《信息安全技术 安全漏洞等级划分指南》.docVIP

GB/TXXXXX—XXXX

PAGE4

ICS?FORMTEXT35.040

FORMTEXTL80

中华人民共和国国家标准

GB/TFORMTEXTXXXXX—FORMTEXTXXXX

FORMTEXT?????

FORMTEXT信息安全技术

安全漏洞等级划分指南

FORMTEXTInformationsecuritytechnology—Vulnerabilityclassificationguide

FORMTEXT?????

FORMDROPDOWN

FORMTEXT?????

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

GB/TXXXXX—XXXX

PAGEI

安全漏洞等级划分指南

范围

范围

本标准规定了信息系统安全漏洞（简称漏洞）的等级划分要素和危害程度级别。

本标准适用于信息安全漏洞管理组织和信息安全漏洞发布机构对信息安全漏洞危害程度的评估和认定，适用于信息安全产品生产、技术研发、系统运营等组织、机构在相关工作中参考。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069-2010信息安全技术术语

术语和定义

GB/T25069-2010中界定的以及下列术语和定义适用于本文件。

3.1

安全漏洞vulnerability

计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体所利用，就会对计算机信息系统的安全造成损害，从而影响计算机信息系统的正常运行。

[GB/T28458-2012，定义3.2]

3.2

完整性integrity

保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。

[GB/T20984-2007，定义3.10]

3.3

可用性availability

数据或资源的特性，被授权实体按要求能访问和使用数据或资源。

[GB/T20984-2007，定义3.3]

3.4

保密性confidentiality

数据所具有的特性，即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。

[GB/T20984-2007，定义3.5]

3.5

访问路径accesspath

攻击者利用安全漏洞影响目标系统的路径前提。

3.6

利用复杂度exploitcomplexity

对于安全漏洞可被利用于影响目标系统的技术、环境等条件的难度。

3.7

影响程度impactlevel

利用安全漏洞对目标系统造成的损害程度。

安全漏洞等级划分方法

等级划分要素

概述

安全漏洞等级划分要素包括访问路径、利用复杂度和影响程度三方面。

访问路径

访问路径的赋值包括：本地、邻接和远程，通常可被远程利用的安全漏洞危害程度高于可被邻接利用的安全漏洞，可本地利用的安全漏洞次之，见表1。

访问路径赋值说明表

赋值

描述

本地

利用该安全漏洞要求攻击者物理接触到受攻击的系统，或者已具有一个本地账号。本地攻击示例：本地权限提升等。

邻接

利用该安全漏洞要求攻击者与受攻击系统同处于一个广播域或冲突域中。邻接攻击示例：蓝牙、IEEE802.11等。

远程

不局限于本地和邻接。远程攻击示例：RPC缓冲区溢出漏洞。

利用复杂度

利用复杂度的赋值包括：简单和复杂，通常利用复杂度为简单的安全漏洞危害程度高，见表2。

攻击复杂度赋值说明表

赋值

描述

简单

无需借助外部条件，例如自动操作、无需授权即可完成攻击。

复杂

需要借助外部条件，例如需要人工参与点击文件、点击按钮或者用户授权。

影响程度

影响程度的赋值包括：完全、部分、轻微和无，通常影响程度为完全的安全漏洞危害程度高于影响程度为部分的安全漏洞，影响程度为轻微的安全漏洞次之，影响程度为无的安全漏洞可被忽略，见表3。

影响程度赋值说明表

赋值

描述

完全

安全漏洞对保密性、完整性和可用性的影响较严重，见表5序号1至7。

部分

安全漏洞对保密性、完整性和可用性影响相对较轻，见表5序号8至17。

轻微

安全漏洞对保密性、完整性和可用性影响最轻，见表5序号18至26。

无

安全漏洞对保密性、完整性和可用性影响均为无，见表5序号27

影响程度的赋值由安全漏洞对目标的保密性、完整性和可用性三个方面的影响共同导出，每个方面的影响