信息安全技术 网络安全漏洞分类分级指南编制说明.docx

信息安全技术 网络安全漏洞分类分级指南编制说明.docx

《信息安全技术 网络安全漏洞分类分级指南编制说明.docx》由会员分享，可在线阅读，更多相关《信息安全技术 网络安全漏洞分类分级指南编制说明.docx（28页珍藏版）》请在冰豆网上搜索。

信息安全技术网络安全漏洞分类分级指南编制说明

国家标准《信息安全技术网络安全漏洞分类分级规范》

（草案）编制说明

一、工作简况

1.1任务来源

根据国家标准化委员会于2018年下达的国家标准修订计划，《信息安全技术网络安全漏洞分类分级指南》由中国信息安全测评中心作为承担单位。

该标准由全国信息安全标准化技术委员会归口管理。

1.2主要起草单位和工作组成员

本标准由中国信息安全测评中心（以下简称“国测”）牵头，国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、中国电子技术标准化研究院等多家单位共同参与编制。

1.3主要工作过程

（1）2018年5月，组织参与本标准编写的相关单位召开项目启动会，成立规范编制小组，确立各自分工，进行初步设计，并听取各协作单位的相关意见。

（2）2018年6月，编制组通过问卷调查的方式，向安全公司、专家收集关于分类分级国标的修订意见，整理相关意见形成了《信息安全漏洞分类分级修订建议调查情况》。

编制组同时对国内外漏洞分类分级的现状做了调研，整理出《信息安全漏洞分类分级修订相关情况调研与分析》报告，进一步佐证了标准修订的必要性以及提供了标准修订的依据。

（3）2018年7月，编制组结合充分的调研结果，参考CWE、CVSS等国际通用漏洞分类分级方法，提出详细的标准修订计划，形成标准草案第一稿。

（4）2018年8月，编制组召开组内研讨会，基于前期成果，经多次内部讨论研究，组织完善草案内容，形成草案第二稿。

（5）2018年9月，编制组继续研究讨论，并与国内其他漏洞平台运营单位进行交流，吸收各位专家的意见，反复修订完善草案，形成草案第三稿。

（6）2018年10月8日，编制组召开针对草案第三稿的讨论会，会上各参与单位的代表对漏洞分类分级的具体内容进行了深入讨论。

根据讨论结果，编制组对草案进行进一步修改，形成草案第四稿。

（7）2018年10月15日，安标委组织WG5组相关专家召开评审会，对项目进行评审，审阅了标准草案文本、编制说明、意见汇总表等项目相关文档，质询了有关问题，提出增加网络安全漏洞分类分级概述说明、细化编制说明、增加实验验证和使用情况说明、简化分级评价指标等意见。

根据专家意见，编制组对草案进行进一步修改，形成草案第五稿。

（8）2018年10月19日，中国电子技术标准化研究院组织本标准、“信息安全技术网络安全漏洞管理规范”和“信息安全技术 网络安全漏洞标识与描述规范”等三个编制组召开研讨会，明确规范三个标准采用的定义和术语等内容，进一步加强了标准的关联性和准确性。

（9）2018年10月24日，在2018年第二次全体会议WG5组工作会议上，编制组将草案编制情况向WG5组成员单位进行了介绍，并对成员单位意见进行应答；通过草案评审，根据专家和成员单位意见对草案进行进一步修改，形成征求意见稿。

（10）2018年11月21日，安标委组织本标准的专家审查会，着重对10月24日会议专家意见的应答修改情况进行核查，并对标准文本、编制说明等材料进行总体审查，提出进一步的修改意见。

编制组对专家意见进行应答，并根据采纳和部分采纳的专家意见内容，对标准文本和编制说明进行修改，更新专家意见汇总表。

二、标准编制原则和确定主要内容的论据及解决的主要问题

2.1编制原则

本标准的研究与编制工作遵循以下原则：

（1）通用性原则

本标准在原国标GB-T33561-2017《信息安全技术安全漏洞分类》的基础上，结合国内外漏洞分类分级相关领域的最新成果，如国家信息安全漏洞库（CNNVD）、国家信息安全漏洞共享平台（CNVD）等国家级漏洞库的实践标准，以及MITRE公司推出的通用缺陷枚举（CWE）、通用漏洞评价系统（CVSS3.0）等，既保证标准编制内容的科学性，又使得标准内容更加符合我国国情。

（2）符合性原则

遵循国家现有漏洞相关标准，符合国家有关法律法规和已编制标准规范的相关要求，符合国家漏洞管理主管部门的要求。

（3）实用性原则

本标准规范是对实际工作成果的总结与提升，对原国标漏洞分类、分级的结构、形式、规则等进行筛选提炼，保持整体结构合理且维持原意和功能不变，兼容国家级漏洞库，针对不同的用户群体，做到可操作、可用与实用。

（4）完备性原则

本标准的完备性原则主要体现在两个方面：

其一充分分析了CWE的漏洞分类情况，制定了与之兼容的漏洞分类类型；其二考虑到漏洞分级中涉及的漏洞分级指标，基于原漏洞分级维度的基础上进行分级指标的扩展。

因此本标准作为通用性的漏洞分类分级要求，可适用于大多数漏洞。

2.2修订依据

随着近年人工智能、物联网、区块链等计算机技术的快速发展，网络安全漏洞相关研究工作也相应发生了巨大的变化，目前国家标准GB/T30279-2013《信息安全技术安全漏洞等级划分指南》、GB/T33561-2017《信息安全技术安全漏洞分类》已经不能完全满足现阶段漏洞分类分级的技术要求。

国家网络安全相关部门、网络安全研究机构、网络安全漏洞研究人员等对漏洞分类分级的认识、理解得到进一步发展，相应的产生了许多新的需求和应用。

急需结合当前的新技术、新经验以及相关标准法规等，对上述标准进行内容修订。

此外，漏洞的分类和分级是描述漏洞本质和情况的两个重要方面，因此，建议将GB/T30279-2013《信息安全技术安全漏洞等级划分指南》和GB/T33561-2017《信息安全技术安全漏洞分类》进行合并修订。

为满足标准修订的现实需要，编制组通过问卷调查的方式，向18家安全公司收集关于分类分级国标的修订意见，整理相关意见形成了《信息安全漏洞分类分级修订建议调查情况》，主要意见包括如下几个方面：

（1）漏洞分类方面

1）随着近年人工智能、物联网、区块链等计算机技术的快速发展，需要增加新的漏洞类型；

2）标准需要与《中华人民共和国网络安全法》等相关法律法规的相关要求保持一致；

3）标准需要进一步与主流应用场景，如web、主机、终端、工控等应用相适应；

（2）漏洞分级方面

1）需要参考增加环境因素的危害评估指标。

2）兼容现有CNNVD及CNVD等国家级漏洞库漏洞分级方法。

3）兼容CVSS3.0评分标准。

在需求调研的基础上，编制组组织国内网络安全漏洞标准研究机构，围绕国内外漏洞分类分级的相关标准和研究情况开展了相关的技术调研，形成了《信息安全漏洞分类分级修订相关情况调研与分析》报告。

在漏洞分类分级标准方面，编制组充分调研国内外漏洞分级的相关标准和研究情况。

对我国国家信息安全漏洞库（CNNVD）、国家信息安全漏洞共享平台（CNVD）等机构以及补天漏洞响应平台、漏洞盒子、360企业安全、启明星辰、华顺信安等国内安全厂商使用的网络安全漏洞分类、分级实践标准；以及美国、俄罗斯、日本、法国等国际上主要国家级漏洞库相关标准以及IBM、微软（Microsoft）、Secunia、赛门铁克（Symantec）、思科（Cisco）、甲骨文（Oracle）等多家国际厂商使用的网络安全漏洞分类分级标准进行调研分析。

对相关的漏洞分类分级的研究成果和文献进行了整理总结，重点对国家信息安全漏洞库（CNNVD）、国家信息安全漏洞共享平台（CNVD）的实践标准，以及国际上应用较为规范的CommonVulnerabilityScoringSystem（CVSS）分级标准和CommonVulnerabilitiesandExposures（CVE）漏洞分类标准进行了深入技术调研和分析。

（1）国家信息安全漏洞库（CNNVD）漏洞分类分级情况

在漏洞分类方面，CNNVD将信息安全漏洞划分为26种类型，分别是：

配

置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误、资料不足。

在漏洞分级方面，CNNVD使用两组指标对漏洞进行评分，分别是可利用性指标组和影响性指标组，并依据该评估结果对漏洞划分为超危、高危、中危、低危共四个危害等级。

其中，可利用性指标组描述漏洞利用的方式和难易程度，反映脆弱性组件的特征，应依据脆弱性组件进行评分，影响性指标组描述漏洞被成功利用后给受影响组件造成的危害，应依据受影响组件进行评分。

（2）国家信息安全漏洞共享平台（CNVD）漏洞分类分级情况

在漏洞分类方面，CNVD根据漏洞产生原因，将漏洞分为11种类型：

输入

验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误。

此外，CNVD还进行了部分业务的划分，主要分为行业漏洞和应用漏洞，行业漏洞包括：

电信、移动互联网、工控系统；应用漏洞包括web应用、安全产品、应用程序、操作系统、数据库、网络设备等。

在漏洞分级方面，使用自己内部分级标准，将网络安全漏洞划分为高、中、低三种危害级别。

（3）通用漏洞评分系统（CommonVulnerabilityScoringSystem，CVSS）

通用漏洞评分系统（CommonVulnerabilityScoringSystem，CVSS）是由美国国家基础设施顾问委员会（NIAC）开发、事件响应与安全组织论坛（FIRST）维护的一个开放的计算机系统安全漏洞评估框架。

CVSS是一个开放并且能够被产品厂商免费采用的标准,其存在的主要目的是协助安全从业人员使用标准化、规范化、统一化的语言对计算机系统安全漏洞的严重性进行评估。

NIAC于2004年提出了CVSSv1.0，此版本经使用后发现存在很大问题，为解决存在问题并增加CVSS的准确性，由CVSS-SIG发起修正案并进行修订。

在2007年6月，FIRST公开发布了CVSSv2.0。

目前，CVSS的最新版本是v3.0，发布于2015年6月10日。

（4）通用缺陷枚举（CommonWeaknessEnumeration，CWE）

通用缺陷枚举（CommonWeaknessEnumeration，CWE）是由美国MITRE公司开发的一个描述在软件架构、设计以及编码等环节中存在的安全缺陷与漏洞的通用规范，目前CWE共包含1040个条目，其中视图32个、类别247个、缺陷与漏洞709个、合成元素7个，弃用45个。

2.4修订内容

本标准修订包括网络安全漏洞分类和分级两个方面。

（1）网络安全漏洞分类修订内容

1）现行漏洞分类标准介绍

现行漏洞分类标准（GB/T33561-2017《信息安全技术安全漏洞分类》）根据漏洞的形成原因、所处空间和时间对其进行分类。

如图1所示，根据漏洞的形成原因可分为：

边界条件错误、数据验证错误、访问验证错误、处理逻辑错误、同步错误、意外处理错误、对象验证错误、配置错误、设计缺陷、环境错误或其他等。

根据漏洞在计算机信息系统所处的位置可分为：

应用层漏洞、系统层漏洞和网络层漏洞。

根据漏洞在软件生命周期的时间关系可分为：

生成阶段漏洞、发现阶段漏洞、利用阶段漏洞和修补阶段漏洞。

图1现行标准安全漏洞分类导图

2）“按成因分类”内容修订

调整了按照成因分类的框架和指标。

参考CWE标准和国内漏洞分类的实践经验及特点，兼顾现有漏洞分类的使用场景和使用习惯，由于当前漏洞分类方法缺少完备的理论支撑，所以将现行标准采用的线性分类框架调整为树形分类框架，并将现行漏洞分类标准11类同步修订为32类，保留“其他”类别。

如图2所示：

图2修订后的“按成因分类”导图

采用树形分类导图对漏洞进行分类，首先从根节点开始，根据漏洞成因将漏洞归入某个具体的类型，如果该类型节点有子类型节点，且漏洞可以归入该子类型，则将漏洞划分为该子类型，如此递归，直到漏洞归入的类型无子类型节点或漏洞不能归入子类型。

3）“按空间分类”内容修订

将该分类名称修订为“按位置分类”，同时考虑近年目前区块链漏洞、CPU漏洞、供应链安全等相关网络安全技术的发展，按照现行标准的分类框架，将现行标准的3类修订为5类：

在最底层和最顶层分别增加硬件层、协同层。

其中“硬件层”定义为：

硬件层漏洞影响最基本的信息处理、表示、存储等硬件，位于信息系统最底层的实现部分，如：

芯片漏洞、电路漏洞、漏洞等类似受影响实体的漏洞。

“协同层”定义为：

协同层漏洞影响依靠网络构成的实现复杂应用的协同信息系统，位于信息系统协同层面的部分，如：

分布式业务系统、云计算系统、传感器网络、区块链系统、工控系统等类似受影响实体的漏洞。

调整后的“按位置分类”漏洞类型如图3所示：

图3修订后的“按位置分类”导图

4）按“时间分类”内容修订

考虑漏洞的时间分类更多属于漏洞的管理属性而非漏洞的本质属性，故删除该分类。

（2）网络安全漏洞分级修订内容

1）现行网络安全漏洞分级标准介绍

现行网络安全漏洞分级标准（GB/T30279-2013《信息安全技术安全漏洞等级划分指南》）对计算机信息系统安全漏洞等级划分指标和危害程度级别进行了定义。

此标准给出了安全漏洞等级划分方法，规定安全漏洞等级划分指标包括访问路径、利用复杂度和影响程度三个方面。

访问路径的赋值包括本地、邻接和远程,通常可被远程利用的漏洞危害程度高于可被邻接利用的漏洞,可被本地利用的漏洞次之。

利用复杂度的赋值包括简单和复杂,通常利用复杂度简单的漏洞危害程度高。

影响程度的赋值包括完全、部分、轻微和无,通常影响程度越大的漏洞的危害程度越高。

安全漏洞的危害程度从低至高依次为低危、中危、高危和超危,具体的危害等级由三个指标的不同取值共同决定。

表1现行标准分级等级划分指标及赋值情况

等级划分指标

指标子项

赋值情况

访问路径

-----

本地

邻接

远程

利用复杂度

-----

简单

复杂

影响程度

保密性

完全

完整性

部分

可用性

无

2）网络安全漏洞分级修订

在现行标准的基础上，调整网络安全漏洞分级框架，以更好地适用于当前漏洞分级实践需要。

为更好地兼容国内现行标准，编制组主要调研、参考CNNVD和CNVD两个机构所使用的实践标准；同时，由于CVSS在美国、俄罗斯、欧洲、法国、德国、日本等国家级漏洞库以及IBM、微软（Microsoft）、Secunia、赛门铁克（Symantec）、思科（Cisco）、甲骨文（Oracle）等许多国外大型软件和安全安全厂商中使用，编制组对CVSS漏洞分级标准的情况也进行了较为深入的研究，并对其进行兼容。

将本标准漏洞分级框架（修订）调整如下所示：

表2本标准漏洞分级框架（修订）

漏洞分级

漏洞指标

指标级别

指标子项

子项赋值

综合分级

技术分级

被利用性

1级-9级

访问路径

网络、邻接、本地、物理

触发要求

低、高

权限需求

无、低、高

交互条件

无、有

影响程度

1级-9级

保密性

严重、一般和无

完整性

严重、一般和无

可用性

严重、一般和无

—

环境因素

1级-9级

利用成本

低、中、高

修复难度

高、中、低

环境影响

高、中、低、无

主要修订内容包括：

参考CNNVD、CNVD现行实践标准以及CVSS3.0漏洞分级框架，增加了“被利用性”指标类，将“访问路径”及“利用复杂度”调整为该划分指标的子项；同时将“利用复杂度”拆分为“触发要求”、“权限需求”、“交互条件”等三个子项。

如下表所示：

表3标准（修订）与CVSS3.0对比表

指标类

CVSS3.0

标准（修订）

CVSS3.0赋值

标准（修订）赋值

被利用性

AttackVector（AV）

访问路径

Network（N）

网络

Adjacent（A）

邻接

Local（L）

本地

Physical（P）

物理

AttackComplexity（AC）

触发要求

Low（L）

低

High（H）

高

PrivilegesRequired（PR）

权限需求

None（N）

无

Low（L）

低

High（H）

高

UserInteraction（UI）

交互条件

None（N）

无

Required（R）

有

影响程度

Confidentiality（C）

保密性

High（H）

严重

Low（L）

一般

None（N）

无

Integrity（I）

完整性

High（H）

严重

Low（L）

一般

None（N）

无

Availability（A）

可用性

High（H）

严重

Low（L）

一般

None（N）

无

将“影响程度”指标类下的“保密性”、“完整性”、“可用性”指标赋值调整为“严重”、“一般”、“无”。

CVSS3.0标准中包括“Scope”指标，本标准考虑“Scope”指标的复杂性，未使用该指标。

由于“Scope”指标与漏洞受影响对象的版本、运行环境等相关，与影响程度指标类、触发要求指标相关，所以，本标准通过影响程度指标类、触发要求等来反映该指标。

考虑漏洞在具体环境因素下的评级，参考CVSS3.0标准，新增“环境因素”指标类及其“利用成本”、“修复难度”、“影响范围”等子项。

其中，“利用成本”反映漏洞实际被利用的难度；“修复难度”反映漏洞修复的难度；“影响范围”反映漏洞受影响对象在参考环境中的数量和价值等，补充“影响程度”的局限。

技术分级用于从技术层面对漏洞进行分级，采用被利用性指标类和影响程度指标类；综合分级用于在参考环境下对漏洞进行分级，采用被利用性指标类、影响程度指标类和环境因素指标类。

此外，在进行网络安全漏洞综合评级过程中，可根据实际情况对“影响程度评级表”进行调整。

2.5解决问题

通过对本标准的修订，主要解决了现行标准的适用性问题，具体内容包括：

（1）在漏洞分类方面，解决现行漏洞分类标准对多种漏洞类型和漏洞所处的各类复杂的环境及场景的适用性、灵活性问题，提高标准的可操作性。

（2）在漏洞分级方面，进一步优化漏洞分级框架，扩展分级指标，提高了漏洞分级的准确性、兼容性。

2.6本标准与GB/T28458和GB/T30276的关系

GB/T28458《信息安全技术安全漏洞标识与描述规范》规定了信息与控制系统安全漏洞的标识与描述规范。

本标准为GB/T28458《漏洞标识与描述规范》中漏洞类别和等级的内容提供依据。

GB/T30276《信息安全技术安全漏洞管理规范》描述了在安全漏洞发现与报告的过程中，漏洞应急组织、漏洞收录组织、漏洞关联厂商、信息系统管理者等的管理原则、管理职责和工作要求，以及漏洞发现与报告处理流程。

本标准适用于漏洞应急组织、漏洞收录组织、漏洞关联厂商、信息系统管理者等的漏洞发现与报告管理活动，包括漏洞的接收、验证、处置和发布等环节，为漏洞及时发现、有效处置的工作提供参考。

本标准为GB/T30276《信息安全技术安全漏洞管理规范》的网络安全漏洞分类的内容提供依据。

三、主要验证情况分析

在修订过程中，中国信息安全测评中心采用CNNVD、CNVD以及NVD等多家机构的漏洞数据对本标准进行了验证。

3.1漏洞分类验证情况

修订后的漏洞类型能够基本覆盖CNNVD、CNVD和NVD等国内外重要漏洞平台的漏洞类型。

根据目前情况，CNNVD共划分26种漏洞类型，CNVD共10种漏洞类型，NVD共124种漏洞类型，其中除CNVD之外CNNVD与NVD均按照细化程度使用树形图结构对漏洞类型进行层次划分。

为此，对于以上漏洞分类标准的不同维度和细化程度，现修订标准可通过层级包含的关系对其现有各类漏洞类型进行兼容和映射。

相关对应关系如下表所示：

表4标准分类对应关系

序号

国标（修订）漏洞类型

CNNVD漏洞类型

NVD漏洞类型

CNVD漏洞类型

1

配置错误

配置错误

Configuration（CWE-16）

配置错误

2

代码问题

代码问题

Code（CWE-17）、空指针逆向引用NULLPointerDereference（CWE-476）、不可信的搜索路径UntrustedSearchPath（CWE-426）、数据处理DataHandling（CWE-19）、XML外部实体引用（‘XXE’）限制不当ImproperRestrictionofXMLExternalEntityReference（'XXE'）（CWE-611）、未限制上传危险类型的文件UnrestrictedUploadofFilewithDangerousType（CWE-434）、反序列化不可信的数据DeserializationofUntrustedData（CWE-502）、服务器端请求伪造（SSRF）Server-SideRequestForgery（SSRF）（CWE-918）、类型转换或强制类型转换错误IncorrectTypeConversionorCast（CWE-704）、不受控制的搜索路径元素UncontrolledSearchPathElement（CWE-427）、错误处理机制ErrorHandling（CWE-388）、对异常情况检查不当ImproperCheckforUnusualorExceptionalConditions（CWE-754）、会话过期处理不充分InsufficientSessionExpiration（CWE-613）、未加引号的搜索路径或元素UnquotedSearchPathorElement（CWE-428）、信道和路径错误ChannelandPathErrors（CWE-417）、时间和状态TimeandState（CWE-361）、对可索引的资源访问不当（‘范围错误’）IncorrectAccessofIndexableResource（'RangeError'）（CWE-118）、释放后重用（CWE-416）

设计错误

3

资源管理错误

资源管理错误

ResourceManagementErrors（CWE-399）、释放后重用（CWE-416）、不受控制的资源消耗（‘资源枯竭’）UncontrolledResourceConsumption（'ResourceExhaustion'）（CWE-400）、双重释放DoubleFree（CWE-415）

4

数字错误

数字错误

NumericErrors（CWE-189）、除零问题（除零错误）DivideByZero（CWE-369）、整数下溢（盘绕或回绕）IntegerUnderflow（WraporWraparound）（CWE-191）

5

输入验证错误

输入验证

ImproperInputValidation（CWE-20）、URL重定向至不可信的站点（‘开放重定向’）URLRedirectiontoUntrustedSite（'OpenRedirect'）（CWE-601）、整数溢出或回绕IntegerOverfloworWraparound（CWE-190）、数组下标验证不当ImproperValidationofArrayIndex（CWE-129）

输入验证错误

6

信息泄露

信息泄露

InformationExposure（CWE-200）、日志文件暴露信息InformationExp