信息安全技术 网络安全漏洞分类分级指南.doc

ICS 35.040L80中华人民共和国国家标准GB/T 30279—XXXX代替 GB/T30279—2013,GB/T 33561—2017信息安全技术 网络安全漏洞分类分级指南Information security technology — Guidelines for categorization and classification of cybersecurity vulnerability（征求意见稿）2019-10-10在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上XXXX - XX - XX发布XXXX - XX - XX实施GB/T 30279—XXXX目  次前  言 III1　范围 12　规范性引用文件 13　术语和定义 14　缩略语 15　网络安全漏洞分类 15.1　概述 15.2　代码问题 25.2.1　概述 25.2.2　资源管理错误 35.2.3　输入验证错误 35.2.4　数字错误 45.2.5　竞争条件问题 45.2.6　处理逻辑错误 45.2.7　加密问题 45.2.8　授权问题 45.2.9　数据转换问题 45.2.10　未声明功能 45.3　配置错误 55.3.1　概述 55.3.2　默认配置错误 55.4　环境问题 55.4.1　概述 55.4.2　信息泄露 55.4.3　故障注入 55.5　其他 56　网络安全漏洞分级 56.1　概述 56.2　网络安全漏洞分级指标 66.2.1　被利用性 66.2.2　影响程度 76.2.3　环境因素 86.3　网络安全漏洞分级方法 96.3.1　概述 96.3.2　网络安全漏洞指标评级 106.3.3　网络安全漏洞技术分级 106.3.4　网络安全漏洞综合分级 10附录A（规范性附录）　被利用性评级表 12附录B（规范性附录）　影响程度评级表 14附录C（规范性附录）　环境因素评级表 15附录D（规范性附录）　漏洞技术评级表 16附录E（规范性附录）　漏洞综合评级表 17附录F（规范性附录）　漏洞评级示例 18参 考 文 献 20前  言本标准按照GB/T 1.1—2009《标准化工作导则 第1部分：标准的结构和编写》给出的规则起草。

本标准代替GB/T 33561—2017《信息安全技术　安全漏洞分类》、GB/T 30279—2013《信息安全技术　安全漏洞等级划分指南》与GB/T 33561—2017、GB/T 30279—2013相比，除编辑性修改外的主要技术变化如下：—— 原标准GB/T 33561—2017和GB/T 30279—2013中的范围对应本标准的范围，内容进行合并修改—— 原标准GB/T 33561—2017和GB/T 30279—2013中的规范性引用文件对应本标准的规范性引用文件，引用文件内容有所补充—— 原标准GB/T 33561—2017和GB/T 30279—2013中的术语和定义对应本标准的术语和定义，内容进行合并修改—— 删除了原标准GB/T 33561—2017中的缩略语—— 原标准GB/T 33561—2017中的“按成因分类”对应本标准的“网络安全漏洞分类”，将原标准采用的线性分类框架调整为树形—— 删除原标准GB/T 33561—2017中的“按空间分类”—— 删除原标准GB/T 33561—2017中的“按时间分类”—— 原标准GB/T 30279—2013的“等级划分要素”对应本标准的“网络安全漏洞评级指标”，丰富了漏洞分级指标。

—— 原标准GB/T 30279—2013的“等级划分”对应本标准的“网络安全漏洞分级方法”，将原标准中的分级方法修订为技术分级和综合分级本标准由全国信息安全标准化技术委员会（TC260）提出并归口本标准起草单位：中国信息安全测评中心、北京中测安华科技有限公司、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、国家信息技术安全研究中心、国家计算机网络入侵防范中心、北京邮电大学、浙江蚂蚁小微金融服务集团股份有限公司、北京华顺信安科技有限公司、北京中电普华信息技术有限公司、上海三零卫士信息安全有限公司、杭州安恒信息技术股份有限公司、腾讯科技（北京）有限公司、北京启明星辰信息安全技术有限公司、深信服科技股份有限公司、上海犇众信息技术有限公司、中新网络信息安全股份有限公司、北京奇安信科技有限公司、北京长亭科技有限公司、恒安嘉新（北京）科技股份公司、四川省信息安全测评中心本标准主要起草人：郝永乐、贾依真、郑亮、时志伟、张宝峰、李斌、侯元伟、曲泷玉、孟德虎、张兰兰、毛军捷、饶华一、许源、上官晓丽、任泽君、舒敏、崔牧凡、王文磊、王宏、连樱、张丹、崔宝江、沈传宝、赵武、林亮成、李智林、陈晨、张芳蕾、张玉清、刘奇旭、史慧洋、白健、王宇、杨坤、刘志乐、叶润国、刘桂泽、朱钱杭、韩争光、朱劲波、陈晓光、崔婷婷、王丹琛。

IIIGB/T 30279—XXXX信息安全技术　网络安全漏洞分类分级指南1　 范围本标准给出了网络安全漏洞（简称“漏洞”）的分类方式、分级指标及分级方法指南本标准适用于网络产品、服务的提供者、网络运营者、漏洞收录组织、漏洞应急组织在漏洞信息管理，网络产品生产、技术研发、系统运营等相关活动中进行的漏洞分类、漏洞危害等级评估等工作2　 规范性引用文件 下列文件对于本文件的应用是必不可少的凡是标注日期的引用文件，仅标注日期的版本适用于本文件凡是不标注日期的引用文件，其最新版本（包括所有的修改）适用于本文件GB/T 20984　信息安全技术　信息安全风险评估规范GB/T 22186　信息安全技术 具有中央处理器的 IC 卡芯片安全技术要求GB/T 25069　信息安全技术 术语GB/T 28458　信息安全技术　安全漏洞标识与描述规范GB/T 30276　信息安全技术　安全漏洞管理规范3　 术语和定义GB/T 25069、GB/T 20984、GB/T 28458、GB/T 30276中界定的术语和以下定义适用于本文件3.1　 受影响组件　impacted component在网络产品或系统中，漏洞触发受影响的组件。

4　 缩略语下列缩略语适用于本文件SQL 结构化查询语言(Structured Query Language)5　 网络安全漏洞分类5.1　 概述网络安全漏洞分类是基于漏洞产生或触发的技术原因对漏洞进行的划分，分类导图如图1所示本标准采用树形导图对漏洞进行分类，首先从根节点开始，根据漏洞成因将漏洞归入某个具体的类别，如果该类型节点有子类型节点，且漏洞成因可以归入该子类型，则将漏洞划分为该子类型，如此递归，直到漏洞归入的类型无子类型节点或漏洞不能归入子类型为止图1　 网络安全漏洞分类导图5.2　 代码问题5.2.1　 概述此类漏洞指网络产品或系统的代码开发过程中因设计或实现不当而导致的漏洞5.2.2　 资源管理错误此类漏洞指因对系统资源（如内存、磁盘空间、文件、CPU使用率等）的错误管理导致的漏洞5.2.3　 输入验证错误5.2.3.1　 概述此类漏洞指因对输入的数据缺少正确的验证而产生的漏洞5.2.3.2　 缓冲区错误此类漏洞指在内存上执行操作时，因缺少正确的边界数据验证，导致在其向关联的其他内存位置上执行了错误的读写操作，如缓冲区溢出、堆溢出等5.2.3.3　 注入5.2.3.3.1　 概述此类漏洞指在通过用户输入构造命令、数据结构或记录的操作过程中，由于缺乏对用户输入数据的正确验证，导致未过滤或未正确过滤掉其中的特殊元素，引发的解析或解释方式错误问题。

5.2.3.3.2　 格式化字符串错误此类漏洞指接收外部格式化字符串作为参数时，因参数类型、数量等过滤不严格，导致的漏洞5.2.3.3.3　 跨站脚本此类漏洞是指在WEB应用中，因缺少对客户端数据的正确验证，导致向其他客户端提供错误执行代码的漏洞5.2.3.3.4　 命令注入a) 概述此类漏洞指在构造可执行命令过程中，因未正确过滤其中的特殊元素，导致生成了错误的可执行命令b) 操作系统命令注入此类漏洞指在构造操作系统可执行命令过程中，因未正确过滤其中的特殊字符、命令等，导致生成了错误的操作系统执行命令c) 参数注入此类漏洞指在构造命令参数过程中，因未正确过滤参数中的特殊字符，导致生成了错误的执行命令5.2.3.3.5　 代码注入此类漏洞指在通过外部输入数据构造代码段的过程中，因未正确过滤其中的特殊元素，导致生成了错误的代码段，修改了网络系统或组件的预期的执行控制流5.2.3.3.6　 SQL注入此类漏洞指在基于数据库的应用中，因缺少对构成SQL语句的外部输入数据的验证，导致生成并执行了错误的SQL语句5.2.3.4　 路径遍历此类漏洞指因未能正确地过滤资源或文件路径中的特殊元素，导致访问受限目录之外的位置。

5.2.3.5　 后置链接此类漏洞指在使用文件名访问文件时，因未正确过滤表示非预期资源的链接或者快捷方式的文件名，导致访问了错误的文件路径5.2.3.6　 跨站请求伪造此类漏洞指在WEB应用中，因未充分验证请求是否来自可信用户，导致受欺骗的客户端向服务器发送非预期的请求5.2.4　 数字错误此类漏洞指因未正确计算或转换所产生数字，导致的整数溢出、符号错误等漏洞5.2.5　 竞争条件问题此类漏洞指因在并发运行环境中，一段并发代码需要互斥地访问共享资源时，因另一段代码在同一个时间窗口可以并发修改共享资源而导致的安全问题5.2.6　 处理逻辑错误此类漏洞是在设计实现过程中，因处理逻辑实现问题或分支覆盖不全面等原因造成5.2.7　 加密问题此类漏洞指未正确使用相关密码算法，导致的内容未正确加密、弱加密、明文存储敏感信息等问题5.2.8　 授权问题此类漏洞指因缺少身份验证措施或身份验证强度不足而导致的安全问题5.2.8.1　 信任管理问题此类漏洞是因缺乏有效的信任管理机制，导致受影响组件存在可被攻击者利用的默认密码或者硬编码密码、硬编码证书等问题5.2.8.2　 权限许可和访问控制问题此类漏洞指因缺乏有效的权限许可和访问控制措施而导致的安全问题。

5.2.9　 数据转换问题此类漏洞是指程序处理上下文因对数据类型、编码、格式、含义等理解不一致导致的安全问题5.2.10　 未声明功能此类漏洞指通过测试接口、调试接口等可执行非授权功能导致的安全问题例如，若测试命令或调试命令在使用阶段仍可用，则可被攻击者用于显示存储器内容或执行其它功能5.3　 配置错误5.3.1　 概述此类漏洞指网络系统、网络产品或组件在使用过程中因配置文件、配置参数等不合理导致的漏洞5.3.2　 默认配置错误此类漏洞指因默认不安全的配置状态而产生的漏洞5.4　 环境问题5.4.1　 概述此类漏洞指因受影响组件部署运行环境的原因导致的安全问题5.4.2　 信息泄露5.4.2.1　 概述此类漏洞是指在运行过程中，因配置等错误导致的受影响组件信息被非授权获取的漏洞5.4.2.2　 日志信息泄露此类漏洞指因日志文件非正常输出导致的信息泄露5.4.2.3　 调试信息泄露此类漏洞指在运行过程中因调试信息输出导致的信息泄露5.4.2。