《网络安全漏洞风险级别评估指南》DB21T 4170-2025.docxVIP

ICS91.120.25CCSL70

21

辽宁省地方标准

DB21/T4170—2025

网络安全漏洞风险级别评估指南

Guidelinesforcybersecurityvulnerabilityriskclassifiedassessment

2025-08-30发布2025-09-30实施

辽宁省市场监督管理局发布

I

DB21/T4170—2025

目次

前言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4风险级别评估框架及流程 1

5漏洞分类 2

6资产分类 2

7风险级别评估 3

7.1漏洞风险严重程度识别 3

7.2资产重要性等级识别 3

7.3漏洞风险级别评估 4

附录A（资料性）网络安全漏洞风险及网络安全资产三级分类示例表 5

附录B（资料性）网络安全漏洞风险与严重程度对应关系及资产重要性等级识别示例表 10

附录C（资料性）网络安全漏洞风险级别评估示例 17

DB21/T4170—2025

III

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由辽宁省工业和信息化厅提出并归口。

本文件起草单位：北方实验室（沈阳）股份有限公司、辽宁鲲鹏生态创新中心有限公司、辽宁省通信管理局、辽宁省福利彩票中心、东北大学。

本文件主要起草人：张健楠、袁洪朋、张建宇、刘文志、韩晓娜、隋大智、王海涛、段晓祥、李琳、王继宏、王明俊、石绍群、刘兴华、马超、牛晓雷、何永建、闫丽杰、孙辉航、蒋绪军、任铭、李成、姚羽。

本文件发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈，我们将及时答复并认真处理，根据实际情况依法进行评估及复审。

归口管理部门通讯地址：辽宁省工业和信息化厅（沈阳市皇姑区北陵大街45-2号），联系电话：024

标准起草单位通讯地址：北方实验室（沈阳）股份有限公司（辽宁省沈阳市浑南区智慧三街199号），

联系电话：400-664-5588。

1

DB21/T4170—2025

网络安全漏洞风险级别评估指南

1范围

本文件提供了网络安全漏洞风险级别评估指南的术语和定义、网络安全漏洞分类、网络安全资产分类、网络安全漏洞风险定义和网络安全漏洞风险级别评估的建议。

本文件适用于网络产品和服务的提供者、网络运营者、网络安全评估机构在产品生产、技术研发、网络运营、检测评估、漏洞管理等相关活动中进行的漏洞风险级别评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本指南必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本指南；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本指南。

GB/T

20984—2022

信息安全技术信息安全风险评估方法

GB/T

25069—2022

信息安全技术术语

GB/T

28458—2020

信息安全技术安全漏洞标识与描述规范

GB/T

30276—2020

信息安全技术信息安全漏洞管理规范

GB/T

30279—2020

信息安全技术网络安全漏洞分类分级指南

3术语和定义

GB/T25069—2022、GB/T20984—2022、GB/T28458—2020、GB/T30276—2020、GB/T30279—2020界定的术语和定义适用于本文件。

4风险级别评估框架及流程

网络安全漏洞风险级别评估基本要素包括漏洞严重程度和资产重要性等级两方面，基于这两方面要素开展漏洞风险级别评估，基本要素的关系见图1。

漏洞

漏洞

关联资产属性

资产重要性等级

漏洞风险级别评估矩阵

漏洞风险级别

漏洞分类属性

漏洞严重程度

图1漏洞风险级别评估要素及其关系

2

DB21/T4170—2025

开展网络安全漏洞风险级别评估时，要素之间的关系和评估流程如下：

a)网络安全的核心是资产，资产存在漏洞。漏洞包括漏洞风险类别和关联资产两个属性；

b)确认漏洞对应的漏洞风险分类及关联资产分类；

c)根据上述两个分类属性确认结果，建立漏洞风险分类与漏洞严重程度关系表、网络安全资产分类与资产重要性等级关系表；

d)根据漏洞严重程度和关联资产重要性等级的