我们将介绍信息安全技术及其在保护数据安全中的作用。
其次,我们将详细介绍数据安全分类的概念和方法,探讨不同级别数据的安全需求以及相应的措施。
最后,我们将总结这些内容,并提供实施指南,以帮助读者在其组织或个人实际情境中应用所学知识。
通过本指南,我们期望读者能够更好地认识到数据安全分类的重要性,并学会如何根据其需求对数据进行合理的分类和保护。
只有通过采取适当的数据安全措施,我们才能确保数据不受威胁,同时保护自身的隐私和权益。
让我们一起深入了解信息安全技术数据安全分类分级实施指南,共同构建一个更加安全和可靠的数字世界。
文章结构部分的内容可以描述文章的组织结构,包括各个章节的内容安排和目标。
网络安全漏洞分类标准在当今数字化时代,网络安全已成为至关重要的问题。
网络安全漏洞是威胁网络系统安全的重要因素之一,对其进行准确分类有助于更好地理解和应对这些威胁。
网络安全漏洞可以从多个角度进行分类。
首先,从漏洞的成因来看,可分为设计缺陷漏洞和实现错误漏洞。
设计缺陷漏洞往往出现在系统的架构和规划阶段,例如在设计网络协议时未充分考虑安全因素,导致存在潜在的漏洞。
这种类型的漏洞通常较为隐蔽,且修复难度较大,因为可能需要对整个系统的架构进行调整。
实现错误漏洞则主要是在编码、开发过程中产生的,比如程序员的疏忽、错误的逻辑判断或者对编程语言特性的不当使用。
这类漏洞相对来说更容易被发现和修复,通过代码审查和测试等手段往往能够找出并解决。
按照漏洞所影响的对象,可分为操作系统漏洞、应用程序漏洞和网络协议漏洞。
操作系统漏洞如 Windows、Linux 等系统中的安全漏洞,可能导致系统被非法入侵、数据被窃取或破坏。
应用程序漏洞常见于各种应用软件,如浏览器、办公软件等,黑客可以利用这些漏洞执行恶意代码、获取用户隐私信息。
网络协议漏洞则涉及到网络通信中所使用的各种协议,如 TCP/IP 协议中的漏洞,可能被攻击者用来进行拒绝服务攻击或中间人攻击。
从漏洞的利用方式来分,有远程漏洞和本地漏洞。
远程漏洞允许攻击者通过网络远程对目标系统进行攻击,无需直接接触目标设备。
这类漏洞的危害较大,因为攻击者可以在任何有网络连接的地方发起攻击。
本地漏洞则需要攻击者先获得对目标系统的本地访问权限,然后才能利用漏洞进行进一步的操作。
虽然其攻击范围相对较窄,但在某些特定场景下,如内部网络攻击中,仍然具有较大的威胁。
根据漏洞的危害程度,可分为高危漏洞、中危漏洞和低危漏洞。
高危漏洞是指那些可能导致严重后果的漏洞,如系统完全失控、大量敏感信息泄露等。
中危漏洞可能会对系统的正常运行造成一定影响,或者导致部分数据的泄露。
低危漏洞通常对系统的影响较小,可能只是一些轻微的功能异常或者有限的信息泄露。
网络安全漏洞等级划分标准网络安全漏洞等级划分是评估和管理网络安全风险和漏洞的一种重要方法。
它对于帮助组织确定网络安全威胁的严重性以及采取适当的防护措施至关重要。
本文将介绍一套基本的网络安全漏洞等级划分标准,以帮助组织和个人更好地理解和应对各种漏洞。
等级划分网络安全漏洞等级划分通常根据漏洞的严重程度和易受漏洞影响的程度来进行评估。
在本标准中,我们将漏洞划分为四个等级:低、中、高和紧急。
低级漏洞低级漏洞指的是那些对系统或数据的威胁程度较低且难以被利用的漏洞。
这类漏洞通常对组织的运营影响较小,但仍需要采取适当的措施进行修复。
中级漏洞中级漏洞具有一定的威胁程度和利用难度。
这些漏洞可能会对系统、数据或用户造成一定的损害,但并不具备严重影响组织运营的能力。
修复这类漏洞需要及时采取措施来减少潜在风险。
高级漏洞高级漏洞是对系统和数据安全构成较大威胁的漏洞。
这些漏洞具有较高的利用难度和危害程度,可能导致组织运营中断、数据泄露等严重后果。
修复高级漏洞需要迅速响应和采取紧急措施。
紧急漏洞紧急漏洞是对组织和系统安全构成极大威胁的漏洞。
这些漏洞具有易受攻击和严重影响系统稳定性的特性,可以导致严重的运营中断、大量数据泄露等重大事故。
修复紧急漏洞需要立刻采取紧急措施以确保系统的安全和稳定。
标准应用在进行网络安全漏洞等级划分时,可以根据具体的漏洞情况和组织的安全需求进行调整和实施。
一般来说,标准应用的步骤如下:1. 收集漏洞信息:积极关注安全公告、报告和漏洞数据库等渠道,收集漏洞信息。
2. 漏洞评估:了解每个漏洞的描述、可能影响范围、利用难度等关键信息,进行漏洞评估。
3. 等级划分:根据漏洞的严重程度和易受漏洞影响的程度,划分漏洞等级。
4. 采取措施:根据漏洞等级的划分,制定相应的漏洞修复和防护措施,确保漏洞得到及时修复和防范。
本标准旨在帮助组织和个人更好地管理和应对网络安全漏洞,但仍需要根据实际情况和自身需求进行调整和完善。
安全漏洞等级划分指南好,今天咱们聊聊安全漏洞的等级划分。
别看这个话题听起来很严肃,其实跟咱们日常生活中遇到的小麻烦差不多,关键看你怎么处理。
你想想,咱们走在大街上,一不小心摔个跤,这就是一个“安全漏洞”,是吧?摔得轻的,拍拍屁股站起来就好,摔得重的那可就得小心了。
所以,安全漏洞也是一样,轻微的可能一个简单的修补就搞定,严重的那就是个大麻烦。
今天咱们就从这轻重缓急的角度,来聊聊这个漏洞等级划分的问题。
漏洞可以大致分为几个等级。
最轻的就叫做“低危漏洞”。
这个漏洞呢,简单说就是问题不大。
你想,感觉就像你家门前有个小小的坑,路过的人可能都不会注意,偶尔有人踩到也不至于摔倒。
不过,咱们还是得注意,毕竟,万一真有人不小心摔了,那可不好说。
低危漏洞通常不容易被人恶意利用,修复起来也很简单,几乎没什么风险。
所以,如果你发现了这种漏洞,没必要太慌张,修一修,快得很。
然后呢,有个“中危漏洞”,这个等级就有点棘手了,既不是大事,也不是小事。
像什么路上有个坑,车子一旦经过可能就会有点震动,搞不好让车轮受损。
虽说问题不至于让车翻掉,但也得引起警惕。
这类漏洞一旦被恶意利用,可能会带来一定的危害,比如说你的网站可能被人小小地攻击一下,系统可能会慢点,或者能让坏人偷偷获得一些不该有的信息。
一般来说,解决这类漏洞,时间稍微长一点,但还是能控制在合理的范围内。
你看,这就好比是我给你提醒一下:‘嘿,路上有坑,小心点儿’。
放心,及时处理了,问题不大。
再说说“高危漏洞”。
这时候问题就可大可小了,听着就有点危险。
想象一下,你家门口的坑如果有个巨大的裂缝,车开过去,车轮都能掉进去,损失那可就不小。
高危漏洞的威胁不仅大,而且迅速,就像是你家门口的坑变成了个深不见底的大洞,稍微不注意就可能出现大问题。
这类漏洞一旦被黑客看中,后果可能是灾难性的,系统被攻击,数据泄露,甚至整个网站被摧毁。
所以遇到这类漏洞,咱们可得抓紧修补,不然后果自负。
处理这类漏洞的时间要赶紧,一旦拖延,黑客来个“偷天换日”,你可能连防御的机会都没有了。
国家标准《信息安全技术网络安全漏洞分类分级规范》(草案)编制说明一、工作简况1.1 任务来源根据国家标准化委员会于2018年下达的国家标准修订计划,《信息安全技术网络安全漏洞分类分级指南》由中国信息安全测评中心作为承担单位。
该标准由全国信息安全标准化技术委员会归口管理。
1.2 主要起草单位和工作组成员本标准由中国信息安全测评中心(以下简称“国测”)牵头,国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、中国电子技术标准化研究院等多家单位共同参与编制。
1.3 主要工作过程(1)2018年5月,组织参与本标准编写的相关单位召开项目启动会,成立规范编制小组,确立各自分工,进行初步设计,并听取各协作单位的相关意见。
(2)2018年6月,编制组通过问卷调查的方式,向安全公司、专家收集关于分类分级国标的修订意见,整理相关意见形成了《信息安全漏洞分类分级修订建议调查情况》。
编制组同时对国内外漏洞分类分级的现状做了调研,整理出《信息安全漏洞分类分级修订相关情况调研与分析》报告,进一步佐证了标准修订的必要性以及提供了标准修订的依据。
(3)2018年7月,编制组结合充分的调研结果,参考CWE、CVSS等国际通用漏洞分类分级方法,提出详细的标准修订计划,形成标准草案第一稿。
(4)2018年8月,编制组召开组内研讨会,基于前期成果,经多次内部讨论研究,组织完善草案内容,形成草案第二稿。
(5)2018年9月,编制组继续研究讨论,并与国内其他漏洞平台运营单位进行交流,吸收各位专家的意见,反复修订完善草案,形成草案第三稿。
(6)2018年10月8日,编制组召开针对草案第三稿的讨论会,会上各参与单位的代表对漏洞分类分级的具体内容进行了深入讨论。
根据讨论结果,编制组对草案进行进一步修改,形成草案第四稿。
(7)2018年10月15日,安标委组织WG5组相关专家召开评审会,对项目进行评审,审阅了标准草案文本、编制说明、意见汇总表等项目相关文档,质询了有关问题,提出增加网络安全漏洞分类分级概述说明、细化编制说明、增加实验验证和使用情况说明、简化分级评价指标等意见。
根据专家意见,编制组对草案进行进一步修改,形成草案第五稿。
(8)2018年10月19日,中国电子技术标准化研究院组织本标准、“信息安全技术网络安全漏洞管理规范”和“信息安全技术网络安全漏洞标识与描述规范”等三个编制组召开研讨会,明确规范三个标准采用的定义和术语等内容,进一步加强了标准的关联性和准确性。
(9)2018年10月24日,在2018年第二次全体会议WG5组工作会议上,编制组将草案编制情况向WG5组成员单位进行了介绍,并对成员单位意见进行应答;通过草案评审,根据专家和成员单位意见对草案进行进一步修改,形成征求意见稿。
(10)2018年11月21日,安标委组织本标准的专家审查会,着重对10月24日会议专家意见的应答修改情况进行核查,并对标准文本、编制说明等材料进行总体审查,提出进一步的修改意见。
编制组对专家意见进行应答,并根据采纳和部分采纳的专家意见内容,对标准文本和编制说明进行修改,更新专家意见汇总表。
二、标准编制原则和确定主要内容的论据及解决的主要问题2.1 编制原则本标准的研究与编制工作遵循以下原则:(1)通用性原则本标准在原国标GB-T 33561-2017《信息安全技术安全漏洞分类》的基础上,结合国内外漏洞分类分级相关领域的最新成果,如国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD)等国家级漏洞库的实践标准,以及MITRE公司推出的通用缺陷枚举(CWE)、通用漏洞评价系统(CVSS 3.0)等,既保证标准编制内容的科学性,又使得标准内容更加符合我国国情。
(2)符合性原则遵循国家现有漏洞相关标准,符合国家有关法律法规和已编制标准规范的相关要求,符合国家漏洞管理主管部门的要求。
(3)实用性原则本标准规范是对实际工作成果的总结与提升,对原国标漏洞分类、分级的结构、形式、规则等进行筛选提炼,保持整体结构合理且维持原意和功能不变,兼容国家级漏洞库,针对不同的用户群体,做到可操作、可用与实用。
(4)完备性原则本标准的完备性原则主要体现在两个方面:其一充分分析了CWE的漏洞分类情况,制定了与之兼容的漏洞分类类型;其二考虑到漏洞分级中涉及的漏洞分级指标,基于原漏洞分级维度的基础上进行分级指标的扩展。
因此本标准作为通用性的漏洞分类分级要求,可适用于大多数漏洞。
2.2 修订依据随着近年人工智能、物联网、区块链等计算机技术的快速发展,网络安全漏洞相关研究工作也相应发生了巨大的变化,目前国家标准GB/T 30279-2013《信息安全技术安全漏洞等级划分指南》、GB/T 33561-2017《信息安全技术安全漏洞分类》已经不能完全满足现阶段漏洞分类分级的技术要求。
国家网络安全相关部门、网络安全研究机构、网络安全漏洞研究人员等对漏洞分类分级的认识、理解得到进一步发展,相应的产生了许多新的需求和应用。
急需结合当前的新技术、新经验以及相关标准法规等,对上述标准进行内容修订。
此外,漏洞的分类和分级是描述漏洞本质和情况的两个重要方面,因此,建议将GB/T 30279-2013《信息安全技术安全漏洞等级划分指南》和GB/T 33561-2017《信息安全技术安全漏洞分类》进行合并修订。
为满足标准修订的现实需要,编制组通过问卷调查的方式,向18家安全公司收集关于分类分级国标的修订意见,整理相关意见形成了《信息安全漏洞分类分级修订建议调查情况》,主要意见包括如下几个方面:(1)漏洞分类方面1)随着近年人工智能、物联网、区块链等计算机技术的快速发展,需要增加新的漏洞类型;2)标准需要与《中华人民共和国网络安全法》等相关法律法规的相关要求保持一致;3)标准需要进一步与主流应用场景,如web、主机、终端、工控等应用相适应;(2)漏洞分级方面1)需要参考增加环境因素的危害评估指标。
2)兼容现有CNNVD及CNVD等国家级漏洞库漏洞分级方法。
3)兼容CVSS3.0评分标准。
在需求调研的基础上,编制组组织国内网络安全漏洞标准研究机构,围绕国内外漏洞分类分级的相关标准和研究情况开展了相关的技术调研,形成了《信息安全漏洞分类分级修订相关情况调研与分析》报告。
在漏洞分类分级标准方面,编制组充分调研国内外漏洞分级的相关标准和研究情况。
对我国国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD)等机构以及补天漏洞响应平台、漏洞盒子、360企业安全、启明星辰、华顺信安等国内安全厂商使用的网络安全漏洞分类、分级实践标准;以及美国、俄罗斯、日本、法国等国际上主要国家级漏洞库相关标准以及IBM、微软(Microsoft)、Secunia、赛门铁克(Symantec)、思科(Cisco)、甲骨文(Oracle)等多家国际厂商使用的网络安全漏洞分类分级标准进行调研分析。
对相关的漏洞分类分级的研究成果和文献进行了整理总结,重点对国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD)的实践标准,以及国际上应用较为规范的Common Vulnerability Scoring System(CVSS)分级标准和Common Vulnerabilities and Exposures (CVE)漏洞分类标准进行了深入技术调研和分析。
(1)国家信息安全漏洞库(CNNVD)漏洞分类分级情况在漏洞分类方面,CNNVD将信息安全漏洞划分为26种类型,分别是:配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误、资料不足。
在漏洞分级方面,CNNVD使用两组指标对漏洞进行评分,分别是可利用性指标组和影响性指标组,并依据该评估结果对漏洞划分为超危、高危、中危、低危共四个危害等级。
其中,可利用性指标组描述漏洞利用的方式和难易程度,反映脆弱性组件的特征,应依据脆弱性组件进行评分,影响性指标组描述漏洞被成功利用后给受影响组件造成的危害,应依据受影响组件进行评分。
(2)国家信息安全漏洞共享平台(CNVD)漏洞分类分级情况在漏洞分类方面,CNVD根据漏洞产生原因,将漏洞分为11种类型:输入验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误。
此外,CNVD还进行了部分业务的划分,主要分为行业漏洞和应用漏洞,行业漏洞包括:电信、移动互联网、工控系统;应用漏洞包括web应用、安全产品、应用程序、操作系统、数据库、网络设备等。
在漏洞分级方面,使用自己内部分级标准,将网络安全漏洞划分为高、中、低三种危害级别。
(3)通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)是由美国国家基础设施顾问委员会(NIAC)开发、事件响应与安全组织论坛(FIRST)维护的一个开放的计算机系统安全漏洞评估框架。
CVSS是一个开放并且能够被产品厂商免费采用的标准,其存在的主要目的是协助安全从业人员使用标准化、规范化、统一化的语言对计算机系统安全漏洞的严重性进行评估。
NIAC于2004年提出了CVSS v1.0,此版本经使用后发现存在很大问题,为解决存在问题并增加CVSS的准确性,由CVSS-SIG发起修正案并进行修订。
在2007 年 6 月,FIRST公开发布了CVSS v2.0。
目前,CVSS的最新版本是v3.0,发布于2015年6月10日。
(4)通用缺陷枚举(Common Weakness Enumeration,CWE)通用缺陷枚举(Common Weakness Enumeration,CWE)是由美国MITRE 公司开发的一个描述在软件架构、设计以及编码等环节中存在的安全缺陷与漏洞的通用规范,目前CWE共包含1040个条目,其中视图32个、类别247个、缺陷与漏洞709个、合成元素7个,弃用45个。
2.4 修订内容本标准修订包括网络安全漏洞分类和分级两个方面。
(1)网络安全漏洞分类修订内容1)现行漏洞分类标准介绍现行漏洞分类标准(GB/T 33561-2017《信息安全技术安全漏洞分类》)根据漏洞的形成原因、所处空间和时间对其进行分类。
如图1所示,根据漏洞的形成原因可分为:边界条件错误、数据验证错误、访问验证错误、处理逻辑错误、同步错误、意外处理错误、对象验证错误、配置错误、设计缺陷、环境错误或其他等。
