《信息安全技术 安全漏洞分类规范》.docVIP

GB/TXXXXX—XXXX

PAGEII

ICS?FORMTEXT35.040

FORMTEXTL80

中华人民共和国国家标准

GB/TFORMTEXTXXXXX—FORMTEXTXXXX

FORMTEXT?????

FORMTEXT信息安全技术安全漏洞分类规范

FORMTEXTInformationsecuritytechnology——Vulnerabilitiesclassificationstandard

FORMTEXT点击此处添加与国际标准一致性程度的标识

FORMDROPDOWN

FORMTEXT2013-08

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

GB/TXXXXX—XXXX

GB/TXXXXX—XXXX

PAGE6

PAGE5

信息安全技术安全漏洞分类规范

范围

本标准规定了计算机信息系统安全漏洞的分类规范。

本标准适用于计算机信息系统安全管理部门进行安全漏洞管理和技术研究部门开展安全漏洞分析研究工作。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069-2010信息安全技术术语

GB/T28458-2012信息安全技术安全漏洞标识与描述规范

术语和定义

GB/T25069-2010界定的以及下列术语和定义适用于本标准。为了便于使用，以下重复列出了GB/T25069-2010中的一些术语和定义。

计算机信息系统ComputerInformationSystem

由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。[选自GB/T25069-2010，定义2.1.14]

安全漏洞Vulnerability

安全漏洞是计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体所利用，就会对计算机信息系统的安全造成损害，从而影响计算机信息系统的正常运行。[选自GB/T28458-2012，定义3.2]

安全漏洞分类VulnerabilitiesClassification

安全漏洞分类是指按照安全漏洞的特征属性划分类别。

缩略语

下列缩略语适用于本规范。

HTML

文本标记语言（HypertextMarkupLanguage）

LDAP

轻量目录访问协议（LightweightDirectoryAccessProtocol）

SQL

结构化查询语言（StructuredQueryLanguage）

XML

可扩展标记语言（ExtensibleMarkupLanguage）

XPATH

在XML文件中寻找信息的一种语言（XPATH）

XSS

Web应用系统的跨站脚本攻击（CrossSiteScripting）

安全漏洞分类

原则

本标准的制定遵循以下原则：

互斥性原则：各类别之间没有重叠。某一安全漏洞仅属于某一类别，不同时属于两个或两个以上类别。

扩展性原则：允许根据实际情况扩展安全漏洞的类别。

分类

常用的安全漏洞类别可按漏洞形成原因、漏洞所处空间和时间进行分类。

按成因分类

安全漏洞按照形成原因可分为：边界条件错误、数据验证错误、访问验证错误、处理逻辑错误、同步错误、意外处理错误、对象验证错误、配置错误、设计缺陷、环境错误或其他等。

边界条件错误

由于程序运行时未能有效控制操作范围导致的安全漏洞，如缓冲区溢出（堆、栈或其他数据结构）、缓冲区越界操作、格式串处理等。

数据验证错误

对数据中混杂操作指令或参数未能进行有效验证和正确处理导致的安全漏洞，如系统命令注入、命令参数注入、SQL注入、LDAP注入、XPATH注入、XSS注入等。

访问验证错误

由于没有对请求处理操作的资源做正确授权检查所导致的安全漏洞，如远程或本地文件包含、认证绕过等。

处理逻辑错误

由于程序对逻辑处理过程和实现功能存在问题所导致的安全漏洞，如程序逻辑处理错误、逻辑分支覆盖不全面等。

同步错误

由于程序对操作的同步处理不当所导致的安全漏洞，如竞争条件、不正确的数据序列化等。

意外处理错误

由于程序对意外情况发生后处理不当而导致的安全漏洞。

对象验证错误

由于程序处理使用对象时缺乏验证所导致的安全漏洞，如资源释放后重利用、各类对象错