网络安全漏洞风险级别评估指南.pdfVIP

DB21/TXXXX—XXXX

网络安全漏洞风险级别评估指南

1范围

本文件提供了网络安全漏洞风险级别评估指南的术语和定义、网络安全漏洞分类、网络安全资产分

类、网络安全漏洞风险定义和网络安全漏洞风险级别评估的建议。

本文件适用于网络产品和服务的提供者、网络运营者、网络安全评估机构在产品生产、技术研发、

网络运营、检测评估、漏洞管理等相关活动中进行的漏洞风险级别评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本指南必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本指南；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本

指南。

GB/T20984—2022信息安全技术信息安全风险评估方法

GB/T25069—2022信息安全技术术语

GB/T28458—2020信息安全技术安全漏洞标识与描述规范

GB/T30276—2020信息安全技术信息安全漏洞管理规范

GB/T30279—2020信息安全技术网络安全漏洞分类分级指南

3术语和定义

GB/T25069—2022、GB/T20984—2022、GB/T28458—2020、GB/T30276—2020、GB/T30279—2020

界定的术语和定义适用于本文件。

4风险级别评估框架及流程

网络安全漏洞风险级别评估基本要素包括漏洞严重程度和资产重要性等级两方面，基于这两方面要

素开展漏洞风险级别评估，基本要素的关系见图1。

图1漏洞风险级别评估要素及其关系

1

DB21/TXXXX—XXXX

开展网络安全漏洞风险级别评估时，要素之间的关系和评估流程如下：

a)网络安全的核心是资产，资产存在漏洞。漏洞包括漏洞风险类别和关联资产两个属性；

b)确认漏洞对应的漏洞风险分类及关联资产分类；

c)根据上述两个分类属性确认结果，建立漏洞风险分类与漏洞严重程度关系表、网络安全资产分类

与资产重要性等级关系表；

d)根据漏洞严重程度和关联资产重要性等级的结果，通过漏洞风险级别评估矩阵计算出漏洞风险分

值；

e)根据漏洞风险分值结果判定漏洞最终风险。

5漏洞分类

本指南引用GB/T30279—2020中5.1漏洞分类，通过技术特征提取、影响范围关联、结构化命名，

进一步细化扩展第三级网络安全漏洞子类。

技术特征提取、影响范围关联、结构化命名三者联动形成“技术路径清晰、危害可评估、命名标准

化”的网络安全漏洞三级分类方法，具体步骤如下：

a)枚举技术特征列表：针对每个二级分类，梳理其涉及的具体技术缺陷或攻击手法（如“输入验证

错误”下的“缓冲区溢出”“正则表达式注入”等）；

b)匹配影响范围：为每个技术特征明确对应的直接安全影响（基于必威体育官网网址性、完整性、可用性维度），

如“目录遍历”对应“敏感文件读取（必威体育官网网址性）”“恶意文件上传（完整性）”，同一技术特征

可能涉及多个影响需全部标注；

c)命名三级子类：采用“技术特征+影响结果/场景限定”模式命名，包括单一影响型（如“缓冲区

溢出漏洞”）、多影响型（如“路径遍历-任意文件下载”）、场景限定型（如“API接口-未授权

访问”），确保名称唯一且标准化。

依据网络安全漏洞三级分类方法，具体细化扩展出的网络安全漏洞风险三级分类示例见附录A.1。

6资产分类

本指南引用GB/T20984—2022中资产分类，通过功能维度解析、形式特征提取、组件结

构划分，进一步细化扩展第三级网络安全资产子类。

功能维度解析、形式特征提取、组件结构划分三者联动形成“业务定位清晰、形态特征明确、架构

层级标准化”的网络安全资产三级分类方法，具体步骤如下：

a)功能维度解析：针对每个二级资产分类，分析其承载的业务用途或技术功能，梳理出具体功能属

性（如“数据存储”“网络通信”“业务支撑