《信息安全技術(shù) 安全漏洞等級劃分指南》編制說明

《信息安全技術(shù)安全漏洞等級劃分指南》編制說明

中國信息安全測評中心

中國科學(xué)院研究生院國家計算機網(wǎng)絡(luò)入侵防范中心

2013.01.06

1

《信息安全技術(shù)安全漏洞等級劃分指南》

（征求意見稿）編制說明

一、工作簡況

1.1任務(wù)來源

2008年，經(jīng)國標(biāo)委批準(zhǔn)，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）主

任辦公會討論通過，研究制定《信息安全技術(shù)安全漏洞等級劃分指南》國家標(biāo)

準(zhǔn),國標(biāo)計劃號：20111600－T-469。該項目由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提

出，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口，由中國信息安全測評中心和中國科學(xué)

院研究生院國家計算機網(wǎng)絡(luò)入侵防范中心聯(lián)合編制。

《信息安全技術(shù)安全漏洞等級劃分指南》是安標(biāo)委2006年《漏洞等級劃

分標(biāo)準(zhǔn)基礎(chǔ)研究》項目的延續(xù)。

1.2.1預(yù)研立項

2006年《國家信息安全戰(zhàn)略研究與標(biāo)準(zhǔn)制定工作專項》課題《安全漏洞危害

等級劃分標(biāo)準(zhǔn)》基礎(chǔ)研究，研究國際和國內(nèi)漏洞危害等級的評定現(xiàn)狀，通過對漏

洞利用造成的后果、對系統(tǒng)安全屬性的危害、漏洞可利用的難易程度等方面的分

析，總結(jié)影響漏洞安全危害等級的特征屬性選取、特征屬性的定性和定量分析、

安全危害等級的綜合評價方法等內(nèi)容。

1.2.2預(yù)研結(jié)題

2008年完成《漏洞等級劃分標(biāo)準(zhǔn)基礎(chǔ)研究》課題。本課題，通過對國內(nèi)外漏

洞等級劃分方法進(jìn)行深入分析和研究，不僅能夠提高我國軟件與系統(tǒng)的安全性，

同時對保障計算機軟件與系統(tǒng)安全，優(yōu)化我國網(wǎng)絡(luò)安全環(huán)境，構(gòu)筑我國網(wǎng)絡(luò)安全

防御體系具有重要意義。

1.2.3標(biāo)準(zhǔn)立項

2008年12月，《信息安全技術(shù)安全漏洞等級劃分指南》被全國信息安全標(biāo)

準(zhǔn)化技術(shù)委員會正式立項，定性為國家推薦性標(biāo)準(zhǔn)。

2

中國信息安全測評中心和中國科學(xué)院研究生院國家計算機網(wǎng)絡(luò)入侵防范中

心成立標(biāo)準(zhǔn)編制組，并于2008年12月召開第一次課題組會議，明確兩家單位分

工并制定標(biāo)準(zhǔn)編制計劃。

1.2主要工作過程

《安全漏洞等級劃分指南》制定過程包括前期的預(yù)研、標(biāo)準(zhǔn)立項、草案擬定、

征求意見、專家評審、修改草案、形成征求意見稿、形成送審稿、形成報批稿等

過程。其中“評審-修改”過程為反復(fù)執(zhí)行過程，目前經(jīng)歷過8次評審、征求意

見和修改的過程，如圖1所示。

圖1工作過程流程圖

8次評審或征求意見共征集到90多條意見和建議，我們逐條針對每條意見、

建議做了應(yīng)答和處理，廣納建議，更好的完善了我們的標(biāo)準(zhǔn)編制工作。具體意見

處理情況參見歷次專家意見反饋表。

1.3主要起草人及其所做工作

編制單位共兩家，分別為：中國信息安全測評中心和中國科學(xué)院研究生院

國家計算機網(wǎng)絡(luò)入侵防范中心。中國信息安全測評中心主要起草人有張翀斌、張

寶峰等人，中國科學(xué)院研究生院國家計算機網(wǎng)絡(luò)入侵防范中心主要起草人有張玉

清和劉奇旭等人。

其中，張翀斌與張玉清負(fù)責(zé)編制思路討論、制定，調(diào)研國內(nèi)國際情況以及

項目總體進(jìn)度的把握；張寶峰負(fù)責(zé)標(biāo)準(zhǔn)中漏洞等級劃分元素選取與對比分析；劉

奇旭負(fù)責(zé)漏洞等級劃分的方法，負(fù)責(zé)使用層次分析法分析、論證等級劃分結(jié)果等。

3

其他參與人員負(fù)責(zé)從國家信息安全漏洞庫隨機選取上百個漏洞，進(jìn)行實驗驗證。

根據(jù)實驗驗證結(jié)果調(diào)整漏洞等級劃分方法。

二、編制原則及標(biāo)準(zhǔn)主要內(nèi)容

2.1編制原則

之所以有眾多的安全漏洞評級方法，是因為不同的研究者在不同的層次使

用了不同的觀察角度。但所有研究者的共同目標(biāo)是研究一個科學(xué)、合理、易于數(shù)

據(jù)組織、便于相互交流并能直接應(yīng)用于脆弱性評估工具的安全漏洞評級方法和標(biāo)

準(zhǔn)。一個安全漏洞評級方法應(yīng)該滿足以下原則：

a)一致性：所用術(shù)語與已有的安全術(shù)語保持一致；

b)開放性：必須是免費可利用可采納的，對任何人都開放使用。一個封閉

的標(biāo)準(zhǔn)將不會被廣泛地實施，并且將不會幸存；

c)廣泛性：必須能夠評價任何信息系統(tǒng)類型中的所有可能的脆弱性，即適

用于不同的需要和不同的系統(tǒng)；

d)互操作性：應(yīng)該能與現(xiàn)有的技術(shù)和基礎(chǔ)設(shè)施配合運作，并且不依賴專用

技術(shù)或形式；

e)靈活性：應(yīng)該能夠針對不同的運行環(huán)境來定制不同的風(fēng)險；

f)簡易性：必須能夠簡單直接地理解、實現(xiàn)和使用；

g)完備性：應(yīng)該包括任何對安全漏洞有影響的因素；

h)客觀性：要素的屬性值必須是從已知對象中獲得，并且能明確地觀測到；

i)可重復(fù)性：不同的人對特定目標(biāo)獨立地提取相同的屬性，其結(jié)果應(yīng)當(dāng)是

一致的(也和客觀性相關(guān))；

j)可理解性：各要素易于被安全知識和安全經(jīng)驗不足的用戶和管理員理解；

可接受性：評級科學(xué)、合理、準(zhǔn)確，能夠被行業(yè)廣泛接受。

2.2主要內(nèi)容

《信息安全技術(shù)安全漏洞等級劃分指南》旨在通過對安全漏洞利用造成的

后果、對系統(tǒng)安全屬性的危害、安全漏洞可利用的難易程度等方面的分析和研究，

提出一套科學(xué)的、合理的信息安全漏洞安全危害等級評定標(biāo)準(zhǔn)，用于安全漏洞處

4

理、風(fēng)險評估和風(fēng)險減緩等方面工作的參考。

《信息安全技術(shù)安全漏洞等級劃分指南》預(yù)計將成為我國重要的信息安全

技術(shù)標(biāo)準(zhǔn)，并為國家信息安全保障提供強有力的技術(shù)支撐。

三、分析論證過程及有關(guān)實驗

3.1草案第一版

2008年12月-2009年11月，課題組研究、分析CVSS等相關(guān)國內(nèi)外標(biāo)準(zhǔn)及

動態(tài)。調(diào)查分析包括美國國家漏洞庫NVD在內(nèi)的多家國外漏洞庫，研究其安全

漏洞等級劃分情況，調(diào)研收集資料，編制標(biāo)準(zhǔn)草案。2009年11月，課題組召開

第二次會議，準(zhǔn)備12月份的階段檢查工作，形成《安全漏洞等級劃分指南》草

案（第一版）。標(biāo)準(zhǔn)大綱包括：

1范圍

2術(shù)語和定義

3安全漏洞等級劃分方法

3.1等級劃分原則

3.2等級劃分要素

3.3等級劃分

在漏洞等級劃分體系中，包括以下四方面的要素：

a)VectorsofAttack(攻擊向量)

b)NewVectorofAttack(新的攻擊向量)

c)UniqueDataDestruction(獨特數(shù)據(jù)的破壞)

d)SignificantServiceDisruption(重要服務(wù)的拒絕)

3.2專家評審

2009年12月16日，在北京應(yīng)物會議中心向?qū)＜覅R報階段工作。仔細(xì)聽取專

家提出修改建議。專家建議及修改方案，請參看【專家意見匯總表-2009.12.16】

3.3草案第二版

2009年12月18日，課題組于中國信息安全測評中心召開第三次會議，討論

5

專家評審意見修改事宜。課題組全體成員仔細(xì)閱讀標(biāo)準(zhǔn)文稿，針對專家的每一條

建議對其加以修改：

經(jīng)過了解，已有專門的國標(biāo)制定項目，擬直接引用。漏洞是信息技術(shù)、

信息產(chǎn)品、信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、運行等過程中，有意

或無意產(chǎn)生的脆弱性，這些脆弱性以不同形式存在于信息系統(tǒng)的各個層

次和環(huán)節(jié)之中，可以被惡意主體所利用，從而對信息系統(tǒng)的安全造成損

害，影響構(gòu)建于信息系統(tǒng)之上正常服務(wù)的運行，危害信息系統(tǒng)及信息的

安全屬性。

由第一版的“攻擊向量”、“新的攻擊向量”、“獨特數(shù)據(jù)的破壞”和“重

要服務(wù)的拒絕”四個方面的屬性，調(diào)整為“攻擊范圍”、“攻擊復(fù)雜度”

和“攻擊影響”三個方面的屬性，其中“攻擊影響”包括“機密性”、“完

整性”和“可用性”三個屬性。由于漏洞的不可預(yù)測性，沒有辦法證明

屬性是否完備。課題組采取了廣泛調(diào)研、最佳實踐的方法最終選擇5個

屬性。能夠基本涵蓋當(dāng)前國際主流的等級劃分標(biāo)準(zhǔn)以及滿足實際工作需

要。

課題組將安全漏洞級別劃分為“緊急、高、中、低”四個級別。

完成《安全漏洞等級劃分指南》草案（第二版）

下面重點介紹一下四個級別選取的方法。

課題組對7家國際主流漏洞等級評定組織和機構(gòu)所考慮的漏洞屬性進(jìn)行了統(tǒng)

計，結(jié)果如表1所示。課題組認(rèn)為，低中高三個等級簡單易懂，但各等級涵蓋幅

度較寬，未考慮主要矛盾（最嚴(yán)重的少部分漏洞）。四個等級符合工作實際。在

原來低中高等級的基礎(chǔ)上，把高等級中那些最嚴(yán)重的漏洞再劃分為一個等級，予

以重點關(guān)注。因為極其嚴(yán)重的漏洞往往需要我們重點采取消控措施。根據(jù)實踐工

作，當(dāng)前CNNVD漏洞庫采用四個劃分等級，與課題組研究結(jié)論相符。因此，課

題組選擇四個等級，即安全漏洞被分為緊急、高、中、低4個級別。

表1國際主流安全漏洞等級評定結(jié)果

名稱漏洞等級具體內(nèi)容優(yōu)點缺點

劃分級別

6

NVD3低、中、高清晰，易劃分范圍較寬，未體現(xiàn)高危

理解漏洞

X-Force3低、中、高清晰，易沒有客觀打分的細(xì)節(jié)，劃分

理解范圍較寬，未體現(xiàn)高危漏洞

FrSIRT4低、中、高、緊急清晰，層考慮因素較少

次合理

微軟4不適用、中等、重考慮因素分類不明確，考慮因素較少

要、嚴(yán)重較詳細(xì)

Secunia5低、低危、中危、劃分較詳考慮因素較少，分界模糊

高危、極度嚴(yán)重細(xì)

3.4專家評審

2010年5月10日，在北京應(yīng)物會議中心向?qū)＜覅R報階段工作。仔細(xì)聽取專

家提出修改建議。專家建議及修改方案，請參看【專家意見匯總表-2010.05.10】

3.5草案第三版

2010年5月11日，課題組于中國信息安全測評中心召開第四次會議，討論

專家評審意見修改事宜。課題組全體成員仔細(xì)閱讀標(biāo)準(zhǔn)文稿，針對專家的每一條

建議對其加以修改：

目前沒有一個標(biāo)準(zhǔn)來識別哪些機構(gòu)或單位的資產(chǎn)是以機密性為主還是完

整性為主。國外也沒有對保密性、完整性和機密性進(jìn)行賦予權(quán)值來劃分

安全漏洞的做法。

使用GB1.1的標(biāo)準(zhǔn)格式，對文字的描述語言進(jìn)行精煉。

同意使用定性的評定方法，增加語言描述，使得指標(biāo)盡量具有可操作性。

盡量避免“廣泛”、“少量”等不好衡量的詞語。

將攻擊影響的高、中、低修改為：完全、部分、輕微、N/A。

將安全漏洞危害程度有原來的“緊急、高、中、低”變?yōu)椤俺?、高?！?/p>

中危、低危”4個等級

完成《安全漏洞等級劃分指南》草案（第三版）

7

安全漏洞等級劃分要素選取過程如下：

課題組對7家國際主流漏洞等級評定組織和機構(gòu)所考慮的漏洞屬性進(jìn)行了統(tǒng)

計，結(jié)果如表2所示。表2中的12個漏洞屬性中，“報告可信度、攻擊代碼可利

用性、修補情況、分布潛能、間接破壞風(fēng)險”等5個屬性都受外在因素影響?！靶?/p>

的攻擊向量”是微軟單獨提出，也隨著時間變化而發(fā)生變化。另外6個屬性分別

為：訪問向量、訪問復(fù)雜度、授權(quán)、完整性、可用性和保密性，不會隨著時間和

環(huán)境的變化而變化。

通過統(tǒng)計得出，在7個組織機構(gòu)所定義的共12中基本屬性中，出現(xiàn)幾率70%

以上的因素為6個，分別為訪問向量、訪問復(fù)雜度、授權(quán)、完整性、可用性和保

密性，這也側(cè)面說明了這6個屬性的代表性，其他因素都低于60%。同時，認(rèn)為

“訪問復(fù)雜度”和“授權(quán)”均屬于“攻擊復(fù)雜度”，因此二者合二為一；認(rèn)為“機

密性”、“完整性”和“可用性”均反映的攻擊影響效果，因此將三者統(tǒng)稱為“攻

擊影響”。

因此，課題組最終確定采用“攻擊范圍”、“攻擊復(fù)雜度”、“攻擊影響”三個

方面，共計五個屬性（攻擊影響包括三個屬性）來評估安全漏洞。

表2安全漏洞屬性統(tǒng)計

漏洞訪新的訪問授權(quán)對完對可對保報告攻擊修補分布間接

評價要素問訪問復(fù)雜整性用性密性可信代碼情況潛能破壞

機構(gòu)、向向量度的影的影的影度可利風(fēng)險

組織名稱量響響響用性

NVD√√√√√√√√√√√

微軟√√√√√√

FrSIRT√√√√√√

US-CERT√√√√√√√√√√

SANS√√√√√√√√

Secunia√√√√√

X-Force√√√√√√

出現(xiàn)次數(shù)716555644342

8

出現(xiàn)幾率10014.2985.7171.4371.4371.4385.7157.1457.1442.8657.1428.57

（%）

3.6專家評審

2011年6月10日，在中國信息安全測評中心向?qū)＜覅R報階段工作。仔細(xì)聽

取專家提出修改建議。專家建議及修改方案，請參看【專家意見匯總表

-2011.06.10】

3.7草案第四版

2011年6月13日，課題組于中國信息安全測評中心召開第五次會議，討論

專家評審意見修改事宜。課題組全體成員仔細(xì)閱讀標(biāo)準(zhǔn)文稿，針對專家的每一條

建議對其加以修改：

采用層次分析法（AHP）進(jìn)行分析推導(dǎo)，進(jìn)而得出等級劃分結(jié)論。

統(tǒng)一使用危害等級的描述安全漏洞的風(fēng)險。

對標(biāo)準(zhǔn)文本的“范圍”和“原則”部分進(jìn)行了精簡操作。

標(biāo)準(zhǔn)文本中使用“低危、中危、高危、超?！?個等級。

去掉參考文獻(xiàn)部分。

完成《安全漏洞等級劃分指南》草案（第四版）

3.7.1層次分析法介紹

美國運籌學(xué)家，T.L.Saaty等人在九十年代提出了一種能有效處理決策問題的

實用方法，稱之為TheAnalyticHierarchyProcess(AHP)，將決策問題分為3個層

次：目標(biāo)層，準(zhǔn)則層，措施層；每層有若干元素，各層元素間的關(guān)系用相連的直

線表示。通過相互比較確定各準(zhǔn)則對目標(biāo)的權(quán)重，及各方案對每一準(zhǔn)則的權(quán)重。

將上述兩組權(quán)重進(jìn)行綜合，確定各方案對目標(biāo)的權(quán)重。

設(shè)現(xiàn)在要比較n個因子X{x1,,xn}對某因素Z的影響大小，怎樣比較才

能提供可信的數(shù)據(jù)呢？Saaty等人建議可以采取對因子進(jìn)行兩兩比較建立成對比

較矩陣的辦法。即每次取兩個因子xi和xj，以aij表示xi和xj對Z的影響大小之

9

比，全部比較結(jié)果用矩陣A(aij)nn表示，稱A為ZX之間的成對比較判斷矩

陣（簡稱判斷矩陣）。容易看出，若xi與xj對Z的影響之比為aij，則xj與xi對Z

的影響之比應(yīng)為1。

aji

aij

定義1若矩陣A(aij)nn滿足

（i）aij0，

（）1（）

iiajii,j1,2,,n

aij

則稱之為正互反矩陣(易見aii1，i1,,n)。

關(guān)于如何確定aij的值，Saaty等建議引用數(shù)字1~9及其倒數(shù)作為標(biāo)度。表3

列出了1~9標(biāo)度的含義：

表3比較判斷矩陣元素取值方法

標(biāo)度含義

1表示兩個因素相比，具有相同重要性

3表示兩個因素相比，前者比后者稍重要

5表示兩個因素相比，前者比后者明顯重要

7表示兩個因素相比，前者比后者強烈重要

9表示兩個因素相比，前者比后者極端重要

2,4,6,8表示上述相鄰判斷的中間值

若因素i與因素j的重要性之比為aij，那么因素j與因素i

倒數(shù)

重要性之比為1。

aji

aij

從心理學(xué)觀點來看，分級太多會超越人們的判斷能力，既增加了作判斷的難

度，又容易因此而提供虛假數(shù)據(jù)。Saaty等人還用實驗方法比較了在各種不同標(biāo)

度下人們判斷結(jié)果的正確性，實驗結(jié)果也表明，采用1~9標(biāo)度最為合適。

判斷矩陣對應(yīng)于最大特征值的特征向量，經(jīng)歸一化后即為同一層次

AmaxW

相應(yīng)因素對于上一層次某因素相對重要性的排序權(quán)值，這一過程稱為層次單排

10

序。對決策者提供的判斷矩陣有必要作一次一致性檢驗，以決定是否能接受它。

對判斷矩陣的一致性檢驗的步驟如下：

（i）計算一致性指標(biāo)CI

n

CImax

n1

（ii）查找相應(yīng)的平均隨機一致性指標(biāo)RI。RI的值，如表4所示：

表4一致性指數(shù)表

n123456789…1819

RI000.580.901.121.241.321.411.45…1.62641.6327

（ⅲ）計算一致性比例CR

CI

CR

RI

當(dāng)CR0.10時，認(rèn)為判斷矩陣的一致性是可以接受的，否則應(yīng)對判斷矩陣

作適當(dāng)修正。

3.7.2層次分析法應(yīng)用

由于不存在定量的指標(biāo)，單憑個人的主觀判斷雖然可以比較兩個因素的相對

優(yōu)劣，但往往很難給出一個比較客觀的多因素優(yōu)劣次序。能不能把復(fù)雜的多因素

綜合比較問題轉(zhuǎn)化為簡單的兩因素相對比較問題？為了解決這個問題，我們利用

層次化分析方法。

在決策時需要考慮的因素主要有：

攻擊范圍[遠(yuǎn)程/鄰接/本地]

攻擊復(fù)雜度[簡單/復(fù)雜]

攻擊影響[完全/部分/輕微]

三個要素的排列組合如表5所示。

表5要素取值組合

組合序號B1攻擊范圍B2攻擊復(fù)雜度B3攻擊影響

C1遠(yuǎn)程簡單完全

C2遠(yuǎn)程簡單部分

11

C3遠(yuǎn)程簡單輕微

C4遠(yuǎn)程復(fù)雜完全

C5遠(yuǎn)程復(fù)雜部分

C6遠(yuǎn)程復(fù)雜輕微

C7鄰接簡單完全

C8鄰接簡單部分

C9鄰接簡單輕微

C10鄰接復(fù)雜完全

C11鄰接復(fù)雜部分

C12鄰接復(fù)雜輕微

C13本地簡單完全

C14本地簡單部分

C15本地簡單輕微

C16本地復(fù)雜完全

C17本地復(fù)雜部分

C18本地復(fù)雜輕微

首先找出所有兩兩比較的結(jié)果，并且把它們定量化；然后再運用適當(dāng)?shù)臄?shù)學(xué)

方法從所有兩兩相對比較的結(jié)果之中求出多因素綜合比較的結(jié)果。具體的操作模

型如圖2所示，操作步驟如下：

圖2等級劃分AHP模型

步驟一：進(jìn)行兩兩相對比較，并把比較的結(jié)果定量化。

首先我們把各個因素標(biāo)記為B1：攻擊范圍；B2：攻擊復(fù)雜度；B3：攻擊

影響。不同準(zhǔn)則對目標(biāo)的成對比較矩陣如下：

12

B1B2B3

B1111/2

B2111/2

B3221

其全向量為W為：[0.25000.25000.5000]T

CR=0<0.1一致性可接受

步驟二：不同措施對攻擊范圍B1的影響的成對比較矩陣：

其權(quán)重向量W1為：

[0.11160.11160.11160.11160.11160.11160.0404

0.04040.04040.04040.04040.04040.01470.0147

0.01470.01470.01470.0147]T

CR=0.0015<0.1一致性可接受

步驟三：不同措施對攻擊復(fù)雜度B2的影響的成對比較矩陣：

13

其權(quán)重向量W2為：

[0.08330.08330.08330.02780.02780.02780.0833

0.08330.08330.02780.02780.02780.08330.0833

0.08330.02780.02780.0278]T

CR=0<0.1一致性可接受

步驟四：不同措施對攻擊影響B(tài)3的影響的成對比較矩陣：

其權(quán)重向量W3為：

[0.10620.04300.01750.10620.04300.01750.1062

0.04300.01750.10620.04300.01750.10620.0430

0.01750.10620.04300.0175]T

CR=0.0084<0.1一致性可接受

由此，各個方案相對于目標(biāo)層的總排序結(jié)果如表6所示。

表6AHP結(jié)果統(tǒng)計

C層對B層的相攻擊攻擊復(fù)攻擊B1B2B3C層總排

對權(quán)值范圍雜度影響0.250.250.50序

C1遠(yuǎn)程簡單完全0.11160.08330.10620.1018

C2遠(yuǎn)程簡單部分0.11160.08330.04300.0702

C3遠(yuǎn)程簡單輕微0.11160.08330.01750.0575

C4遠(yuǎn)程復(fù)雜完全0.11160.02780.10620.0880

C5遠(yuǎn)程復(fù)雜部分0.11160.02780.04300.0563

14

C6遠(yuǎn)程復(fù)雜輕微0.11160.02780.01750.0436

C7鄰接簡單完全0.04040.08330.10620.0840

C8鄰接簡單部分0.04040.08330.04300.0524

C9鄰接簡單輕微0.04040.08330.01750.0397

C10鄰接復(fù)雜完全0.04040.02780.10620.0702

C11鄰接復(fù)雜部分0.04040.02780.04300.0386

C12鄰接復(fù)雜輕微0.04040.02780.01750.0258

C13本地簡單完全0.01470.08330.10620.0776

C14本地簡單部分0.01470.08330.04300.0460

C15本地簡單輕微0.01470.08330.01750.0333

C16本地復(fù)雜完全0.01470.02780.10620.0637

C17本地復(fù)雜部分0.01470.02780.04300.0321

C18本地復(fù)雜輕微0.01470.02780.01750.0194

根據(jù)C層總排序結(jié)果，并劃分評級結(jié)果如表7所示。

表7C層總排序與評級結(jié)果對照表

C層原始分四舍五入分評級結(jié)果

C10.10180.1超危

C40.0880.09高危

C70.0840.08高危

C130.07760.08高危

C20.07020.07高危

C100.07020.07高危

C160.06370.06中危

C30.05750.06中危

C50.05630.06中危

C80.05240.05中危

C140.0460.05中危

15

C60.04360.04低危

C90.03970.04低危

C110.03860.04低危

C150.03330.03低危

C170.03210.03低危

C120.02580.03低危

C180.01940.02低危

最終得到安全漏洞等級與三個評估要素的映射關(guān)系如表8所示。

表8安全漏洞等級劃分方法映射表

攻擊范圍攻擊復(fù)雜度攻擊影響漏洞等級

遠(yuǎn)程簡單完全超危

遠(yuǎn)程簡單部分高危

遠(yuǎn)程復(fù)雜完全高危

鄰接簡單完全高危

鄰接復(fù)雜完全高危

本地簡單完全高危

遠(yuǎn)程簡單不影響中危

遠(yuǎn)程復(fù)雜部分中危

鄰接簡單部分中危

本地簡單部分中危

本地復(fù)雜完全中危

遠(yuǎn)程復(fù)雜不影響低危

鄰接簡單輕微低危

鄰接復(fù)雜部分低危

鄰接復(fù)雜不影響低危

本地簡單不影響低危

本地復(fù)雜部分低危

16

本地復(fù)雜不影響低危

課題組選取了120個漏洞樣本進(jìn)行了實驗，樣本選取充分考慮了不同平臺

（Windows、AIX、LINUX、MACOS、Solaris等）、不同危害程度（低、中、高），

涵蓋了不同年份（2004年~2011年）和不同類型軟件（應(yīng)用軟件、系統(tǒng)軟件、數(shù)

據(jù)庫）的多種漏洞。得出的評價等級與實際情況較一致。

3.8專家評審

2011年11月18日，在中國信息安全測評中心向?qū)＜覅R報階段工作，專家對

課題組采用AHP的方法給予充分肯定。課題組仔細(xì)聽取專家提出修改建議。專

家建議及修改方案，請參看【專家意見匯總表-2011.11.18】

3.9草案第五版

2011年11月23-24日，課題組于北京召開第六次會議，討論專家評審意見

修改事宜。課題組全體成員仔細(xì)閱讀標(biāo)準(zhǔn)文稿，針對專家的每一條建議對其加以

修改：

前言提及GB/T1.1-2009，并按照GB/T1.1-2009的格式編寫，規(guī)范性引

用文件的引導(dǎo)語更新為最新版。

增加“術(shù)語和定義”引導(dǎo)語。根據(jù)專家的建議，修改其中的部分文字描

述內(nèi)容。

根據(jù)專家建議，將三個安全漏洞評估要素有原來的“攻擊范圍”、“攻擊

復(fù)雜度”、“攻擊影響”，分別改為“影響范圍”、“利用復(fù)雜度”和“影響

程度”。

增加資料性附錄，通過實際的案例說明本指南的使用方法。

完成《安全漏洞等級劃分指南》草案（第五版）。

資料性附錄目錄如下：

附錄A（資料性附錄）安全漏洞等級劃分及示例

17

A.1安全漏洞等級劃分步驟

A.2安全漏洞等級劃分舉例

3.10草案第六版

2011年12月5日，課題組收到國家信息技術(shù)安全研究中心反饋意見，根據(jù)

專家意見形成《安全漏洞等級劃分指南》草案第六版，具體修改內(nèi)容如下：

前言去掉前三句話

引言去掉第一段，第二段和第三段的有關(guān)描述進(jìn)行簡化。

范圍標(biāo)準(zhǔn)的規(guī)定和使用范圍界定清楚，重新描述

3.5攻擊范圍的描述，回避“攻擊”

3.6重新描述“利用復(fù)雜度”術(shù)語

4.1.2訪問范圍的賦值描述，增加一句話對鄰接的描述

4.1.3利用復(fù)雜度賦值的描述精煉一些

4.1.4表4中加一個“無”的描述

4.2表6中增加“攻擊范圍”對等級影響因素的描述

4.2表7中的“攻擊影響”應(yīng)為“影響程度”

3.11草案第七版

2011年12月15日，課題組收到國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心反饋

意見，根據(jù)專家意見形成《安全漏洞等級劃分指南》草案第七版，具體修改內(nèi)容

如下：

4.1.2將“范圍”改為“途徑”

4.1.4對信息安全三屬性的權(quán)重進(jìn)行微調(diào)

3.12專家評審

2012年3月2日，課題組在北京亞丁灣商務(wù)酒店向安標(biāo)委專家組匯報課題進(jìn)

展情況，匯報內(nèi)容包括《安全漏洞等級劃分指南》草案第七版、標(biāo)準(zhǔn)編制說明、

歷次專家反饋意見答復(fù)等內(nèi)容。

本次專家評審會議未對標(biāo)準(zhǔn)文本提出修改意見。

18

3.13專家評審及征求意見稿

2012年7月25日，安標(biāo)委專家組對課題進(jìn)展情況進(jìn)行了檢查。課題組內(nèi)容

包括《安全漏洞等級劃分指南》草案第七版、標(biāo)準(zhǔn)編制說明、歷次專家反饋意見

答復(fù)等內(nèi)容。專家提出建議如下：

訪問途徑的名字最好修改一下

在前言中加一句話“本標(biāo)準(zhǔn)按照GB/T1.1-2009給出的規(guī)則起草”

增加一句話“下列術(shù)語和定義適用于本文件?！?/p>

在標(biāo)準(zhǔn)正文最后增加一句話“安全漏洞等級劃分步驟及示例參見附錄

A?！?/p>

課題組根據(jù)專家意見形成《安全漏洞等級劃分指南》草案第八版（征求意見

稿），更新了編制說明，新增加一個專家意見反饋表，形成了第六章中所列的標(biāo)

準(zhǔn)框架和內(nèi)容。

3.14專家評審及形成送審稿

2013年1月6日，安標(biāo)委專家在北京應(yīng)物會議中心對《安全漏洞等級劃分指

南》草案第八版進(jìn)行了檢查。會議上，安標(biāo)委工作人員將公安部十一局、國家保

密局、國家密碼管理局、中國信息安全測評中心四家部門意見以及網(wǎng)上意見反饋

給項目組，同時安標(biāo)委專家對《安全漏洞等級劃分指南》草案第八版中的內(nèi)容提

出部分意見，總結(jié)整理如下：

1）公安部十一局、國家保密局、國家密碼管理局、中國信息安全測評中心

四家部門沒有對本標(biāo)準(zhǔn)的修改意見；

2）網(wǎng)上意見反饋中沒有對本標(biāo)準(zhǔn)的修改意見；

3）安標(biāo)委專家對本標(biāo)準(zhǔn)提出以下意見：

在封面中的日期下面增加一句話“提交反饋意見時，請將您知道的

相關(guān)專利連同支持性文件一并附上”

在前言中的全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會后面增加（SAC/TC260）

引言中的兩句話其實在范圍說明中已進(jìn)行了描述，引言這兩句話沒

有實際意義，且引言章節(jié)不是必須的，可以刪掉，能少則少

正文第二章規(guī)范性引用文件和第三章術(shù)語要協(xié)調(diào)一致，如果引用文

件中列出了“GB/T20984-2007”和“安全漏洞標(biāo)識與描述規(guī)范”，后

19

面正文中沒有其他引用，則要刪除。同時，若在術(shù)語項中說明了上

面兩個標(biāo)準(zhǔn)號，則3.1~3.4都要刪除。建議刪除規(guī)范性引用文件中的

“GB/T20984-2007”和“安全漏洞標(biāo)識與描述規(guī)范”，同時將當(dāng)前術(shù)

語中3.1~3.4的“選自”兩字去掉

表5在兩頁中出現(xiàn)了，要在第二頁中加三個字“表5續(xù)”，同時表頭

也要出現(xiàn)在下頁中

建議表5中增加一行，將對序號27的說明放到表中，加“注：”

課題組根據(jù)專家意見形成《安全漏洞等級劃分指南》送審稿，更新了編制說

明，新增加一個專家意見反饋表。

3.15專家函審及形成報批稿

2013年1月6日至2013年1月21日，由信安標(biāo)委秘書處組織全體委員對標(biāo)

準(zhǔn)送審稿進(jìn)行函審。所有委員確認(rèn)收到函審材料，均贊成，未提出修改意見和建

議。

根據(jù)秘書處意見對送審稿編制說明進(jìn)行了修改完善，形成報批稿。

四、國內(nèi)外安全漏洞等級劃分情況

4.1國際現(xiàn)狀

目前國外主要有以下安全漏洞等級劃分相關(guān)規(guī)范，如表9所示：

表9國外主要安全漏洞等級劃分規(guī)范

評級機構(gòu)漏洞等級劃分依據(jù)備注

Microsoft危急，高，中，低可利用性美國微軟公司

FrSIRT嚴(yán)重，高，中，低可利用性和后果法國漏洞研究機構(gòu)，已

變更為VUPEN

SANS高，中，低可利用性和后果美國安全研究和教育

組織

x-force高，中，低可利用性和后果被美國IBM公司收購

Securia低、低危、中危、高危、極可利用性和后果丹麥漏洞研究機構(gòu)

度嚴(yán)重

US-CERT0-180綜合（9個方面的問美國計算機應(yīng)急響應(yīng)

題）組織

NVD高，中，低CVSS綜合（3個層次的美國國家漏洞庫

計算）

其中，NVD依據(jù)CVSS量化打分來確定等級，CVSS（CommonVulnerability

20

ScoringSystem）是目前國外主要安全漏洞等級打分規(guī)范。該打分規(guī)范2004年

RSA大會上由CISCO、HP等眾多IT大腕公司聯(lián)合提出，具體由FIRST論壇管

理。2007年6月發(fā)布CVSS版本2.0。

可以看出，當(dāng)前國際漏洞等級劃分領(lǐng)域尚無統(tǒng)一方法。

4.2國內(nèi)現(xiàn)狀

國內(nèi)安全漏洞庫相關(guān)領(lǐng)域的研究最早開始于研究機構(gòu)，有部分研究者從事

安全漏洞庫的設(shè)計和實現(xiàn)工作，但他們的工作重點并不是收集和發(fā)布漏洞信息，

而是通過整合漏洞屬性設(shè)計合理完善的漏洞庫結(jié)構(gòu)，因此這類漏洞庫并沒有投入

實際應(yīng)用。隨著信息安全的發(fā)展，部分政府機構(gòu)、安全組織和公司開始根據(jù)自身

的需求建立漏洞庫。表10對國內(nèi)較有影響力的漏洞庫做了簡要分析。

表10國內(nèi)主要安全漏洞庫及等級劃分情況介紹

中國國家國家信息安全國家安全綠盟科技啟明星辰

信息安全漏洞共享平臺漏洞庫漏洞庫漏洞庫

漏洞庫

運營單中國信息國家互聯(lián)網(wǎng)應(yīng)國家計算機中聯(lián)綠盟北京啟明

位安全測評急中心與國家網(wǎng)絡(luò)入侵防信息技術(shù)星辰信息

中心信息技術(shù)安全范中心等（北京）有技術(shù)有限

研究中心等限公司公司

安全漏十一個屬十四個屬性十九個屬性十個屬性十八個屬

洞屬性性性

危害等危急、高、高、中、低緊急、高、中、不詳高、中、低

級劃分中、低低

從表9和表10可以看出，現(xiàn)有安全漏洞庫在安全漏洞等級劃分上存在嚴(yán)重

的不一致現(xiàn)象。我國缺乏國家標(biāo)準(zhǔn)的規(guī)范，容易造成用戶的誤解，也給信息共享、

流通和應(yīng)用造成障礙。

4.3項目組成果

本標(biāo)準(zhǔn)的制定，將解決當(dāng)前評價方法驗證不一致的情況。并給出一個操作性

強的評價方法。

課題組對7家國際主流漏洞等級評定組織和機構(gòu)所考慮的漏洞屬性進(jìn)行了統(tǒng)

計，結(jié)果下表所示。