從國標(biāo)談網(wǎng)絡(luò)安全漏洞的分類分級(jí)

◆甘清云

從國標(biāo)談網(wǎng)絡(luò)安全漏洞的分類分級(jí)

◆甘清云

（中國直升機(jī)設(shè)計(jì)研究所 天津 300300）

在網(wǎng)絡(luò)空間里，每天都有大量的網(wǎng)絡(luò)安全漏洞被發(fā)現(xiàn)和被利用，漏洞的類型日趨多樣化，超危和高危漏洞的數(shù)量居高不下。本文從國家標(biāo)準(zhǔn)的角度介紹網(wǎng)絡(luò)安全漏洞的分類和分級(jí)，供相關(guān)讀者參考。

國標(biāo)；網(wǎng)絡(luò)安全漏洞；分類；分級(jí)

0 引言

2018年國家信息安全漏洞庫（CNNVD）公布的漏洞數(shù)量為14866個(gè)，2017年的漏洞數(shù)量為12443個(gè)，年增長率約為19.6%。從這組數(shù)據(jù)我們不難看出網(wǎng)絡(luò)安全漏洞數(shù)量正以較快速度增長，與此同時(shí)，網(wǎng)絡(luò)安全漏洞的類型也日趨多樣化。

1 網(wǎng)絡(luò)安全漏洞簡介

網(wǎng)絡(luò)安全漏洞是網(wǎng)絡(luò)產(chǎn)品或系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過程中，無意或有意產(chǎn)生的缺陷或薄弱點(diǎn)。這些缺陷或薄弱點(diǎn)以不同形式存在于網(wǎng)絡(luò)產(chǎn)品或系統(tǒng)的各個(gè)層次和環(huán)節(jié)之中，一旦被惡意主體所利用，就會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)品或系統(tǒng)的安全造成損害，從而影響其正常運(yùn)行。

我們國家主要的漏洞庫平臺(tái)有國家信息安全漏洞庫（CNNVD）、國家信息安全漏洞共享平臺(tái)（CNVD）等。CNNVD由中國信息安全評(píng)測中心維護(hù)，CNVD由國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心維護(hù)。國際上漏洞庫平臺(tái)主要有通用缺陷枚舉（Common Weakness Enumeration）、通用漏洞評(píng)價(jià)系統(tǒng)（Common Vulnerability Scoring System 3.0）等。

2 GB-T 33561-2017《信息安全技術(shù)安全漏洞分類》

GB/T 33561-2017根據(jù)漏洞的形成原因、所處空間和時(shí)間對(duì)其進(jìn)行分類。根據(jù)漏洞的形成原因可分為：邊界條件錯(cuò)誤、數(shù)據(jù)驗(yàn)證錯(cuò)誤、訪問驗(yàn)證錯(cuò)誤、處理邏輯錯(cuò)誤、同步錯(cuò)誤、意外處理錯(cuò)誤、對(duì)象驗(yàn)證錯(cuò)誤、配置錯(cuò)誤、設(shè)計(jì)缺陷、環(huán)境錯(cuò)誤或其他。根據(jù)漏洞在計(jì)算機(jī)信息系統(tǒng)所處的位置可分為：應(yīng)用層漏洞、系統(tǒng)層漏洞和網(wǎng)絡(luò)層漏洞。根據(jù)漏洞在軟件生命周期的時(shí)間關(guān)系可分為：生成階段漏洞、發(fā)現(xiàn)階段漏洞、利用階段漏洞和修補(bǔ)階段漏洞。

3 GB/T 30279-2013《信息安全技術(shù)安全漏洞等級(jí)劃分指南》

GB/T 30279-2013對(duì)安全漏洞等級(jí)劃分指標(biāo)和危害程度級(jí)別進(jìn)行了定義。給出了安全漏洞等級(jí)劃分的方法，規(guī)定安全漏洞等級(jí)劃分指標(biāo)包括訪問路徑、利用復(fù)雜度和影響程度三個(gè)方面。安全漏洞的危害程度從低至高依次為低危、中危、高危和超危,具體的危害等級(jí)由三個(gè)指標(biāo)的取值共同決定。

4 《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級(jí)指南》

隨著近年云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)的快速發(fā)展，GB/T 33561-2017、 GB/T 30279-2013已經(jīng)不能完全滿足現(xiàn)階段漏洞分類分級(jí)的要求，急需對(duì)上述標(biāo)準(zhǔn)進(jìn)行內(nèi)容修訂。漏洞的分類和分級(jí)是描述漏洞本質(zhì)和影響程度的兩個(gè)重要方面，《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級(jí)指南》將GB/T 33561-2017和GB/T 30279-2013合并修訂。2018年12月26日，《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級(jí)指南》（征求意見稿）面向社會(huì)廣泛征求意見。

（1）網(wǎng)絡(luò)安全漏洞分類

“按成因分類”內(nèi)容修訂：將GB/T 33561-2017采用的線性分類框架調(diào)整為樹形分類框架，并將現(xiàn)行漏洞分類標(biāo)準(zhǔn)由11類修訂為32類。

“按空間分類”內(nèi)容修訂：將現(xiàn)行標(biāo)準(zhǔn)的3類修訂為5類：在最底層和最頂層分別增加硬件層、協(xié)同層并且刪除了時(shí)間分類。

（2）網(wǎng)絡(luò)安全漏洞分級(jí)

增加了“被利用性”指標(biāo)類，將“訪問路徑”及“利用復(fù)雜度”調(diào)整為該劃分指標(biāo)的子項(xiàng)；同時(shí)將“利用復(fù)雜度”拆分為“觸發(fā)要求”、“權(quán)限需求”、“交互條件”等三個(gè)子項(xiàng)，如表１。

表1 網(wǎng)絡(luò)安全漏洞分級(jí)

將“影響程度”指標(biāo)類下的“保密性”、“完整性”、“可用性”指標(biāo)賦值調(diào)整為“嚴(yán)重”、“一般”、“無”。新增“環(huán)境因素”指標(biāo)類及其“利用成本”、“修復(fù)難度”、“影響范圍”等子項(xiàng)。

網(wǎng)絡(luò)安全漏洞危害技術(shù)分級(jí)反映從技術(shù)角度對(duì)漏洞危害等級(jí)的評(píng)估，從技術(shù)層面描述漏洞的危害程度，分為：超危、高危、中危、低危四個(gè)級(jí)別。網(wǎng)絡(luò)安全漏洞危害技術(shù)分級(jí)與被利用性和影響程度兩方面指標(biāo)相關(guān)。

網(wǎng)絡(luò)安全漏洞危害綜合分級(jí)反映在特定的參考環(huán)境下對(duì)漏洞危害等級(jí)的評(píng)估，用于描述漏洞在參考環(huán)境下的危害程度，分為：超危、高危、中危、低危四個(gè)級(jí)別。網(wǎng)絡(luò)安全漏洞危害綜合分級(jí)與被利用性、影響程度和環(huán)境因素均相關(guān)。

5 結(jié)束語

《信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級(jí)指南》不是對(duì)GB/T 33561-2017《信息安全技術(shù)安全漏洞分類》和GB/T 30279-2013《信息安全技術(shù)安全漏洞等級(jí)劃分指南》的簡單合并，而是結(jié)合當(dāng)前的新技術(shù)、新經(jīng)驗(yàn)以及相關(guān)標(biāo)準(zhǔn)法規(guī)做出的全面修訂。

安全漏洞方面的其他2個(gè)標(biāo)準(zhǔn)GB/T 28458-2012《信息安全技術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范》、GB/T 30276-2013《信息安全技術(shù)信息安全漏洞管理規(guī)范》也同步在修訂過程當(dāng)中，我們期待著網(wǎng)絡(luò)安全漏洞國標(biāo)的早日正式發(fā)布實(shí)施，以便更好地促進(jìn)網(wǎng)絡(luò)安全漏洞的分類管理、漏洞危害程度評(píng)估和認(rèn)定等工作。

[1]張衡.網(wǎng)絡(luò)安全漏洞法律問題研究[J].信息安全與通信保密,2015,04,21-24.

[2]蘆偉.計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞與防范[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017,09,9-11.

[3]麥麥提依力·麥麥提明.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全漏洞[J].科技經(jīng)濟(jì)導(dǎo)刊,2018,6,19.

[4]林丹.計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞分析研究[J].信息與電腦(理論版),2019,02,206-207.