从国标谈网络安全漏洞的分类分级

◆甘清云

从国标谈网络安全漏洞的分类分级

◆甘清云

（中国直升机设计研究所 天津 300300）

在网络空间里，每天都有大量的网络安全漏洞被发现和被利用，漏洞的类型日趋多样化，超危和高危漏洞的数量居高不下。本文从国家标准的角度介绍网络安全漏洞的分类和分级，供相关读者参考。

国标；网络安全漏洞；分类；分级

0 引言

2018年国家信息安全漏洞库（CNNVD）公布的漏洞数量为14866个，2017年的漏洞数量为12443个，年增长率约为19.6%。从这组数据我们不难看出网络安全漏洞数量正以较快速度增长，与此同时，网络安全漏洞的类型也日趋多样化。

1 网络安全漏洞简介

网络安全漏洞是网络产品或系统在需求、设计、实现、配置、运行等过程中，无意或有意产生的缺陷或薄弱点。这些缺陷或薄弱点以不同形式存在于网络产品或系统的各个层次和环节之中，一旦被恶意主体所利用，就会对网络产品或系统的安全造成损害，从而影响其正常运行。

我们国家主要的漏洞库平台有国家信息安全漏洞库（CNNVD）、国家信息安全漏洞共享平台（CNVD）等。CNNVD由中国信息安全评测中心维护，CNVD由国家计算机网络应急技术处理协调中心维护。国际上漏洞库平台主要有通用缺陷枚举（Common Weakness Enumeration）、通用漏洞评价系统（Common Vulnerability Scoring System 3.0）等。

2 GB-T 33561-2017《信息安全技术安全漏洞分类》

GB/T 33561-2017根据漏洞的形成原因、所处空间和时间对其进行分类。根据漏洞的形成原因可分为：边界条件错误、数据验证错误、访问验证错误、处理逻辑错误、同步错误、意外处理错误、对象验证错误、配置错误、设计缺陷、环境错误或其他。根据漏洞在计算机信息系统所处的位置可分为：应用层漏洞、系统层漏洞和网络层漏洞。根据漏洞在软件生命周期的时间关系可分为：生成阶段漏洞、发现阶段漏洞、利用阶段漏洞和修补阶段漏洞。

3 GB/T 30279-2013《信息安全技术安全漏洞等级划分指南》

GB/T 30279-2013对安全漏洞等级划分指标和危害程度级别进行了定义。给出了安全漏洞等级划分的方法，规定安全漏洞等级划分指标包括访问路径、利用复杂度和影响程度三个方面。安全漏洞的危害程度从低至高依次为低危、中危、高危和超危,具体的危害等级由三个指标的取值共同决定。

4 《信息安全技术网络安全漏洞分类分级指南》

随着近年云计算、大数据、物联网、人工智能、移动互联网等新技术的快速发展，GB/T 33561-2017、 GB/T 30279-2013已经不能完全满足现阶段漏洞分类分级的要求，急需对上述标准进行内容修订。漏洞的分类和分级是描述漏洞本质和影响程度的两个重要方面，《信息安全技术网络安全漏洞分类分级指南》将GB/T 33561-2017和GB/T 30279-2013合并修订。2018年12月26日，《信息安全技术网络安全漏洞分类分级指南》（征求意见稿）面向社会广泛征求意见。

（1）网络安全漏洞分类

“按成因分类”内容修订：将GB/T 33561-2017采用的线性分类框架调整为树形分类框架，并将现行漏洞分类标准由11类修订为32类。

“按空间分类”内容修订：将现行标准的3类修订为5类：在最底层和最顶层分别增加硬件层、协同层并且删除了时间分类。

（2）网络安全漏洞分级

增加了“被利用性”指标类，将“访问路径”及“利用复杂度”调整为该划分指标的子项；同时将“利用复杂度”拆分为“触发要求”、“权限需求”、“交互条件”等三个子项，如表１。

表1 网络安全漏洞分级

将“影响程度”指标类下的“保密性”、“完整性”、“可用性”指标赋值调整为“严重”、“一般”、“无”。新增“环境因素”指标类及其“利用成本”、“修复难度”、“影响范围”等子项。

网络安全漏洞危害技术分级反映从技术角度对漏洞危害等级的评估，从技术层面描述漏洞的危害程度，分为：超危、高危、中危、低危四个级别。网络安全漏洞危害技术分级与被利用性和影响程度两方面指标相关。

网络安全漏洞危害综合分级反映在特定的参考环境下对漏洞危害等级的评估，用于描述漏洞在参考环境下的危害程度，分为：超危、高危、中危、低危四个级别。网络安全漏洞危害综合分级与被利用性、影响程度和环境因素均相关。

5 结束语

《信息安全技术网络安全漏洞分类分级指南》不是对GB/T 33561-2017《信息安全技术安全漏洞分类》和GB/T 30279-2013《信息安全技术安全漏洞等级划分指南》的简单合并，而是结合当前的新技术、新经验以及相关标准法规做出的全面修订。

安全漏洞方面的其他2个标准GB/T 28458-2012《信息安全技术安全漏洞标识与描述规范》、GB/T 30276-2013《信息安全技术信息安全漏洞管理规范》也同步在修订过程当中，我们期待着网络安全漏洞国标的早日正式发布实施，以便更好地促进网络安全漏洞的分类管理、漏洞危害程度评估和认定等工作。

[1]张衡.网络安全漏洞法律问题研究[J].信息安全与通信保密,2015,04,21-24.

[2]芦伟.计算机网络安全漏洞与防范[J].网络安全技术与应用,2017,09,9-11.

[3]麦麦提依力·麦麦提明.浅谈计算机网络安全漏洞[J].科技经济导刊,2018,6,19.

[4]林丹.计算机网络安全漏洞分析研究[J].信息与电脑(理论版),2019,02,206-207.