声明
本文是学习GB-T 30279- 信息安全技术 网络安全漏洞分类分级指南. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
网络安全漏洞分类分级
本标准按照GB/T 1.1—《标准化工作导则 第1部分:标准的结构和编写》给出的规则起草。
本标准代替GB/T 33561—《信息安全技术 安全漏洞分类》、GB/T 30279—《信息安全技术 安全漏洞等级划分指南》。与GB/T 33561—、GB/T 30279—相比,除编辑性修改外的主要技术变化如下:
原标准GB/T 33561—和GB/T 30279—中的范围对应本标准的范围,内容进行合并修改。原标准GB/T 33561—和GB/T 30279—中的规范性引用文件对应本标准的规范性引用文件,引用文件内容有所补充。原标准GB/T 33561—和GB/T 30279—中的术语和定义对应本标准的术语和定义,内容进行合并修改。删除了原标准GB/T 33561—中的缩略语。原标准GB/T 33561—中的“按成因分类”对应本标准的“网络安全漏洞分类”,将原标准采用的线性分类框架调整为树形删除原标准GB/T 33561—中的“按空间分类”。删除原标准GB/T 33561—中的“按时间分类”。原标准GB/T 30279—的“等级划分要素”对应本标准的“网络安全漏洞评级指标”,丰富了漏洞分级指标。原标准GB/T 30279—的“等级划分”对应本标准的“网络安全漏洞分级方法”,将原标准中的分级方法修订为技术分级和综合分级。
本标准由全国信息安全标准化技术委员会(TC260)提出并归口。
本标准起草单位:中国信息安全测评中心、北京中测安华科技有限公司、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、国家信息技术安全研究中心、国家计算机网络入侵防范中心、北京邮电大学、浙江蚂蚁小微金融服务集团股份有限公司、北京华顺信安科技有限公司、北京中电普华信息技术有限公司、上海三零卫士信息安全有限公司、杭州安恒信息技术股份有限公司、腾讯科技(北京)有限公司、北京启明星辰信息安全技术有限公司、深信服科技股份有限公司、上海犇众信息技术有限公司、中新网络信息安全股份有限公司、北京奇安信科技有限公司、北京长亭科技有限公司、恒安嘉新(北京)科技股份公司、四川省信息安全测评中心。
本标准主要起草人:郝永乐、贾依真、郑亮、时志伟、张宝峰、李斌、侯元伟、曲泷玉、孟德虎、张兰兰、毛军捷、饶华一、许源、上官晓丽、任泽君、舒敏、崔牧凡、王文磊、王宏、连樱、张丹、崔宝江、沈传宝、赵武、林亮成、李智林、陈晨、张芳蕾、张玉清、刘奇旭、史慧洋、白健、王宇、杨坤、刘志乐、叶润国、刘桂泽、朱钱杭、韩争光、朱劲波、陈晓光、崔婷婷、王丹琛。
网络安全漏洞分类分级 范围
本标准给出了网络安全漏洞(简称“漏洞”)的分类方式、分级指标及分级方法指南。
本标准适用于网络产品、服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织在漏洞信息管理,网络产品生产、技术研发、系统运营等相关活动中进行的漏洞分类、漏洞危害等级评估等工作。
网络安全漏洞分类分级 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是标注日期的引用文件,仅标注日期的版本适用于本文件。凡是不标注日期的引用文件,其最新版本(包括所有的修改)适用于本文件。
GB/T 20984 信息安全技术 信息安全风险评估规范
GB/T 22186 信息安全技术 具有中央处理器的 IC 卡芯片安全技术要求
GB/T 25069 信息安全技术 术语
GB/T 28458 信息安全技术 安全漏洞标识与描述规范
GB/T 30276 信息安全技术 安全漏洞管理规范
网络安全漏洞分类分级 术语和定义
GB/T 25069、GB/T 20984、GB/T 28458、GB/T 30276中界定的术语和以下定义适用于本文件。
受影响组件 impacted component
在网络产品或系统中,漏洞触发受影响的组件。
网络安全漏洞分类分级 缩略语
下列缩略语适用于本文件。
SQL 结构化查询语言(Structured Query Language)
网络安全漏洞分类
概述
网络安全漏洞分类是基于漏洞产生或触发的技术原因对漏洞进行的划分,分类导图如图1所示。本标准采用树形导图对漏洞进行分类,首先从根节点开始,根据漏洞成因将漏洞归入某个具体的类别,如果该类型节点有子类型节点,且漏洞成因可以归入该子类型,则将漏洞划分为该子类型,如此递归,直到漏洞归入的类型无子类型节点或漏洞不能归入子类型为止。
网络安全漏洞分类导图
代码问题
概述
此类漏洞指网络产品或系统的代码开发过程中因设计或实现不当而导致的漏洞。
资源管理错误
此类漏洞指因对系统资源(如内存、磁盘空间、文件、CPU使用率等)的错误管理导致的漏洞。
输入验证错误
概述
此类漏洞指因对输入的数据缺少正确的验证而产生的漏洞。
缓冲区错误
此类漏洞指在内存上执行操作时,因缺少正确的边界数据验证,导致在其向关联的其他内存位置上执行了错误的读写操作,如缓冲区溢出、堆溢出等。
注入
概述
此类漏洞指在通过用户输入构造命令、数据结构或记录的操作过程中,由于缺乏对用户输入数据的正确验证,导致未过滤或未正确过滤掉其中的特殊元素,引发的解析或解释方式错误问题。
格式化字符串错误
此类漏洞指接收外部格式化字符串作为参数时,因参数类型、数量等过滤不严格,导致的漏洞。
跨站脚本
此类漏洞是指在WEB应用中,因缺少对客户端数据的正确验证,导致向其他客户端提供错误执行代码的漏洞。
命令注入
概述
此类漏洞指在构造可执行命令过程中,因未正确过滤其中的特殊元素,导致生成了错误的可执行命令。
操作系统命令注入
此类漏洞指在构造操作系统可执行命令过程中,因未正确过滤其中的特殊字符、命令等,导致生成了错误的操作系统执行命令。
参数注入
此类漏洞指在构造命令参数过程中,因未正确过滤参数中的特殊字符,导致生成了错误的执行命令。
代码注入
此类漏洞指在通过外部输入数据构造代码段的过程中,因未正确过滤其中的特殊元素,导致生成了错误的代码段,修改了网络系统或组件的预期的执行控制流。
SQL注入
此类漏洞指在基于数据库的应用中,因缺少对构成SQL语句的外部输入数据的验证,导致生成并执行了错误的SQL语句。
路径遍历
此类漏洞指因未能正确地过滤资源或文件路径中的特殊元素,导致访问受限目录之外的位置。
后置链接
此类漏洞指在使用文件名访问文件时,因未正确过滤表示非预期资源的链接或者快捷方式的文件名,导致访问了错误的文件路径。
跨站请求伪造
此类漏洞指在WEB应用中,因未充分验证请求是否来自可信用户,导致受欺骗的客户端向服务器发送非预期的请求。
数字错误
此类漏洞指因未正确计算或转换所产生数字,导致的整数溢出、符号错误等漏洞。
竞争条件问题
此类漏洞指因在并发运行环境中,一段并发代码需要互斥地访问共享资源时,因另一段代码在同一个时间窗口可以并发修改共享资源而导致的安全问题。
处理逻辑错误
此类漏洞是在设计实现过程中,因处理逻辑实现问题或分支覆盖不全面等原因造成。
加密问题
此类漏洞指未正确使用相关密码算法,导致的内容未正确加密、弱加密、明文存储敏感信息等问题。
授权问题
此类漏洞指因缺少身份验证措施或身份验证强度不足而导致的安全问题。
信任管理问题
此类漏洞是因缺乏有效的信任管理机制,导致受影响组件存在可被攻击者利用的默认密码或者硬编码密码、硬编码证书等问题
权限许可和访问控制问题
此类漏洞指因缺乏有效的权限许可和访问控制措施而导致的安全问题。
数据转换问题
此类漏洞是指程序处理上下文因对数据类型、编码、格式、含义等理解不一致导致的安全问题。
未声明功能
此类漏洞指通过测试接口、调试接口等可执行非授权功能导致的安全问题。例如,若测试命令或调试命令在使用阶段仍可用,则可被攻击者用于显示存储器内容或执行其它功能。
配置错误
概述
此类漏洞指网络系统、网络产品或组件在使用过程中因配置文件、配置参数等不合理导致的漏洞。
默认配置错误
此类漏洞指因默认不安全的配置状态而产生的漏洞。
环境问题
概述
此类漏洞指因受影响组件部署运行环境的原因导致的安全问题。
信息泄露
概述
此类漏洞是指在运行过程中,因配置等错误导致的受影响组件信息被非授权获取的漏洞。。
日志信息泄露
此类漏洞指因日志文件非正常输出导致的信息泄露。
调试信息泄露
此类漏洞指在运行过程中因调试信息输出导致的信息泄露。
侧信道信息泄露
此类漏洞是指功耗、电磁辐射、I/O 特性、运算频率、时耗等侧信道信息的变化导致的信息泄漏。
故障注入
此类漏洞是指通过改变运行环境(如温度、电压、频率等,或通过注入强光等方式)触发,可能导致代码、系统数据或执行过程发生错误的安全问题。
其他
暂时无法将漏洞归入上述任何类别,或者没有足够充分的信息对其进行分类,漏洞细节未指明。
延伸阅读
更多内容 可以 GB-T 30279- 信息安全技术 网络安全漏洞分类分级指南. 进一步学习
联系我们
DB23-T 2419— 地理标志产品 佳木斯大米 黑龙江省.pdf
