信息安全技术 网络安全漏洞分类分级指南-编制说明

国家标准《信息安全技术网络安全漏洞分类分级规范》
（草案）编制说明
一、工作简况
1.1 任务来源
根据国家标准化委员会于2018年下达的国家标准修订计划，《信息安全技术网络安全漏洞分类分级指南》由中国信息安全测评中心作为承担单位。

该标准由全国信息安全标准化技术委员会归口管理。

1.2 主要起草单位和工作组成员
本标准由中国信息安全测评中心（以下简称“国测”）牵头，国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、中国电子技术标准化研究院等多家单位共同参与编制。

1.3 主要工作过程
(1)2018年5月，组织参与本标准编写的相关单位召开项目启动会，成立规范编制小组，确立各自分工，进行初步设计，并听取各协作单位的相关意见。

(2)2018年6月，编制组通过问卷调查的方式，向安全公司、专家收集关于分类分级国标的修订意见，整理相关意见形成了《信息安全漏洞分类分级修订建议调查情况》。

编制组同时对国内外漏洞分类分级的现状做了调研，整理出《信息安全漏洞分类分级修订相关情况调研与分析》报告，进一步佐证了标准修订的必要性以及提供了标准修订的依据。

(3)2018年7月，编制组结合充分的调研结果，参考CWE、CVSS等国际通用漏洞分类分级方法，提出详细的标准修订计划，形成标准草案第一稿。

(4)2018年8月，编制组召开组内研讨会，基于前期成果，经多次内部讨论研究，组织完善草案内容，形成草案第二稿。

(5)2018年9月，编制组继续研究讨论，并与国内其他漏洞平台运营单位进行交流，吸收各位专家的意见，反复修订完善草案，形成草案第三稿。

(6)2018年10月8日，编制组召开针对草案第三稿的讨论会，会上各参与单位的代表对漏洞分类分级的具体内容进行了深入讨论。

根据讨论结果，编制组对草案进行进一步修改，形成草案第四稿。

(7)2018年10月15日，安标委组织WG5组相关专家召开评审会，对项目进行评审，审阅了标准草案文本、编制说明、意见汇总表等项目相关文档，质询了有关问题，提出增加网络安全漏洞分类分级概述说明、细化编制说明、增加实验验证和使用情况说明、简化分级评价指标等意见。

根据专家意见，编制组对草案进行进一步修改，形成草案第五稿。

(8)2018年10月19日，中国电子技术标准化研究院组织本标准、“信息安全技术网络安全漏洞管理规范”和“信息安全技术网络安全漏洞标识与描述规范”等三个编制组召开研讨会，明确规范三个标准采用的定义和术语等内容，进一步加强了标准的关联性和准确性。

(9)2018年10月24日，在2018年第二次全体会议WG5组工作会议上，编制组将草案编制情况向WG5组成员单位进行了介绍，并对成员单位意见进行应答；通过草案评审，根据专家和成员单位意见对草案进行进一步修改，形成征求意见稿。

(10)2018年11月21日，安标委组织本标准的专家审查会，着重对10月24日会议专家意见的应答修改情况进行核查，并对标准文本、编制说明等材料进行总体审查，提出进一步的修改意见。

编制组对专家意见进行应答，并根据采纳和部分采纳的专家意见内容，对标准文本和编制说明进行修改，更新专家意见汇总表。

二、标准编制原则和确定主要内容的论据及解决的主要问题
2.1 编制原则
本标准的研究与编制工作遵循以下原则：
(1)通用性原则
本标准在原国标GB-T 33561-2017《信息安全技术安全漏洞分类》的基础上，结合国内外漏洞分类分级相关领域的最新成果，如国家信息安全漏洞库（CNNVD）、国家信息安全漏洞共享平台（CNVD）等国家级漏洞库的实践标准，以及MITRE公司推出的通用缺陷枚举（CWE）、通用漏洞评价系统（CVSS 3.0）等，既保证标准编制内容的科学性，又使得标准内容更加符合我国国情。

(2)符合性原则
遵循国家现有漏洞相关标准，符合国家有关法律法规和已编制标准规范的相关要求，符合国家漏洞管理主管部门的要求。

(3)实用性原则
本标准规范是对实际工作成果的总结与提升，对原国标漏洞分类、分级的结构、形式、规则等进行筛选提炼，保持整体结构合理且维持原意和功能不变，兼容国家级漏洞库，针对不同的用户群体，做到可操作、可用与实用。

(4)完备性原则
本标准的完备性原则主要体现在两个方面：其一充分分析了CWE的漏洞分类情况，制定了与之兼容的漏洞分类类型；其二考虑到漏洞分级中涉及的漏洞分级指标，基于原漏洞分级维度的基础上进行分级指标的扩展。

因此本标准作为通用性的漏洞分类分级要求，可适用于大多数漏洞。

2.2 修订依据
随着近年人工智能、物联网、区块链等计算机技术的快速发展，网络安全漏洞相关研究工作也相应发生了巨大的变化，目前国家标准GB/T 30279-2013《信息安全技术安全漏洞等级划分指南》、GB/T 33561-2017《信息安全技术安全漏洞分类》已经不能完全满足现阶段漏洞分类分级的技术要求。

国家网络安全相关部门、网络安全研究机构、网络安全漏洞研究人员等对漏洞分类分级的认识、
理解得到进一步发展，相应的产生了许多新的需求和应用。

急需结合当前的新技术、新经验以及相关标准法规等，对上述标准进行内容修订。

此外，漏洞的分类和分级是描述漏洞本质和情况的两个重要方面，因此，建议将GB/T 30279-2013《信息安全技术安全漏洞等级划分指南》和GB/T 33561-2017《信息安全技术安全漏洞分类》进行合并修订。

为满足标准修订的现实需要，编制组通过问卷调查的方式，向18家安全公司收集关于分类分级国标的修订意见，整理相关意见形成了《信息安全漏洞分类分级修订建议调查情况》，主要意见包括如下几个方面：
(1)漏洞分类方面
1)随着近年人工智能、物联网、区块链等计算机技术的快速发展，
需要增加新的漏洞类型；
2)标准需要与《中华人民共和国网络安全法》等相关法律法规的相
关要求保持一致；
3)标准需要进一步与主流应用场景，如web、主机、终端、工控等
应用相适应；
(2)漏洞分级方面
1)需要参考增加环境因素的危害评估指标。

2)兼容现有CNNVD及CNVD等国家级漏洞库漏洞分级方法。

3)兼容CVSS3.0评分标准。

在需求调研的基础上，编制组组织国内网络安全漏洞标准研究机构，围绕国内外漏洞分类分级的相关标准和研究情况开展了相关的技术调研，形成了《信息安全漏洞分类分级修订相关情况调研与分析》报告。

在漏洞分类分级标准方面，编制组充分调研国内外漏洞分级的相关标准和研究情况。

对我国国家信息安全漏洞库（CNNVD）、国家信息安全漏洞共享平台（CNVD）等机构以及补天漏洞响应平台、漏洞盒子、360企业安全、启明星辰、
华顺信安等国内安全厂商使用的网络安全漏洞分类、分级实践标准；以及美国、俄罗斯、日本、法国等国际上主要国家级漏洞库相关标准以及IBM、微软（Microsoft）、Secunia、赛门铁克(Symantec)、思科(Cisco)、甲骨文(Oracle)等多家国际厂商使用的网络安全漏洞分类分级标准进行调研分析。

对相关的漏洞分类分级的研究成果和文献进行了整理总结，重点对国家信息安全漏洞库（CNNVD）、国家信息安全漏洞共享平台（CNVD）的实践标准，以及国际上应用较为规范的Common Vulnerability Scoring System(CVSS)分级标准和Common Vulnerabilities and Exposures (CVE)漏洞分类标准进行了深入技术调研和分析。

(1)国家信息安全漏洞库（CNNVD）漏洞分类分级情况
在漏洞分类方面，CNNVD将信息安全漏洞划分为26种类型，分别是：配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误、资料不足。

在漏洞分级方面，CNNVD使用两组指标对漏洞进行评分，分别是可利用性指标组和影响性指标组，并依据该评估结果对漏洞划分为超危、高危、中危、低危共四个危害等级。

其中，可利用性指标组描述漏洞利用的方式和难易程度，反映脆弱性组件的特征，应依据脆弱性组件进行评分，影响性指标组描述漏洞被成功利用后给受影响组件造成的危害，应依据受影响组件进行评分。

(2)国家信息安全漏洞共享平台（CNVD）漏洞分类分级情况
在漏洞分类方面，CNVD根据漏洞产生原因，将漏洞分为11种类型：输入验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误。

此外，CNVD还进行了部分业务的划分，主要分为行业漏洞和应用漏洞，行业漏洞包括：
电信、移动互联网、工控系统；应用漏洞包括web应用、安全产品、应用程序、操作系统、数据库、网络设备等。

在漏洞分级方面，使用自己内部分级标准，将网络安全漏洞划分为高、中、低三种危害级别。

(3)通用漏洞评分系统（Common Vulnerability Scoring System，CVSS）
通用漏洞评分系统（Common Vulnerability Scoring System，CVSS）是由美国国家基础设施顾问委员会（NIAC）开发、事件响应与安全组织论坛（FIRST）维护的一个开放的计算机系统安全漏洞评估框架。

CVSS是一个开放并且能够被产品厂商免费采用的标准,其存在的主要目的是协助安全从业人员使用标准化、规范化、统一化的语言对计算机系统安全漏洞的严重性进行评估。

NIAC于2004年提出了CVSS v1.0，此版本经使用后发现存在很大问题，为解决存在问题并增加CVSS的准确性，由CVSS-SIG发起修正案并进行修订。

在2007 年 6 月，FIRST公开发布了CVSS v2.0。

目前，CVSS的最新版本是v3.0，发布于2015年6月10日。

(4)通用缺陷枚举（Common Weakness Enumeration，CWE）
通用缺陷枚举（Common Weakness Enumeration，CWE）是由美国MITRE 公司开发的一个描述在软件架构、设计以及编码等环节中存在的安全缺陷与漏洞的通用规范，目前CWE共包含1040个条目，其中视图32个、类别247个、缺陷与漏洞709个、合成元素7个，弃用45个。

2.4 修订内容
本标准修订包括网络安全漏洞分类和分级两个方面。

(1)网络安全漏洞分类修订内容
1)现行漏洞分类标准介绍
现行漏洞分类标准（GB/T 33561-2017《信息安全技术安全漏洞分类》）根据漏洞的形成原因、所处空间和时间对其进行分类。

如图1所示，根据漏洞的形成原因可分为：边界条件错误、数据验证错误、访问验证错误、处理逻辑错误、同步错误、意外处理错误、对象验证错误、配置错误、设计缺陷、环境错误或其他等。

根据漏洞在计算机信息系统所处的位置可分为：应用层漏洞、系统层漏洞和网络层漏洞。

根据漏洞在软件生命周期的时间关系可分为：生成阶段漏洞、发现阶段漏洞、利用阶段漏洞和修补阶段漏洞。

图 1 现行标准安全漏洞分类导图
2)“按成因分类”内容修订
调整了按照成因分类的框架和指标。

参考CWE标准和国内漏洞分类的实践经验及特点，兼顾现有漏洞分类的使用场景和使用习惯，由于当前漏洞分类方法缺少完备的理论支撑，所以将现行标准采用的线性分类框架调整为树形分类框架，并将现行漏洞分类标准11类同步修订为32类，保留“其他”类别。

如图2所示：
图 2 修订后的“按成因分类”导图
采用树形分类导图对漏洞进行分类，首先从根节点开始，根据漏洞成因将漏洞归入某个具体的类型，如果该类型节点有子类型节点，且漏洞可以归入该子类型，则将漏洞划分为该子类型，如此递归，直到漏洞归入的类型无子类型节点或漏洞不能归入子类型。

3)“按空间分类”内容修订
将该分类名称修订为“按位置分类”，同时考虑近年目前区块链漏洞、CPU 漏洞、供应链安全等相关网络安全技术的发展，按照现行标准的分类框架，将现行标准的3类修订为5类：在最底层和最顶层分别增加硬件层、协同层。

其中“硬件层”定义为：硬件层漏洞影响最基本的信息处理、表示、存储等硬件，位于信息系统最底层的实现部分，如：芯片漏洞、电路漏洞、漏洞等类似受影响实体的漏洞。

“协同层”定义为：协同层漏洞影响依靠网络构成的实现复杂应用的协同信息系统，位于信息系统协同层面的部分，如：分布式业务系统、云计算系统、传感器网络、区块链系统、工控系统等类似受影响实体的漏洞。

调整后的“按位置分类”漏洞类型如图3所示：
图 3 修订后的“按位置分类”导图
4)按“时间分类”内容修订
考虑漏洞的时间分类更多属于漏洞的管理属性而非漏洞的本质属性，故删除该分类。

(2)网络安全漏洞分级修订内容
1)现行网络安全漏洞分级标准介绍
现行网络安全漏洞分级标准（GB/T 30279-2013《信息安全技术安全漏洞等级划分指南》）对计算机信息系统安全漏洞等级划分指标和危害程度级别进行了定义。

此标准给出了安全漏洞等级划分方法，规定安全漏洞等级划分指标包括访问路径、利用复杂度和影响程度三个方面。

访问路径的赋值包括本地、邻接和远程,通常可被远程利用的漏洞危害程度高于可被邻接利用的漏洞,可被本地利用的漏洞次之。

利用复杂度的赋值包括简单和复杂,通常利用复杂度简单的漏洞危害程度高。

影响程度的赋值包括完全、部分、轻微和无,通常影响程度越大的漏洞的危害程度越高。

安全漏洞的危害程度从低至高依次为低危、中危、高危和超危,具体的危害等级由三个指标的不同取值共同决定。

表 1 现行标准分级等级划分指标及赋值情况
2)网络安全漏洞分级修订
在现行标准的基础上，调整网络安全漏洞分级框架，以更好地适用于当前漏洞分级实践需要。

为更好地兼容国内现行标准，编制组主要调研、参考CNNVD 和CNVD两个机构所使用的实践标准；同时，由于CVSS在美国、俄罗斯、欧洲、法国、德国、日本等国家级漏洞库以及IBM、微软（Microsoft）、Secunia、赛门铁克(Symantec)、思科(Cisco)、甲骨文(Oracle)等许多国外大型软件和安全安全厂商中使用，编制组对CVSS漏洞分级标准的情况也进行了较为深入的研究，并对其进行兼容。

将本标准漏洞分级框架（修订）调整如下所示：
表 2 本标准漏洞分级框架（修订）
主要修订内容包括：
参考CNNVD、CNVD现行实践标准以及CVSS3.0漏洞分级框架，增加了“被利用性”指标类，将“访问路径”及“利用复杂度”调整为该划分指标的子项；同时将“利用复杂度”拆分为“触发要求”、“权限需求”、“交互条件”等三个子项。

如下表所示：
表 3 标准（修订）与CVSS3.0对比表
将“影响程度”指标类下的“保密性”、“完整性”、“可用性”指标赋值调整为“严重”、“一般”、“无”。

CVSS3.0标准中包括“Scope”指标，本标准考虑“Scope”指标的复杂性，未使用该指标。

由于“Scope”指标与漏洞受影响对象的版本、运行环境等相关，与影响程度指标类、触发要求指标相关，所以，本标准通过影响程度指标类、触发要求等来反映该指标。

考虑漏洞在具体环境因素下的评级，参考CVSS3.0标准，新增“环境因素”指标类及其“利用成本”、“修复难度”、“影响范围”等子项。

其中，“利用成本”反映漏洞实际被利用的难度；“修复难度”反映漏洞修复的难度；“影响范围”反映漏洞受影响对象在参考环境中的数量和价值等，补充“影响程度”的局限。

技术分级用于从技术层面对漏洞进行分级，采用被利用性指标类和影响程度指标类；综合分级用于在参考环境下对漏洞进行分级，采用被利用性指标类、影响程度指标类和环境因素指标类。

此外，在进行网络安全漏洞综合评级过程中，可根据实际情况对“影响程度评级表”进行调整。

2.5 解决问题
通过对本标准的修订，主要解决了现行标准的适用性问题，具体内容包括：
(1)在漏洞分类方面，解决现行漏洞分类标准对多种漏洞类型和漏洞所处的
各类复杂的环境及场景的适用性、灵活性问题，提高标准的可操作性。

(2)在漏洞分级方面，进一步优化漏洞分级框架，扩展分级指标，提高了漏
洞分级的准确性、兼容性。

2.6 本标准与GB/T 28458和GB/T 30276的关系
GB/T 28458《信息安全技术安全漏洞标识与描述规范》规定了信息与控制系统安全漏洞的标识与描述规范。

本标准为GB/T 28458《漏洞标识与描述规范》中漏洞类别和等级的内容提供依据。

GB/T 30276《信息安全技术安全漏洞管理规范》描述了在安全漏洞发现与报告的过程中，漏洞应急组织、漏洞收录组织、漏洞关联厂商、信息系统管理者等的管理原则、管理职责和工作要求，以及漏洞发现与报告处理流程。

本标准适用于漏洞应急组织、漏洞收录组织、漏洞关联厂商、信息系统管理者等的漏洞发现与报告管理活动，包括漏洞的接收、验证、处置和发布等环节，为漏洞及时发现、有效处置的工作提供参考。

本标准为GB/T 30276《信息安全技术安全漏洞管理规范》的网络安全漏洞分类的内容提供依据。

三、主要验证情况分析
在修订过程中，中国信息安全测评中心采用CNNVD、CNVD以及NVD等多家机构的漏洞数据对本标准进行了验证。

3.1 漏洞分类验证情况
修订后的漏洞类型能够基本覆盖CNNVD、CNVD和NVD等国内外重要漏洞平台的漏洞类型。

根据目前情况，CNNVD共划分26种漏洞类型，CNVD共10种漏洞类型，NVD共124种漏洞类型，其中除CNVD之外CNNVD与NVD 均按照细化程度使用树形图结构对漏洞类型进行层次划分。

为此，对于以上漏洞分类标准的不同维度和细化程度，现修订标准可通过层级包含的关系对其现有各类漏洞类型进行兼容和映射。

相关对应关系如下表所示：
表 4 标准分类对应关系
采集2016至2017年漏洞数据对本标准覆盖的漏洞分类情况进行了统计验证。

如下图所示。

图 4 2016年-2017年漏洞类型分布统计图
上述验证数据显示，2016年至2017年漏洞数据共计22554个，其中“其他”类型为1630条，数量占比6.42%。

在上述“其他”类型中，有1190条数据NVD所提供的类型也为“其他”，剩余440条数据归属于极个别类型，此类型漏洞出现情况极少，故不提取类型纳入本标准中。

因此，本标准按成因划分的32种漏洞类型基本覆盖所有漏洞种类，同时针对出现极少数情况的漏洞类型由“其他”类型作为包容项纳入本标准，确保了漏洞类型的完备性，基本满足漏洞分类的使用需求。

本标准经过与CNNVD、CNVD、NVD等当前国内常用的漏洞分类标准的对比表明：
(1)与CNNVD、CNVD的漏洞分类标准比较，本标准按照成因分类涵盖的
漏洞类型范围更广泛。

(2)与NVD的漏洞分类标准比较，在综合考虑当前漏洞类别数量和标准易
用性的基础上，本标准从漏洞成因和漏洞位置两个角度进行分类，并且，
按照成因分类虽然采用了更少的漏洞类别描述，更易于工程应用，更适
合国内漏洞分类的需要。

3.2 漏洞分级验证情况
选取CNNVD、CNVD、NVD 2016年-2018年，超危、高危、中危、低危的漏洞数据进行验证。

具体方法如下：
(1)从CNNVD/CNVD/NVD的公开数据中，分别选取一定数量的超危、高危、
中危、低危漏洞。

(2)从步骤1中选取一条具体漏洞。

(3)使用本标准修订后的分级评价方法，对步骤2中的漏洞进行漏洞评级，
得出具体结果。

(4)将步骤3的结果与CNNVD/CNVD/NVD评定的结果进行比对。

如果两
个结果一致，则判定为“符合”；如果两个结果不一致，则判定为“不
符合”。

(5)重复步骤2-步骤4，直至所有数据评定、比对完毕
(6)统计所有数据的比对结果，最终得出“符合比例”。

具体验证如下所示：
表 5 与CNNVD、CNVD、NVD漏洞分级数据对比验证情况
根据统计数据，修订标准能够大部分与现行标准兼容，部分漏洞等级不一致情况主要包括如下方面原因：
漏洞分级存在一定的主观性，会造成分级的略微不同。

CNNVD、NVD的漏洞数据均使用CVSS3.0标准计算，CNVD采用CVSS2.0标准计算。

其中，CVSS3.0标准采用Scope指标项；本标准提高可操作性，未使用Scope指标，由影响程度指标类涵盖Scope指标描述的内容，所以存在评分不一致情况。

本标准在“触发要求”和“交互条件”的指标赋值为3个，CVSS3.0在对应的指标赋值为2个，相比较本标准分级更加精确，所以出现个别漏洞本标准与CVSS3.0的分级不同。

本标准经过与CNNVD、CNVD、NVD等当前国内常用的漏洞分类标准的对比表明：
1)本标准能够基本兼容CNNVD、CNVD、NVD等漏洞库的评分标准。

2)与CVSS3.0比较，本标准漏洞的分级方法简单，易于理解使用。

3)本标准即涵盖了当前常用的技术分级方法，也兼顾了漏洞分级再不同场
景下的危害程度及应用需求，提出了适用于具体漏洞评估需求的综合分
级方法。

四、知识产权情况说明
本标准不涉及专利。

五、产业化情况、推广应用论证和预期达到的经济效果
目前，CNNVD已经采用与本标准完全兼容的现行漏洞分类分级规范，与我
国主流网络安全厂商合作开展网络安全产品漏洞分类分级兼容性服务工作，，截止到2018年10月，共有44家厂商的153款产品通过兼容性服务审核，其中包括11家标准修订参与单位，其余多家参与单位也承诺，将在后续工作中积极开展相应工作。

由于本标准兼容CNNVD现行漏洞分类分级规范，因此能够确保以现有兼容性服务为基础，进一步扩大本标准在产业界的应用推广范围。

此外，本标准在漏洞分类分级方面同样兼容CNVD、NVD等国内外主要漏洞数据库。

本标准发布后，将可以为国内漏洞管理机构、国内漏洞数据平台、安全厂商、互联网厂商、运营商、漏洞提交者等漏洞分级和分类提供统一的标准。

六、采用国际标准和国外先进标准情况
无。

七、与现行相关法律、法规、规章及相关标准的协调性
建议本标准推荐性实施。

本标准不触犯国家现行法律法规，不与其他强制性国标相冲突。

八、重大分歧意见的处理经过和依据
《信息安全技术网络安全漏洞分类分级规范》编制过程中未出现重大分歧。

九、标准性质的建议
建议《信息安全技术网络安全漏洞分类分级规范》作为推荐性国家标准发布实施。

十、贯彻标准的要求和措施建议
鉴于本标准是对原国标GB/T 33561-2017和GB/T 30279-2013的修订，同时也是漏洞系列标准的一部分。

建议在标准贯彻执行过程中，国家信息安全主管部门应当起到协调以及推广的作用，召开研讨会、协调会，国内各漏洞库首先使用本标准中的方法进行安全漏洞危害等级评定。

在各漏洞库统一的情况下，建议与其他配套标准同步推广实施，促进漏洞研究者、厂商、漏洞管理组织、最终用户能够使用本标准的方法进行安全漏洞危害等级评定。

十一、替代或废止现行相关标准的建议。