本标准按照GB/T 1.1—2009《标准化工作导则 第1部分：标准的结构和编写》给出的规则起草。 本标准代替GB/T 33561—2017《信息安全技术　安全漏洞分类》、GB/T 30279—2013《信息安全技术　安全漏洞等级划分指南》。 与GB/T 33561—2017、GB/T 30279—2013相比，除编辑性修改外的主要技术变化如下：

本标准由全国信息安全标准化技术委员会（TC260）提出并归口。 本标准起草单位：

本标准主要起草人：

本标准给出了网络安全漏洞（简称“漏洞”）的分类方式、分级指标及分级方法指南。 本标准适用于网络产品、服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织在漏洞信息管理，网络产品生产、技术研发、系统运营等相关活动中进行的漏洞分类、漏洞危害等级评估等工作。

下列文件对于本文件的应用是必不可少的。凡是标注日期的引用文件，仅标注日期的版本适用于本文件。凡是不标注日期的引用文件，其最新版本（包括所有的修改）适用于本文件。

GB/T 25069、GB/T 20984、GB/T 28458、GB/T 30276中界定的术语和以下定义适用于本文件。 受影响组件　impacted component 在网络产品或系统中，漏洞触发受影响的组件。

下列缩略语适用于本文件。 SQL 结构化查询语言(Structured Query Language)

网络安全漏洞分类是基于漏洞产生或触发的技术原因对漏洞进行的划分，分类导图如图1所示。本标准采用树形导图对漏洞进行分类，首先从根节点开始，根据漏洞成因将漏洞归入某个具体的类别，如果该类型节点有子类型节点，且漏洞成因可以归入该子类型，则将漏洞划分为该子类型，如此递归，直到漏洞归入的类型无子类型节点或漏洞不能归入子类型为止。

图1　网络安全漏洞分类导图

5.2.1　概述 此类漏洞指网络产品或系统的代码开发过程中因设计或实现不当而导致的漏洞。 5.2.2　资源管理错误 此类漏洞指因对系统资源（如内存、磁盘空间、文件、CPU使用率等）的错误管理导致的漏洞。 5.2.3　输入验证错误

5.2.3.1　概述

此类漏洞指因对输入的数据缺少正确的验证而产生的漏洞。

5.2.3.2　缓冲区错误

此类漏洞指在内存上执行操作时，因缺少正确的边界数据验证，导致在其向关联的其他内存位置上执行了错误的读写操作，如缓冲区溢出、堆溢出等。

5.2.3.3　注入

5.2.3.4　路径遍历

此类漏洞指因未能正确地过滤资源或文件路径中的特殊元素，导致访问受限目录之外的位置。

5.2.3.5　后置链接

此类漏洞指在使用文件名访问文件时，因未正确过滤表示非预期资源的链接或者快捷方式的文件名，导致访问了错误的文件路径。

5.2.3.6　跨站请求伪造

此类漏洞指在WEB应用中，因未充分验证请求是否来自可信用户，导致受欺骗的客户端向服务器发送非预期的请求。 5.2.4　数字错误 此类漏洞指因未正确计算或转换所产生数字，导致的整数溢出、符号错误等漏洞。 5.2.5　竞争条件问题 此类漏洞指因在并发运行环境中，一段并发代码需要互斥地访问共享资源时，因另一段代码在同一个时间窗口可以并发修改共享资源而导致的安全问题。 5.2.6　处理逻辑错误 此类漏洞是在设计实现过程中，因处理逻辑实现问题或分支覆盖不全面等原因造成。 5.2.7　加密问题 此类漏洞指未正确使用相关密码算法，导致的内容未正确加密、弱加密、明文存储敏感信息等问题。 5.2.8　授权问题 此类漏洞指因缺少身份验证措施或身份验证强度不足而导致的安全问题。

5.2.9　数据转换问题 此类漏洞是指程序处理上下文因对数据类型、编码、格式、含义等理解不一致导致的安全问题。 5.2.10　未声明功能 此类漏洞指通过测试接口、调试接口等可执行非授权功能导致的安全问题。 例如，若测试命令或调试命令在使用阶段仍可用，则可被攻击者用于显示存储器内容或执行其它功能。

5.4.1　概述 此类漏洞指因受影响组件部署运行环境的原因导致的安全问题。 5.4.2　信息泄露

5.4.3　故障注入 此类漏洞是指通过改变运行环境（如温度、电压、频率等，或通过注入强光等方式）触发，可能导致代码、系统数据或执行过程发生错误的安全问题。

暂时无法将漏洞归入上述任何类别，或者没有足够充分的信息对其进行分类，漏洞细节未指明。

网络安全漏洞分级根据漏洞分级的场景不同，分为技术分级和综合分级两种分级方式，每种分级方式均包括超危、高危、中危和低危四个等级。其中，技术分级反映特定产品或系统的漏洞危害程度，用于从技术角度对漏洞危害等级进行划分，主要针对漏洞分析人员、产品开发人员等特定产品或系统漏洞的评估工作。综合分级反映在特定时期特定环境下漏洞危害程度，用于在特定场景下对漏洞危害等级进行划分，主要针对用户对产品或系统在特定网络环境中的漏洞评估工作。漏洞技术分级和综合分级均可对单一漏洞进行分级，也可对多个漏洞构成的组合漏洞进行分级。 网络安全漏洞分级包括分级指标和分级方法两方面内容。分级指标主要阐述反映漏洞特征的属性和赋值，包括被利用性指标类、影响程度指标类和环境因素指标类等三类指标。分级方法主要阐述漏洞技术分级和综合分级的具体步骤和方法，包括漏洞指标类评级方法、漏洞技术分级方法和漏洞综合分级方法，其中，漏洞指标类评级方法是对上述三类指标进行评级的方法，是漏洞技术分级和综合分级必要步骤。

6.2.1　被利用性

6.2.1.1　访问路径

“访问路径”指触发漏洞的路径前提，反映漏洞触发时，需要与受影响组件的最低接触程度。 访问路径的赋值包括：网络、邻接、本地和物理。通常可通过网络触发的漏洞被利用性可能性高于可通过邻接网络触发的漏洞，可通过本地触发的网络安全漏洞次之，可通过物理接触触发的漏洞被利用可能性最低，见表1。 表1　访问路径赋值说明表

6.2.1.2　触发要求

“触发要求”是指漏洞成功触发对受影响组件所在系统环境、配置等限制条件的需求程度，指标反映由于受影响组件及其所在系统环境的版本、配置等原因，漏洞成功触发的要求。 触发要求的赋值包括：低、高，通常触发要求低的漏洞危害程度高，见表2。 表2　触发要求赋值说明表

6.2.1.3　权限需求

“权限需求”是指触发漏洞所需的权限，反映漏洞成功触发需要的最低的权限。 权限需求的赋值包括：无、低和高，通常所需要的权限越少漏洞危害程度越高，见表3。 表3　权限需求赋值说明表

6.2.1.4　交互条件

“交互条件”是指漏洞触发是否需要外部用户或系统的参与、配合，反映漏洞触发时，是否需要除触发漏洞的主体之外的其他主体（如：系统用户、其他系统等）参与。 交互条件的赋值包括：不需要、需要。通常不需要交互条件就能够触发的漏洞危害程度较高，见表4。 表4　交互条件赋值说明表

6.2.2　影响程度

表6　完整性影响赋值说明表

表7　可用性影响赋值说明表

6.2.3　环境因素

6.2.3.1　被利用成本

被利用成本包括：低、中、高。通常成本越低，漏洞的危害越严重。如表8所示。 “被利用成本”指标反映，在参考环境下（例如：当前全球互联网环境；或者某企业内网环境等），漏洞触发所需的成本。例如：是否有公开的漏洞触发工具、漏洞触发需要的设备是否容易获取等。 表8　被利用成本赋值说明表

6.2.3.2　修复难度

修复难度包括：高、中、低。通常漏洞修复的难度越高，危害越严重。如表9所示。 “修复难度”指标反映，在参考环境下（例如：当前全球互联网环境；或者某企业内网环境等），修复漏洞所需的成本。 表9　修复难度赋值说明表

6.2.3.3　影响范围

影响范围包括：高、中、低、无。通常漏洞对环境的影响越高，危害越严重。如表10所示。 影响范围指标描述反映漏洞触发对环境的影响，漏洞受影响组件在环境中的重要性。 表10　影响范围赋值说明表

6.3.1　概述 网络安全漏洞分级是指采用分级的方式对网络安全漏洞潜在危害的程度进行描述，包括技术分级和综合分级两种分级方式，每种方式均分为超危、高危、中危和低危四个等级，具体内容如下：

漏洞分级过程主要包括最初的指标赋值、中间的指标评级和最后的分级计算三个步骤，其中，指标赋值是对根据具体漏洞对每个漏洞分级指标进行人工赋值；指标评级是根据指标赋值结果分别对被利用性、影响程度和环境因素等三个指标类进行评级；分级计算是根据指标评级计算产生技术分级或综合分级的结果，技术分级结果由被利用性和影响程度两个指标类计算产生，综合分级由被利用性、影响程度和环境因素三个指标类计算产生。

图2　漏洞分级流程图

6.3.2　网络安全漏洞指标评级

6.3.2.1　被利用性评级

被利用性评级反映网络安全漏洞触发的技术可能性。被利用性指标组中各指标的不同取值的组合对应不同的被利用性级别。被利用性级别分为9级，用1-9的数字表示，数值越大被利用的可能性越高，详见附录A。

6.3.2.2　影响程度评级

影响程度评级反映网络安全漏洞触发造成的危害程度。影响程度指标组中各指标的不同取值的组合对应不同的影响程度级别。不同的影响程度级分为9级，用1-9的数字表示，数值越大导致的危害程度越高，详见附录B。

6.3.2.3　环境因素评级

环境因素是对漏洞进行评级是需要考虑的漏洞所处的网络环境、当前漏洞被利用的技术程度等外部环境。环境因素评级反映在参考环境下，漏洞的危害程度。环境因素指标组中各指标的不同取值的组合对应不同的环境因素级别。不同的环境因素级别分为9级，用1-9的数字表示，数值环境因素导致的漏洞危害程度越高，详见附录C。 6.3.3　网络安全漏洞技术分级 网络安全漏洞技术分级分为：超危、高危、中危、低危四个级别。网络安全漏洞技术分级由被利用性和影响程度两个指标类决定，漏洞被利用可能性越高（被利用性评级越高）、影响程度越严重（影响程度评级越高），漏洞技术分级的级别越高（漏洞危害程度越大）。漏洞技术分级方法如下：

6.3.4　网络安全漏洞综合分级 网络安全漏洞综合分级分为：超危、高危、中危、低危四个级别。网络安全漏洞综合分级由被利用性、影响程度和环境因素三个指标类决定，漏洞被利用可能性越高（被利用性评级越高）、影响程度越严重（影响程度评级越高），环境对漏洞影响越敏感（环境因素评级越高），漏洞综合分级的级别越高（漏洞危害程度越大）。漏洞综合分级方法如下：

表A.1 被利用性评级表

表A.1 （续）

备注 按照“访问路径”、“触发要求”、“权限需求”、“交互程度”的不同，可分为48种组合情况，按照每种组合的被利用程度的差异，从高到低可分为9个级别。

表B.1　影响程度评级表

表C.1　环境因素评级表

表D.1　漏洞技术评级表

表E.1　漏洞综合评级表

示例一 OpenSSL 缓冲区溢出（CVE-2014-0160）漏洞分级示例

1、漏洞名称 OpenSSL 缓冲区溢出（CVE-2014-0160） 2、漏洞简介 OpenSSL的TLS和DTLS实现过程中的d1_both.c和t1_lib.c文件中存在安全漏洞，该漏洞源于当处理Heartbeat Extension数据包时，缺少边界检查。远程攻击者可借助特制的数据包利用该漏洞读取服务器内存中的敏感信息(如用户名、密码、Cookie、私钥等)。 3、漏洞评级： 表F.1　CVE-2014-0160漏洞评级表 4、漏洞分级 通过上述表格，CVE-2014-0160漏洞的被利用性为9级、影响程度为4级，因此技术评级为高危；同时，该漏洞的环境因素为7级，结合技术评级为高危，可知该漏洞的综合评级为高危。

示例二 开源软件 Plait plaiter 文件覆盖（CVE-2008-4085）漏洞分级示例

1、漏洞名称 开源软件 Plait plaiter 文件覆盖（CVE-2008-4085） 2、漏洞简介 Plait是一款命令行方式的音乐播放软件。 Plait 1.6之前版本的plaiter存在文件覆盖漏洞。本地用户可通过在cut. , h e a d . , head. ,head., awk. , p s . , ps. ,ps. 的临时文件中使用symlink，覆盖任意文件。 3、漏洞评级： 表F.2　CVE-2008-4085漏洞评级表

4、漏洞分级 通过上述表格，CVE-2008-4085漏洞的被利用性为6级、影响程度为3级，因此技术评级为中危；同时，该漏洞的环境因素为3级，结合技术评级为中危，可知该漏洞的综合评级为低危。

[1]Common Vulnerability Scoring System v3.1: Specification Document [2]Common Weakness Enumeration List Version 3.1