2021信息安全技术网络安全漏洞分类分级指南

信息安全技术网络安全漏洞分类分级指南

目次

前言.................................................................................II

5范围....................................................................................1

6规范性引用文件.........................................................................1

7术语和定义.............................................................................1

8网络安全漏洞分类.......................................................................1

8.3概述...............................................................................1

8.4按成因分类.........................................................................1

8.4.1概述...........................................................................1

8.4.2配置错误.....................................................................2

8.4.3代码问题......................................................................2

8.4.4环境问题......................................................................4

8.4.5其他...........................................................................5

8.5按位置分类.........................................................................5

8.5.1协同层.........................................................................5

8.5.2应用层.........................................................................5

8.5.3系统层.........................................................................5

8.5.4网络层.........................................................................5

8.5.5硬件层.........................................................................5

9网络安全漏洞分级方法..................................................................5

9.3概述...............................................................................5

9.4安全漏洞指标.......................................................................6

9.4.1被利用性.....................................................................6

9.4.2影响程度.......................................................................7

9.4.3环境因素......................................................................8

9.5网络安全漏洞分级..................................................................10

9.5.1网络安全漏洞指标评级.........................................................10

9.5.2网络安全漏洞危害技术分级.....................................................10

9.5.3网络安全漏洞危害综合分级.....................................................10

附录A（规范性附录）被利用性评级表....................................................11

附录B（规范性附录）影响程度评级表....................................................15

附录C（规范性附录）环境因素评级表....................................................16

附录D（规范性附录）漏洞技术评级表....................................................17

附录E（规范性附录）漏洞综合评级表....................................................18

参考文献...........................................................................19

I

信息安全技术网络安全漏洞分类分级指南

4范围

本标准规定了网络安全漏洞（简称“漏洞”）的分类方式、分级指标及漏洞分级方法。

本标准适用于网络安全漏洞管理组织、漏洞发布机构等的漏洞分类管理、漏洞危害程度评估和认定等

工作。

5规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是标注日期的引用文件，仅标注日期的版本适用于本文

件。凡是不标注日期的引用文件，其最新版本（包括所有的修改）适用于本文件。

GB250信息安全技术术语

/T69

GB209信息安全技术信息安全风险评估规范

/T84

GB284信息安全技术安全漏洞标识与描述规

/T58范

GB302信息安全技术安全漏洞管理规范

/T76

6术语和定义

GB/T25069、GB/T20984、GB/T28458、GB/T30276中界定的术语和以下定义适用于本文件。

3.1

受影响组件impactedcomponent

在网络产品或系统中，漏洞触发后，受该漏洞影响的组件。

7网络安全漏洞分类

7.3概述

网络安全漏洞分类指按照漏洞的特征（如：漏洞成因、漏洞位置等）来划分类别的操作。

7.4按成因分类

7.4.1概述

按成因分类是基于漏洞产生或触发的技术原因对漏洞进行的划分，分类导图如图1所示。本标准采

用树形导图对漏洞进行分类，首先从根节点开始，根据漏洞成因将漏洞归入某个具体的类别，如果该类型节

点有子类型节点，且漏洞成因可以归入该子类型，则将漏洞划分为该子类型，如此递归，直到漏洞归入的类型

无子类型节点或漏洞不能归入子类型为止。

格式化/礼事由或

各安口押U增g，类5

除外$绩♦令注入

粉站・本

州人

7.4.2代码问题・入餐“常试苗♦住人—

・聆*加

•iht入

•概述代~”电—代引住人

敏字谓以

卬因攻计或实』血

此类漏洞指网络系统或产品TJ15芍力-及I过程如上人

缓冲区错误

「LJA信且・・

此类漏洞指在P岭城H黑祚B确的边界数据验证,导致在其向关联的其他内存位置上执

行了错误的读写榛T八甫^”区溢出、堆溢出等9雪山瓦

注入

4.2.2.3.3.1概述

3

此类漏洞指在通过用户输入构造命令、数据结构或记录的操作过程中，由于缺乏对用户输入数据的正

确验证，导致未过滤或未正确过滤掉其中的特殊元素，引发的解析或解释方式错误问题。

・格式化字符串错误

此类漏洞指接收外部格式化字符串作为参数时，因参数类型、个数过滤不严格，导致的越界访问问

题。

•跨站脚本

此类漏洞是指在WEB应用中，因缺少对客户端数据的正确验证，导致向其他客户端提供了错误的

执行代码的问题。

•命令注入

•概述

此类漏洞指在构造可执行命令过程中，因未正确过滤其中的特殊元素，导致生成了错误的可执行命

令。

•操作系统命令注入

此类漏洞指在构造操作系统可执行命令过程中，因未正确过滤其中的特殊字符、命令等，导致生成

了错误的操作系统执行命令。

•参数注入

此类漏洞指在构造命令参数过程中，因未正确过滤参数中的特殊字符，导致生成了错误的执行命令。

•代码注入

此类漏洞指在通过外部输入数据构造代码段的过程中，因未正确过滤其中的特殊元素，导致生成了错

误的代码段，修改了网络系统或组件的预期的执行控制流。

•SQL注入

此类漏洞指在基于数据库的应用中，因缺少对构成SQL语句的外部输入数据的验证，导致生成并执行

了错误的SQL语句。

•路径遍历

此类漏洞指因未能正确地过滤资源或文件路径中的特殊元素，导致访问受限目录之外的位置。

•后置链接

此类漏洞指在使用文件名访问文件时，因未正确过滤表示非预期资源的链接或者快捷方式的文件名

,导致访问了错误的文件路径。

•数字错误

此类漏洞指因未正确计算或转换所产生的的数字，导致的整数溢出、符号错误等问题。

•竞争条件问题

此类漏洞指因在并发运行环境中，一段并发代码需要互斥地访问共享资源时，因另一段代码在同一个

时间窗口可以并发修改共享资源而导致的安全问题。

•处理逻辑错误

此类漏洞是在设计实现过程中，因处理逻辑实现问题或分支覆盖不全面等原因造成的漏洞。

・安全特征问题

・概述

此类漏洞是指因缺少身份验证、访问控制、权限管理等安全措施，导致的相关漏洞。

•授权问题

此类漏洞指因缺少身份验证措施或身份验证强度不足而导致的安全问题。

•数据伪造问题

4.2.2.7.3.1概述

此类漏洞是指因未充分验证数据的来源或真实性，导致接受伪造的数据而产生的问题。

•跨站请求伪造

此类漏洞是指在WEB应用中，因未充分验证有效的请求是否来自可信用户，导致受欺骗的客户端

向服务器发送非预期的请求。

•信任管理问题

此类漏洞是因缺乏有效的信任管理机制，导致受影响组件存在可被攻击者利用的默认密码或者硬编码

密码、硬编码证书等问题。

・权限许可和访问控制问题

此类漏洞指因缺乏有效的权限许可和访问控制措施而导致的安全问题。

4.2.2.7.5.1访问控制错误

此类漏洞指因未正确限制来自未授权角色的资源访问而导致的安全问题。

•加密问题

此类漏洞指未正确使用相关密码算法，导致的内容未正确加密、弱加密、明文存储敏感信息等问题。

4.2.3配置错误

此类漏洞指网络系统或组件在配置过程中由于网络系统或组件使用过程中的不合理配置造成的，但是

不包括网络系统或组件开发过程中产生的代码中的漏洞。

4.2.3.1默认配置错误

此类漏洞指因默认不安全的配置状态而产生的漏洞。

4.2.4环境问题

4.2.4.1概述

此类漏洞指因环境因素导致的安全问题。

5

4.2.4.2信息泄露

此类漏洞是指在运行过程中，因配置等错误导致的受影响组件的信息泄露问题。

4.2.4.2.1日志信息泄露

此类漏洞指因日志文件非正常输出导致的信息泄露。

4.2.4.2.2调试信息泄露

此类漏洞指在运行过程中因调试信息输出导致的信息泄露。

4.2.5其他

暂时无法将漏洞归入上述任何类别，或者没有足够充分的信息对其进行分类，漏洞细节未指明。

1.1按位置分类

1.1.1协同层

协同层漏洞影响依靠网络构成的实现复杂应用的网络协同机制，位于两种以上网络产品或系统协同交

互的层面部分，如：分布式业务系统、云计算系统、传感器网络、区块链系统、工控系统等类似受影响组件的

漏洞。

1.1.2应用层

应用层漏洞影响实现业务应用功能的应用系统，位于网络产品或系统中的业务应用部分，如：办公软

件漏洞、WEB浏览器漏洞、FTP服务漏洞、邮件系统漏洞等。

1.1.3网络层

网络层漏洞主要来自网络的缺陷，如网络层身份认证、网络资源访问控制、数据传输保密与完整性、远程

接入安全、域名系统安全等。

1.1.4系统层

系统层漏洞影响可部署的实现完整功能的基础软件和设备，位于网络产品或系统中可部署的基础软硬

件部分，如：操作系统漏洞、数据库系统漏洞、中间件漏洞、开发语言框架漏洞等。

1.1.5硬件层

硬件层漏洞影响最基本的信息处理、表示、存储等硬件，位于网络产品或系统最底层的硬件实现部分

,如：芯片漏洞、电路漏洞等类似受影响组件的漏洞。

8网络安全漏洞分级

8.3概述

网络安全漏洞分级指按照漏洞危害程度对进行等级划分，包括网络安全漏洞技术分级和网络安全漏洞

综合分级两个方面。

技术分级反映从技术角度对漏洞危害等级的评估，用于从技术层面描述漏洞的危害程度；综合分级反

映在特定的参考环境下对漏洞危害等级的评估，用于描述漏洞在参考环境下的危害程度。漏洞技术分

级和综合分级均可对单一漏洞进行分级，也可对多个漏洞构成的组合漏洞进行评级。漏洞技术分级和综合

分级均包含超危、高危、中危和低危四个等级。

超危：漏洞可以非常容易地对目标对象造成特别严重后果。

高危：漏洞可以容易地对目标对象造成严重后果。

中危：漏洞可以对目标对象造成一般后果，或者比较困难地对目标造成严重后果。

低危：漏洞可以对目标对象造成轻微后果，或者比较困难地对目标对象造成一般严重后果，或者非常困

难地对目标对象造成严重后果。

8.4安全漏洞评级指标

8.4.1被利用性

•访问路径

“访问路径”指触发漏洞的路径前提，反映漏洞触发时，需要与受影响组件的最低接触程度。

访问路径的赋值包括：网络、邻接、本地和物理。通常可通过网络触发的漏洞被利用性可能性高于可通

过邻接网络触发的漏洞，可通过本地触发的网络安全漏洞次之，可通过物理接触触发的漏洞被利用可能性最低

，见表1。

表1访问路径赋值说明表

描

赋值

述

网络网络安全漏洞可以通过网络远程触发。

邻接网络安全漏洞需通过共享的物理网络或逻辑网络触发。

本地网络安全漏洞需要在本地环境中触发。

物理网络安全漏洞需通过物理接触/操作才能触发。

•触发要求

“触发要求”是指漏洞成功触发对受影响组件所在系统环境、配置等限制条件的要求程度，指标反映由

于受影响组件及其所在系统环境的版本、配置等原因，漏洞成功触发的要求。

触发要求的赋值包括：低、高，通常触发要求低的漏洞危害程度高，见表2。

表2触发要求赋值说明表

赋

描

值

述

漏洞触发对受影响组件的配置参数、运行环境、版本等无特别要求，包括：默认的配

低置

参数、普遍的运行环境。

漏洞触发对受影响组件的配置参数、运行环境等有特别要求，包括：不常用的参数配置

高

特殊的运行环境要求。

权限需求

7

“权限需求”是指触发漏洞所需的权限，反映漏洞成功触发需要的最低的权限。

权限需求的赋值包括：无、低和高，通常所要求的权限要求越少漏洞危害程度越高，见表3。

表3权限需求赋值说明表

描

赋值

述

无网络安全漏洞触发无需特殊的权限，只需要公开权限和匿名访问权限。

低网络安全漏洞触发需要较低的权限，需要普通用户权限。

高网络安全漏洞触发需要较高的权限，需要管理员权限。

•交互条件

“交互条件”是指漏洞触发是否需要外部用户或系统的参与、配合，反映漏洞触发时，是否需要除触发

漏洞的主体之外的其他主体（如：系统用户、其他系统等）参与。

交互条件的赋值包括：不需要、需要。通常不需要交互条件就能够触发的漏洞危害程度较高，见表

表4交互条件赋值说明表

赋值描

述

不需网络安全漏洞触发无需用户或系统的参与或配合。

要

需要网络安全漏洞触发需要用户或系统的参与或配合。

8.4.2影响程度

“影响程度”指触发漏洞对受影响组件造成的损害程度。影响程度根据受漏洞影响的各个对象承

所载信息的保密性、完整性、可用性等三个指标决定，每个指标的影响赋值为：严重、一般和无，见表5、

表6、表7。

“保密性影响”指标反映漏洞对受影响实体（如：系统、模块、软硬件等）承载（如：处理、存储、传

输等）信息的保密性的影响程度。

“完整性影响”指标反映漏洞对受影响实体（如：系统、模块、软硬件等）承载（如：处理、存储、传

输等）信息的完整性的影响程度。

“可用性影响”指标反映漏洞对受影响实体（如：系统、模块、软硬件等）承载（如：处理、存储、传

输等）信息的可用性的影响程度。

表5保密性影响赋值说明表

描

赋值

述

信息保密性影响严重。例如：保密性完全丢失，导致受影响组件的所有信息资源暴露给

严重攻

击者；或者攻击者只能得到一些受限信息，但被暴露的信息可以直接导致严重的信息丢失。

信息保密性影响一般。例如：保密性部分丢失，攻击者可以获取一些受限信息，但是

一般攻击者不能控制获得信息的数量和种类。被暴露的信息不会引起受影响组件直接的、

严重的信

9

息丢失。

无信息保密性无影响。漏洞对保密性不产生影响。

表6完整性影响赋值说明表

描

赋值

述

信息完整性破坏严重，例如：完整性完全丢失，攻击者能够修改受影响组件中的任何信息；

严重

或者，攻击者只能修改一些信息，但是，能够对受影响组件带来严重的后果。

信息完整性破坏程度一般，例如：完整性部分丢失，攻击者可以修改信息，信息修改不

一般会

给受影响组件带来严重的影响。

无信息完整性无影响。漏洞对完整性不产生影响。

表7可用性影响赋值说明表

赋值描

述

信息可用性破坏严重。可用性完全丧失，攻击者能够完全破坏对受影响组件中信息资源

严重的使用访问：或者，攻击者可破坏部分信息的可用性，但是能够给受影响组件带来直接

严重

的后果。

信息可用性破坏程度一般。可用性部分丧失，攻击者能够降低信息资源的性能或者中断

一般其可用性。受影响组件的资源是部分可用的，或在某些情况是完全可用的，但总体上不

会给

受影响组件带来直接严重的后果。

无信息可用性无影响。漏洞对可用性不产生影响。

8.4.3环境因素

•被利用成本

被利用成本包括：低、中、高。通常成本越低，漏洞的危害越严重。如表8所示。

“被利用成本”指标反映，在参考环境下（例如：当前全球互联网环境；或者某企业内网环境等），漏

洞触发所需的成本。例如：是否有公开的漏洞触发工具、漏洞触发需要的设备是否容易获取等。

表8被利用成本赋值说明表

描

赋值

述

漏洞触发所需资源很容易获取，成本低，通常付出很少的成本即可成功触发漏洞。例如

低

漏洞触发工具已被公开下载、漏洞脆弱性组件暴露在公开网络环境下等。

漏洞触发所需的部分资源比较容易获取，成本不高，在现有条件基础上通过一定的技

中术、资源投入可以触发漏洞。例如：漏洞触发原理已公开但是无相应工具、漏洞触发

需要某种

硬件设备、漏洞触发需要一定的网络资源等。

11

漏洞触发需要的资源多，成本高，难于获取。例如：漏洞脆弱性组件未暴露在公开网络

高

漏洞触发工具难以获取等。

修复难度

修复难度包括：高、中、低。通常漏洞修复的难度越高，危害越严重。如表9所示。

“修复难度”指标反映，在参考环境下（例如：当前全球互联网环境；或者某企业内网环境等），

修复漏洞所需的成本。

表9修复难度赋值说明表

描

赋

述

值

缺少有效、可行的修复方案，或者修复方案难以执行。例如：无法获取相应的漏洞补丁、

高由

于某种原因无法安装补丁等。

虽然有修复方案，但是需要付出一定的成本，或者修复方案可能影响系统的使用，或者修

中复

方案非常复杂，适用性差。例如：虽然有临时漏洞修复措施但是需要关闭某些网络服务等

0

低己有完善的修复方案。例如：已有相应漏洞的补丁等。

影响范围

影响范围包括：高、中、低、无。通常漏洞对环境的影响越高，危害越严重。如表10所示。

影响范围指标描述反映漏洞触发对环境的影响，漏洞受影响组件在环境中的重要性。

表10影响范围赋值说明表

赋

描

值

述

触发漏洞会对系统、资产等造成严重影响。例如：对环境中大部分资产造成影响，通常高于50%；

高

或者受影响实体处于参考环境的重要位置，或者具有重要作用。

触发漏洞会对系统、资产等造成中等程度的影响。例如：对环境中相当部分资产造成影响；

中通常

介于10%-50%;或者受影响实体处于参考环境的比较重要位置，或者具有比较重要的作用。

触发漏洞只会对系统、资产等造成轻微的影响。例如：只对环境中小部分资产造成影响：通

低常低

于10%；或者受影响实体处于参考环境的不重要位置，或者具有不重要作用。

无触发漏洞不会对系统、资产等造成任何资产损失。

1.1网络安全漏洞分级方法

1.1.1网络安全漏洞指标评级

•被利用性评级

被利用性评级反映网络安全漏洞触发的技术可能性。被利用性指标组中各指标的不同取值的组合对应

不同的被利用性级别。被利用性级别分为9级，用1-9的数字表示，数值越大被利用的可能性越高，详见附录

A«

影响程度评级

13

影响程度评级反映网络安全漏洞触发造成的危害程度。影响程度指标组中各指标的不同取值的组合对

应不同的影响程度级别。不同的影响程度级分为9级，用『9的数字表示，数值越大导致的危害程度越高，详

见附录B。

•环境因素评级

环境因素评级反映在参考环境下，漏洞的危害程度。环境因素指标组中各指标的不同取值的组合对应

不同的环境因素级别。不同的环境因素级别分为9级，用1-9的数字表示，数值环境因素导致的漏洞危害程度

越高，详见附录以

1.1.2网络安全漏洞危害技术分级

网络安全漏洞危害技术分级反映从技术角度对漏洞危害等级的评估，用于从技术层面描述漏洞的危害

程度，分为：超危、高危、中危、低危四个级别。网络安全漏洞危害技术分级与被利用性和影响程度两方面指

标相关，分级方法如下：

首先，对被利用性指标进行赋值，根据赋值结果得到被利用性评级，详见附录A；然

后，对影响程度指标进行赋值，根据赋值结果得到影响程度评级，详见附录B；

最后，根据被利用性和影响程度评级的结果对网络安全漏洞技术分级进行评估，详见附录D。

1.1.3网络安全漏洞危害综合分级

网络安全漏洞危害综合分级反映在特定的参考环境下对漏洞危害等级的评估，用于描述漏洞在参考

环境下的危害程度，分为：超危、高危、中危、低危四个级别。网络安全漏洞危害综合分级与被利用性、影响程度

和环境因素均相关，分级方法如下：

首先对漏洞进行技术分级，详见附录A、附录B、附录D；

然后对环境因素指标进行赋值，根据赋值结果得到环境因素评级，详见附录C；

最后，根据技术评级和环境因素评级的结果对网络安全漏洞综合分级进行评估，详见附录E。

15

附录A

（规范性附录）

被利用性评级表

序访问路触发要权限需交互条被利用性评级

号径求求件

1网络低无不需要9

2网络低低不需要

3网络低无需要

4邻接低无不需要8

5本地低无不需要

6网络高无不需要

7网络低低需要

8邻接低低不需要7

9网络低高不需要

10邻接低无需要

11本地低无需要6

12本地低低不需要

13网络高低不需要

14网络高无需要

5

15邻接高无不需要

16邻接低低需要

17邻接高无需要

18邻接高低不需要

19本地高无不需要4

20本地低低需要

21网络高低需要

22本地高低不需要

23网络高高不需要

24网络低高需要3

25邻接低高需要

26邻接低高不需要

27本地低另J不需要

28本地高无需要

2

29物理低无不需要

30网络iWj高需要

被利用性评级表（续）

31邻接高高不需要

32邻接高低需要

33本地低局需要

34物理低无需要

35物理低低不需要

36本地高高不需要

37本地高低需要

38邻接高高需要

39物理高无不需要

40物理低局不需要

41物理低低需要

42物理高低不需要

1

43本地高高需要

44物理高无需要

45物理高另J需要

46物理高高不需要

47物理高低需要

48物理低高需要

按照“访问路径”、“触发要求”、“权限需求”、“交互程度”的不同，

备

可分为种组合情况，按照每种组合的被利用程度的差异，从高到低可

注48

分为9个级别。

17

附录B

（规范性附录）

影响程度评级表

序严无影响程度分

号重般级

13009

22108

32017

41206

51115

61024

70303

80212

90121

本标准按照完整性、保密性、可用性权重相同，按照影响程度指标“严重”、“一般”、

“无”的数量进行影响程度的分级。如：严重出现2次，一般出现1次，无出现0次

备,则影响程度的组合可能性包括：完整性（严重）、保密性（严重）、可用性（一般

注）;完整性（严重）、保密性（一般）、可用性（严重）；完整性（一般）、保密

性（严重）、可用性（严重）三种情况。同时，这三种情况的影响程度分级均为8

级。

附录c

（规范性附录）

环境因素评级表

一

序影响范被利用成修复难环境因素评

号围本度级

1高低高9

2高低中

3高中高8

4中低高

5高低低

6高中中

7高高高7

8中低中

9中中高

10高中低

11高局中

12中低低6

13中中中

14中高高

15高局低

16中中低

5

17中高中

18低低高

19中高低

20低低中4

21低中高

22低低低

23低中中3

24低高高

25低中低

2

26低高中

27低高低