前??言

本標準按照GB/T 1.1—2009《標準化工作導則 第1部分：標準的結構和編寫》給出的規(guī)則起草。
本標準代替GB/T 33561—2017《信息安全技術　安全漏洞分類》、GB/T 30279—2013《信息安全技術　安全漏洞等級劃分指南》。
與GB/T 33561—2017、GB/T 30279—2013相比，除編輯性修改外的主要技術變化如下：

——原標準GB/T 33561—2017和GB/T 30279—2013中的范圍對應本標準的范圍，內容進行合并修改。
——原標準GB/T 33561—2017和GB/T 30279—2013中的規(guī)范性引用文件對應本標準的規(guī)范性引用文件，引用文件內容有所補充。
——原標準GB/T 33561—2017和GB/T 30279—2013中的術語和定義對應本標準的術語和定義，內容進行合并修改。
——刪除了原標準GB/T 33561—2017中的縮略語。
——原標準GB/T 33561—2017中的“按成因分類”對應本標準的“網絡安全漏洞分類”，將原標準采用的線性分類框架調整為樹形
——刪除原標準GB/T 33561—2017中的“按空間分類”。
——刪除原標準GB/T 33561—2017中的“按時間分類”。
——原標準GB/T 30279—2013的“等級劃分要素”對應本標準的“網絡安全漏洞評級指標”，豐富了漏洞分級指標。
——原標準GB/T 30279—2013的“等級劃分”對應本標準的“網絡安全漏洞分級方法”，將原標準中的分級方法修訂為技術分級和綜合分級。

本標準由全國信息安全標準化技術委員會（TC260）提出并歸口。
本標準起草單位：

中國信息安全測評中心、北京中測安華科技有限公司、中國電子技術標準化研究院、國家計算機網絡應急技術處理協(xié)調中心、國家信息技術安全研究中心、國家計算機網絡入侵防范中心、北京郵電大學、浙江螞蟻小微金融服務集團股份有限公司、北京華順信安科技有限公司、北京中電普華信息技術有限公司、上海三零衛(wèi)士信息安全有限公司、杭州安恒信息技術股份有限公司、騰訊科技（北京）有限公司、北京啟明星辰信息安全技術有限公司、深信服科技股份有限公司、上海犇眾信息技術有限公司、中新網絡信息安全股份有限公司、北京奇安信科技有限公司、北京長亭科技有限公司、恒安嘉新（北京）科技股份公司、四川省信息安全測評中心。

本標準主要起草人：

郝永樂、賈依真、鄭亮、時志偉、張寶峰、李斌、侯元偉、曲瀧玉、孟德虎、張?zhí)m蘭、毛軍捷、饒華一、許源、上官曉麗、任澤君、舒敏、崔牧凡、王文磊、王宏、連櫻、張丹、崔寶江、沈傳寶、趙武、林亮成、李智林、陳晨、張芳蕾、張玉清、劉奇旭、史慧洋、白健、王宇、楊坤、劉志樂、葉潤國、劉桂澤、朱錢杭、韓爭光、朱勁波、陳曉光、崔婷婷、王丹琛。

1　范圍

本標準給出了網絡安全漏洞（簡稱“漏洞”）的分類方式、分級指標及分級方法指南。
本標準適用于網絡產品、服務的提供者、網絡運營者、漏洞收錄組織、漏洞應急組織在漏洞信息管理，網絡產品生產、技術研發(fā)、系統(tǒng)運營等相關活動中進行的漏洞分類、漏洞危害等級評估等工作。

2　規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是標注日期的引用文件，僅標注日期的版本適用于本文件。凡是不標注日期的引用文件，其最新版本（包括所有的修改）適用于本文件。

GB/T 20984　信息安全技術　信息安全風險評估規(guī)范
GB/T 22186　信息安全技術  具有中央處理器的 IC 卡芯片安全技術要求
GB/T 25069　信息安全技術  術語
GB/T 28458　信息安全技術　安全漏洞標識與描述規(guī)范
GB/T 30276　信息安全技術　安全漏洞管理規(guī)范

3　術語和定義

GB/T 25069、GB/T 20984、GB/T 28458、GB/T 30276中界定的術語和以下定義適用于本文件。
受影響組件　impacted component
在網絡產品或系統(tǒng)中，漏洞觸發(fā)受影響的組件。

4　縮略語

下列縮略語適用于本文件。
SQL 結構化查詢語言(Structured Query Language)

5　網絡安全漏洞分類

5.1　概述

網絡安全漏洞分類是基于漏洞產生或觸發(fā)的技術原因對漏洞進行的劃分，分類導圖如圖1所示。本標準采用樹形導圖對漏洞進行分類，首先從根節(jié)點開始，根據(jù)漏洞成因將漏洞歸入某個具體的類別，如果該類型節(jié)點有子類型節(jié)點，且漏洞成因可以歸入該子類型，則將漏洞劃分為該子類型，如此遞歸，直到漏洞歸入的類型無子類型節(jié)點或漏洞不能歸入子類型為止。

圖1　網絡安全漏洞分類導圖

5.2　代碼問題

5.2.1　概述
此類漏洞指網絡產品或系統(tǒng)的代碼開發(fā)過程中因設計或實現(xiàn)不當而導致的漏洞。
5.2.2　資源管理錯誤
此類漏洞指因對系統(tǒng)資源（如內存、磁盤空間、文件、CPU使用率等）的錯誤管理導致的漏洞。
5.2.3　輸入驗證錯誤

5.2.3.1　概述

此類漏洞指因對輸入的數(shù)據(jù)缺少正確的驗證而產生的漏洞。

5.2.3.2　緩沖區(qū)錯誤

此類漏洞指在內存上執(zhí)行操作時，因缺少正確的邊界數(shù)據(jù)驗證，導致在其向關聯(lián)的其他內存位置上執(zhí)行了錯誤的讀寫操作，如緩沖區(qū)溢出、堆溢出等。

5.2.3.3　注入

5.2.3.4　路徑遍歷

此類漏洞指因未能正確地過濾資源或文件路徑中的特殊元素，導致訪問受限目錄之外的位置。

5.2.3.5　后置鏈接

此類漏洞指在使用文件名訪問文件時，因未正確過濾表示非預期資源的鏈接或者快捷方式的文件名，導致訪問了錯誤的文件路徑。

5.2.3.6　跨站請求偽造

此類漏洞指在WEB應用中，因未充分驗證請求是否來自可信用戶，導致受欺騙的客戶端向服務器發(fā)送非預期的請求。
5.2.4　數(shù)字錯誤
此類漏洞指因未正確計算或轉換所產生數(shù)字，導致的整數(shù)溢出、符號錯誤等漏洞。
5.2.5　競爭條件問題
此類漏洞指因在并發(fā)運行環(huán)境中，一段并發(fā)代碼需要互斥地訪問共享資源時，因另一段代碼在同一個時間窗口可以并發(fā)修改共享資源而導致的安全問題。
5.2.6　處理邏輯錯誤
此類漏洞是在設計實現(xiàn)過程中，因處理邏輯實現(xiàn)問題或分支覆蓋不全面等原因造成。
5.2.7　加密問題
此類漏洞指未正確使用相關密碼算法，導致的內容未正確加密、弱加密、明文存儲敏感信息等問題。
5.2.8　授權問題
此類漏洞指因缺少身份驗證措施或身份驗證強度不足而導致的安全問題。

5.2.9　數(shù)據(jù)轉換問題
此類漏洞是指程序處理上下文因對數(shù)據(jù)類型、編碼、格式、含義等理解不一致導致的安全問題。
5.2.10　未聲明功能
此類漏洞指通過測試接口、調試接口等可執(zhí)行非授權功能導致的安全問題。
例如，若測試命令或調試命令在使用階段仍可用，則可被攻擊者用于顯示存儲器內容或執(zhí)行其它功能。

5.3　配置錯誤

5.4　環(huán)境問題

5.4.1　概述
此類漏洞指因受影響組件部署運行環(huán)境的原因導致的安全問題。
5.4.2　信息泄露

5.4.3　故障注入
此類漏洞是指通過改變運行環(huán)境（如溫度、電壓、頻率等，或通過注入強光等方式）觸發(fā)，可能導致代碼、系統(tǒng)數(shù)據(jù)或執(zhí)行過程發(fā)生錯誤的安全問題。

5.5　其他

暫時無法將漏洞歸入上述任何類別，或者沒有足夠充分的信息對其進行分類，漏洞細節(jié)未指明。

6　網絡安全漏洞分級

6.1　概述

網絡安全漏洞分級根據(jù)漏洞分級的場景不同，分為技術分級和綜合分級兩種分級方式，每種分級方式均包括超危、高危、中危和低危四個等級。其中，技術分級反映特定產品或系統(tǒng)的漏洞危害程度，用于從技術角度對漏洞危害等級進行劃分，主要針對漏洞分析人員、產品開發(fā)人員等特定產品或系統(tǒng)漏洞的評估工作。綜合分級反映在特定時期特定環(huán)境下漏洞危害程度，用于在特定場景下對漏洞危害等級進行劃分，主要針對用戶對產品或系統(tǒng)在特定網絡環(huán)境中的漏洞評估工作。漏洞技術分級和綜合分級均可對單一漏洞進行分級，也可對多個漏洞構成的組合漏洞進行分級。
網絡安全漏洞分級包括分級指標和分級方法兩方面內容。分級指標主要闡述反映漏洞特征的屬性和賦值，包括被利用性指標類、影響程度指標類和環(huán)境因素指標類等三類指標。分級方法主要闡述漏洞技術分級和綜合分級的具體步驟和方法，包括漏洞指標類評級方法、漏洞技術分級方法和漏洞綜合分級方法，其中，漏洞指標類評級方法是對上述三類指標進行評級的方法，是漏洞技術分級和綜合分級必要步驟。

6.2　網絡安全漏洞分級指標

6.2.1　被利用性

6.2.1.1　訪問路徑

“訪問路徑”指觸發(fā)漏洞的路徑前提，反映漏洞觸發(fā)時，需要與受影響組件的最低接觸程度。
訪問路徑的賦值包括：網絡、鄰接、本地和物理。通?？赏ㄟ^網絡觸發(fā)的漏洞被利用性可能性高于可通過鄰接網絡觸發(fā)的漏洞，可通過本地觸發(fā)的網絡安全漏洞次之，可通過物理接觸觸發(fā)的漏洞被利用可能性最低，見表1。
表1　訪問路徑賦值說明表

6.2.1.2　觸發(fā)要求

“觸發(fā)要求”是指漏洞成功觸發(fā)對受影響組件所在系統(tǒng)環(huán)境、配置等限制條件的需求程度，指標反映由于受影響組件及其所在系統(tǒng)環(huán)境的版本、配置等原因，漏洞成功觸發(fā)的要求。
觸發(fā)要求的賦值包括：低、高，通常觸發(fā)要求低的漏洞危害程度高，見表2。
表2　觸發(fā)要求賦值說明表

6.2.1.3　權限需求

“權限需求”是指觸發(fā)漏洞所需的權限，反映漏洞成功觸發(fā)需要的最低的權限。
權限需求的賦值包括：無、低和高，通常所需要的權限越少漏洞危害程度越高，見表3。
表3　權限需求賦值說明表

6.2.1.4　交互條件

“交互條件”是指漏洞觸發(fā)是否需要外部用戶或系統(tǒng)的參與、配合，反映漏洞觸發(fā)時，是否需要除觸發(fā)漏洞的主體之外的其他主體（如：系統(tǒng)用戶、其他系統(tǒng)等）參與。
交互條件的賦值包括：不需要、需要。通常不需要交互條件就能夠觸發(fā)的漏洞危害程度較高，見表4。
表4　交互條件賦值說明表

6.2.2　影響程度

• “影響程度”指觸發(fā)漏洞對受影響組件造成的損害程度。影響程度根據(jù)受漏洞影響的各個對象承所載信息的保密性、完整性、可用性等三個指標決定，每個指標的影響賦值為：嚴重、一般和無，見表5、表6、表7。
• “保密性影響”指標反映漏洞對受影響實體（如：系統(tǒng)、模塊、軟硬件等）承載（如：處理、存儲、傳輸?shù)龋┬畔⒌谋Ｃ苄缘挠绊懗潭取?/li>
• “完整性影響”指標反映漏洞對受影響實體（如：系統(tǒng)、模塊、軟硬件等）承載（如：處理、存儲、傳輸?shù)龋┬畔⒌耐暾缘挠绊懗潭取?/li>
• “可用性影響”指標反映漏洞對受影響實體（如：系統(tǒng)、模塊、軟硬件等）承載（如：處理、存儲、傳輸?shù)龋┬畔⒌目捎眯缘挠绊懗潭取?br>表5　保密性影響賦值說明表

表6　完整性影響賦值說明表

表7　可用性影響賦值說明表

6.2.3　環(huán)境因素

6.2.3.1　被利用成本

被利用成本包括：低、中、高。通常成本越低，漏洞的危害越嚴重。如表8所示。
“被利用成本”指標反映，在參考環(huán)境下（例如：當前全球互聯(lián)網環(huán)境；或者某企業(yè)內網環(huán)境等），漏洞觸發(fā)所需的成本。例如：是否有公開的漏洞觸發(fā)工具、漏洞觸發(fā)需要的設備是否容易獲取等。
表8　被利用成本賦值說明表

6.2.3.2　修復難度

修復難度包括：高、中、低。通常漏洞修復的難度越高，危害越嚴重。如表9所示。
“修復難度”指標反映，在參考環(huán)境下（例如：當前全球互聯(lián)網環(huán)境；或者某企業(yè)內網環(huán)境等），修復漏洞所需的成本。
表9　修復難度賦值說明表

6.2.3.3　影響范圍

影響范圍包括：高、中、低、無。通常漏洞對環(huán)境的影響越高，危害越嚴重。如表10所示。
影響范圍指標描述反映漏洞觸發(fā)對環(huán)境的影響，漏洞受影響組件在環(huán)境中的重要性。
表10　影響范圍賦值說明表

6.3　網絡安全漏洞分級方法

6.3.1　概述
網絡安全漏洞分級是指采用分級的方式對網絡安全漏洞潛在危害的程度進行描述，包括技術分級和綜合分級兩種分級方式，每種方式均分為超危、高危、中危和低危四個等級，具體內容如下：

漏洞分級過程主要包括最初的指標賦值、中間的指標評級和最后的分級計算三個步驟，其中，指標賦值是對根據(jù)具體漏洞對每個漏洞分級指標進行人工賦值；指標評級是根據(jù)指標賦值結果分別對被利用性、影響程度和環(huán)境因素等三個指標類進行評級；分級計算是根據(jù)指標評級計算產生技術分級或綜合分級的結果，技術分級結果由被利用性和影響程度兩個指標類計算產生，綜合分級由被利用性、影響程度和環(huán)境因素三個指標類計算產生。

圖2　漏洞分級流程圖

6.3.2　網絡安全漏洞指標評級

6.3.2.1　被利用性評級

被利用性評級反映網絡安全漏洞觸發(fā)的技術可能性。被利用性指標組中各指標的不同取值的組合對應不同的被利用性級別。被利用性級別分為9級，用1-9的數(shù)字表示，數(shù)值越大被利用的可能性越高，詳見附錄A。

6.3.2.2　影響程度評級

影響程度評級反映網絡安全漏洞觸發(fā)造成的危害程度。影響程度指標組中各指標的不同取值的組合對應不同的影響程度級別。不同的影響程度級分為9級，用1-9的數(shù)字表示，數(shù)值越大導致的危害程度越高，詳見附錄B。

6.3.2.3　環(huán)境因素評級

環(huán)境因素是對漏洞進行評級是需要考慮的漏洞所處的網絡環(huán)境、當前漏洞被利用的技術程度等外部環(huán)境。環(huán)境因素評級反映在參考環(huán)境下，漏洞的危害程度。環(huán)境因素指標組中各指標的不同取值的組合對應不同的環(huán)境因素級別。不同的環(huán)境因素級別分為9級，用1-9的數(shù)字表示，數(shù)值環(huán)境因素導致的漏洞危害程度越高，詳見附錄C。
6.3.3　網絡安全漏洞技術分級
網絡安全漏洞技術分級分為：超危、高危、中危、低危四個級別。網絡安全漏洞技術分級由被利用性和影響程度兩個指標類決定，漏洞被利用可能性越高（被利用性評級越高）、影響程度越嚴重（影響程度評級越高），漏洞技術分級的級別越高（漏洞危害程度越大）。漏洞技術分級方法如下：

• 首先，對被利用性指標進行賦值，根據(jù)賦值結果，參照附錄A計算得到漏洞被利用性評級。
• 然后，對影響程度指標進行賦值，根據(jù)賦值結果，參照附錄B計算得到影響程度評級。
• 最后，根據(jù)被利用性和影響程度評級的結果，參照附錄D，計算得到網絡安全漏洞技術分級。

6.3.4　網絡安全漏洞綜合分級
網絡安全漏洞綜合分級分為：超危、高危、中危、低危四個級別。網絡安全漏洞綜合分級由被利用性、影響程度和環(huán)境因素三個指標類決定，漏洞被利用可能性越高（被利用性評級越高）、影響程度越嚴重（影響程度評級越高），環(huán)境對漏洞影響越敏感（環(huán)境因素評級越高），漏洞綜合分級的級別越高（漏洞危害程度越大）。漏洞綜合分級方法如下：

• 首先，對漏洞進行技術分級，根據(jù)前述漏洞技術分級步驟，對被利用性指標進行賦值，根據(jù)賦值結果，參照附錄A計算得到漏洞被利用性評級；對影響程度指標進行賦值，根據(jù)賦值結果，參照附錄B計算得到影響程度評級；根據(jù)被利用性和影響程度評級的結果，參照附錄D，計算得到網絡安全漏洞技術分級。
• 然后，對環(huán)境因素指標進行賦值，根據(jù)賦值結果，參照附錄C計算得到漏洞環(huán)境因素評級。
• 最后，根據(jù)技術評級和環(huán)境因素評級的結果，參照附錄E，計算得到網絡安全漏洞綜合分級。

附　錄　A（規(guī)范性附錄）被利用性評級表

表A.1 被利用性評級表

表A.1 （續(xù)）

備注 按照“訪問路徑”、“觸發(fā)要求”、“權限需求”、“交互程度”的不同，可分為48種組合情況，按照每種組合的被利用程度的差異，從高到低可分為9個級別。

附　錄　B（規(guī)范性附錄）影響程度評級表

表B.1　影響程度評級表

附　錄　C（規(guī)范性附錄）環(huán)境因素評級表

表C.1　環(huán)境因素評級表

附　錄　D（規(guī)范性附錄）漏洞技術評級表

表D.1　漏洞技術評級表

附　錄　E（規(guī)范性附錄）漏洞綜合評級表

表E.1　漏洞綜合評級表

附　錄　F（規(guī)范性附錄）漏洞評級示例

示例一 OpenSSL 緩沖區(qū)溢出（CVE-2014-0160）漏洞分級示例

1、漏洞名稱
OpenSSL 緩沖區(qū)溢出（CVE-2014-0160）
2、漏洞簡介
OpenSSL的TLS和DTLS實現(xiàn)過程中的d1_both.c和t1_lib.c文件中存在安全漏洞，該漏洞源于當處理Heartbeat Extension數(shù)據(jù)包時，缺少邊界檢查。遠程攻擊者可借助特制的數(shù)據(jù)包利用該漏洞讀取服務器內存中的敏感信息(如用戶名、密碼、Cookie、私鑰等)。
3、漏洞評級：
表F.1　CVE-2014-0160漏洞評級表

4、漏洞分級
通過上述表格，CVE-2014-0160漏洞的被利用性為9級、影響程度為4級，因此技術評級為高危；同時，該漏洞的環(huán)境因素為7級，結合技術評級為高危，可知該漏洞的綜合評級為高危。

示例二 開源軟件 Plait plaiter 文件覆蓋（CVE-2008-4085）漏洞分級示例

1、漏洞名稱
開源軟件 Plait plaiter 文件覆蓋（CVE-2008-4085）
2、漏洞簡介
Plait是一款命令行方式的音樂播放軟件。
Plait 1.6之前版本的plaiter存在文件覆蓋漏洞。本地用戶可通過在cut.$$,head.$$, awk.$$,ps.$$ 的臨時文件中使用symlink，覆蓋任意文件。
3、漏洞評級：
表F.2　CVE-2008-4085漏洞評級表

4、漏洞分級
通過上述表格，CVE-2008-4085漏洞的被利用性為6級、影響程度為3級，因此技術評級為中危；同時，該漏洞的環(huán)境因素為3級，結合技術評級為中危，可知該漏洞的綜合評級為低危。

參?考?文?獻

[1]Common Vulnerability Scoring System v3.1: Specification Document
[2]Common Weakness Enumeration List Version 3.1文章來源地址http://www.zghlxwxcb.cn/news/detail-636160.html

到了這里，關于信息安全技術 網絡安全漏洞分類分級指南（GB/T 30279-2020 ）的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網！