◆甘清云

從國標談網絡安全漏洞的分類分級

◆甘清云

（中國直升機設計研究所 天津 300300）

在網絡空間里，每天都有大量的網絡安全漏洞被發(fā)現(xiàn)和被利用，漏洞的類型日趨多樣化，超危和高危漏洞的數(shù)量居高不下。本文從國家標準的角度介紹網絡安全漏洞的分類和分級，供相關讀者參考。

國標；網絡安全漏洞；分類；分級

0 引言

2018年國家信息安全漏洞庫（CNNVD）公布的漏洞數(shù)量為14866個，2017年的漏洞數(shù)量為12443個，年增長率約為19.6%。從這組數(shù)據(jù)我們不難看出網絡安全漏洞數(shù)量正以較快速度增長，與此同時，網絡安全漏洞的類型也日趨多樣化。

1 網絡安全漏洞簡介

網絡安全漏洞是網絡產品或系統(tǒng)在需求、設計、實現(xiàn)、配置、運行等過程中，無意或有意產生的缺陷或薄弱點。這些缺陷或薄弱點以不同形式存在于網絡產品或系統(tǒng)的各個層次和環(huán)節(jié)之中，一旦被惡意主體所利用，就會對網絡產品或系統(tǒng)的安全造成損害，從而影響其正常運行。

我們國家主要的漏洞庫平臺有國家信息安全漏洞庫（CNNVD）、國家信息安全漏洞共享平臺（CNVD）等。CNNVD由中國信息安全評測中心維護，CNVD由國家計算機網絡應急技術處理協(xié)調中心維護。國際上漏洞庫平臺主要有通用缺陷枚舉（Common Weakness Enumeration）、通用漏洞評價系統(tǒng)（Common Vulnerability Scoring System 3.0）等。

2 GB-T 33561-2017《信息安全技術安全漏洞分類》

GB/T 33561-2017根據(jù)漏洞的形成原因、所處空間和時間對其進行分類。根據(jù)漏洞的形成原因可分為：邊界條件錯誤、數(shù)據(jù)驗證錯誤、訪問驗證錯誤、處理邏輯錯誤、同步錯誤、意外處理錯誤、對象驗證錯誤、配置錯誤、設計缺陷、環(huán)境錯誤或其他。根據(jù)漏洞在計算機信息系統(tǒng)所處的位置可分為：應用層漏洞、系統(tǒng)層漏洞和網絡層漏洞。根據(jù)漏洞在軟件生命周期的時間關系可分為：生成階段漏洞、發(fā)現(xiàn)階段漏洞、利用階段漏洞和修補階段漏洞。

3 GB/T 30279-2013《信息安全技術安全漏洞等級劃分指南》

GB/T 30279-2013對安全漏洞等級劃分指標和危害程度級別進行了定義。給出了安全漏洞等級劃分的方法，規(guī)定安全漏洞等級劃分指標包括訪問路徑、利用復雜度和影響程度三個方面。安全漏洞的危害程度從低至高依次為低危、中危、高危和超危,具體的危害等級由三個指標的取值共同決定。

4 《信息安全技術網絡安全漏洞分類分級指南》

隨著近年云計算、大數(shù)據(jù)、物聯(lián)網、人工智能、移動互聯(lián)網等新技術的快速發(fā)展，GB/T 33561-2017、 GB/T 30279-2013已經不能完全滿足現(xiàn)階段漏洞分類分級的要求，急需對上述標準進行內容修訂。漏洞的分類和分級是描述漏洞本質和影響程度的兩個重要方面，《信息安全技術網絡安全漏洞分類分級指南》將GB/T 33561-2017和GB/T 30279-2013合并修訂。2018年12月26日，《信息安全技術網絡安全漏洞分類分級指南》（征求意見稿）面向社會廣泛征求意見。

（1）網絡安全漏洞分類

“按成因分類”內容修訂：將GB/T 33561-2017采用的線性分類框架調整為樹形分類框架，并將現(xiàn)行漏洞分類標準由11類修訂為32類。

“按空間分類”內容修訂：將現(xiàn)行標準的3類修訂為5類：在最底層和最頂層分別增加硬件層、協(xié)同層并且刪除了時間分類。

（2）網絡安全漏洞分級

增加了“被利用性”指標類，將“訪問路徑”及“利用復雜度”調整為該劃分指標的子項；同時將“利用復雜度”拆分為“觸發(fā)要求”、“權限需求”、“交互條件”等三個子項，如表１。

表1 網絡安全漏洞分級

將“影響程度”指標類下的“保密性”、“完整性”、“可用性”指標賦值調整為“嚴重”、“一般”、“無”。新增“環(huán)境因素”指標類及其“利用成本”、“修復難度”、“影響范圍”等子項。

網絡安全漏洞危害技術分級反映從技術角度對漏洞危害等級的評估，從技術層面描述漏洞的危害程度，分為：超危、高危、中危、低危四個級別。網絡安全漏洞危害技術分級與被利用性和影響程度兩方面指標相關。

網絡安全漏洞危害綜合分級反映在特定的參考環(huán)境下對漏洞危害等級的評估，用于描述漏洞在參考環(huán)境下的危害程度，分為：超危、高危、中危、低危四個級別。網絡安全漏洞危害綜合分級與被利用性、影響程度和環(huán)境因素均相關。

5 結束語

《信息安全技術網絡安全漏洞分類分級指南》不是對GB/T 33561-2017《信息安全技術安全漏洞分類》和GB/T 30279-2013《信息安全技術安全漏洞等級劃分指南》的簡單合并，而是結合當前的新技術、新經驗以及相關標準法規(guī)做出的全面修訂。

安全漏洞方面的其他2個標準GB/T 28458-2012《信息安全技術安全漏洞標識與描述規(guī)范》、GB/T 30276-2013《信息安全技術信息安全漏洞管理規(guī)范》也同步在修訂過程當中，我們期待著網絡安全漏洞國標的早日正式發(fā)布實施，以便更好地促進網絡安全漏洞的分類管理、漏洞危害程度評估和認定等工作。

[1]張衡.網絡安全漏洞法律問題研究[J].信息安全與通信保密,2015,04,21-24.

[2]蘆偉.計算機網絡安全漏洞與防范[J].網絡安全技術與應用,2017,09,9-11.

[3]麥麥提依力·麥麥提明.淺談計算機網絡安全漏洞[J].科技經濟導刊,2018,6,19.

[4]林丹.計算機網絡安全漏洞分析研究[J].信息與電腦(理論版),2019,02,206-207.