网络安全漏洞级别判定方法.pdfVIP

ICS91.120.25

CCSL70

21

辽宁省地方标准

DBXX/TXXXX—XXXX

网络安全漏洞级别判定方法

MethodforDeterminingtheLevelofNetworkSecurityVulnerability

（征求意见稿）

XXXX-XX-XX发布XXXX-XX-XX实施

辽宁省市场监督管理局发布

DBXX/TXXXX—XXXX

目次

前言III

1范围4

2规范性引用文件4

3术语和定义4

4网络安全漏洞分类4

4.1基本分类4

4.2配置问题4

4.2.1描述4

4.3代码问题5

4.3.1描述5

4.3.2输入验证5

4.3.3数字错误7

4.3.4信息泄露7

4.3.5安全特征问题7

4.3.6竞争条件8

4.3.7资源管理错误8

4.4资料不足8

4.4.1描述8

5网络安全漏洞分级8

5.1漏洞等级-严重9

5.2漏洞等级-高危9

5.3漏洞等级-中危9

5.4漏洞等级-低危9

5.5忽略9

6网络安全漏洞判定9

6.1基本分类9

6.2网络安全漏洞判定指标10

6.2.1被利用性10

6.2.2影响程度11

6.2.3环境因素12

6.3网络安全漏洞判定方法13

6.3.1概述13

6.3.2网络安全漏洞指标分级13

6.3.3网络安全漏洞技术分级13

6.3.4网络安全漏洞综合分级14

附录A（规范性）被利用性分级表15

I

DBXX/TXXXX—XXXX

附录B（规范性）影响程度分级表17

附录C（规范性）环境因素分级表18

附录D（规范性）漏洞技术分级表19

附录E（规范性）漏洞综合分级表20

附录F（规范性）漏洞分级示例21

F.1示例一OpenSSL缓冲区溢出(CVE-2014-0160)漏洞分级示例21

F.1.1漏洞名称21

F.1.2漏洞简介21

F.1.3漏洞分级示例21

F.1.4漏洞分级21

F.2示例二开源软件Plaitplaiter文件覆盖（CVE-2008-4085）漏洞分级示例22

F.2.1漏洞名称22

F.2.2漏洞介绍22

F.2.3漏洞分级示例22

F.2.4漏洞分级22

II

DBXX/TXXXX—XXXX

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的