信息安全技术 网络安全漏洞分类分级指南.docx
国家标准信息安全技术网络安全漏洞分类分级规范(草案)编制说明一、工作简况1.1任务来源根据国家标准化委员会于2018年下达的国家标准修订计划,信息安全技 术网络安全漏洞分类分级指南由中国信息安全测评中心作为承担单位。该标 准由全国信息安全标准化技术委员会归口管理。1.2主要起草单位和工作组成员本标准由中国信息安全测评中心(以下简称“国测”)牵头,国家信息技术 安全研究中心、国家计算机网络应急技术处理协调中心、中国电子技术标准化研 究院等多家单位共同参与编制。1.3主要工作过程(1) 2018年5月,组织参与本标准编写的相关单位召开项目启动会,成立规 范编制小组,确立各自分工,进行初步设计,并听取各协作单位的相关意见。(2) 2018年6月,编制组通过问卷调查的方式,向安全公司、专家收集关于 分类分级国标的修订意见,整理相关意见形成了信息安全漏洞分类分级修订建 议调查情况。编制组同时对国内外漏洞分类分级的现状做了调研,整理出信 息安全漏洞分类分级修订相关情况调研与分析报告,进一步佐证了标准修订的 必要性以及提供了标准修订的依据。(3) 2018年7月,编制组结合充分的调研结果,参考CWE、CVSS等国际 通用漏洞分类分级方法,提出详细的标准修订计划,形成标准草案第一稿。(4) 2018年8月,编制组召开组内研讨会,基于前期成果,经多次内部讨论 研究,组织完善草案内容,形成草案第二稿。2018年9月,编制组继续研究讨论,并与国内其他漏洞平台运营单位进行交流,吸收各位专家的意见,反复修订完善草案,形成草案第三稿。(6) 2018年10月8日,编制组召开针对草案第三稿的讨论会,会上各参与 单位的代表对漏洞分类分级的具体内容进行了深入讨论。根据讨论结果,编制组 对草案进行进一步修改,形成草案第四稿。(7) 2018年10月15日,安标委组织WG5组相关专家召开评审会,对项目 进行评审,审阅了标准草案文本、编制说明、意见汇总表等项目相关文档,质询 了有关问题,提出增加网络安全漏洞分类分级概述说明、细化编制说明、增加实 验验证和使用情况说明、简化分级评价指标等意见。根据专家意见,编制组对草 案进行进一步修改,形成草案第五稿。(8) 2018年10月19日,中国电子技术标准化研究院组织本标准、“信息 安全技术网络安全漏洞管理规范”和“信息安全技术 网络安全漏洞标识与描 述规范”等三个编制组召开研讨会,明确规范三个标准采用的定义和术语等内容, 进一步加强了标准的关联性和准确性。(9) 2018年10月24日,在2018年第二次全体会议WG5组工作会议上,编制组将草案编制情况向WG5组成员单位进行了介绍,并对成员单位意见进行 应答;通过草案评审,根据专家和成员单位意见对草案进行进一步修改,形成征 求意见稿。(10) 2018年11月21日,安标委组织本标准的专家审查会,着重对10 月24日会议专家意见的应答修改情况进行核查,并对标准文本、编制说明等材 料进行总体审查,提出进一步的修改意见。编制组对专家意见进行应答,并根据 采纳和部分采纳的专家意见内容,对标准文本和编制说明进行修改,更新专家意 见汇总表。二、标准编制原则和确定主要内容的论据及解决的主要问题2.1编制原则本标准的研究与编制工作遵循以下原则:(1) 通用性原则本标准在原国标GB-T 33561-2017信息安全技术 安全漏洞分类的基础 上,结合国内外漏洞分类分级相关领域的最新成果,如国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD)等国家级漏洞库的实践标 准,以及MITRE公司推出的通用缺陷枚举(CWE)、通用漏洞评价系统(CVSS 3.0)等,既保证标准编制内容的科学性,又使得标准内容更加符合我国国情。(2) 符合性原则遵循国家现有漏洞相关标准,符合国家有关法律法规和已编制标准规范的相 关要求,符合国家漏洞管理主管部门的要求。(3) 实用性原则本标准规范是对实际工作成果的总结与提升,对原国标漏洞分类、分级的结 构、形式、规则等进行筛选提炼,保持整体结构合理且维持原意和功能不变,兼 容国家级漏洞库,针对不同的用户群体,做到可操作、可用与实用。(4) 完备性原则本标准的完备性原则主要体现在两个方面:其一充分分析了 CWE的漏洞分 类情况,制定了与之兼容的漏洞分类类型;其二考虑到漏洞分级中涉及的漏洞 分级指标,基于原漏洞分级维度的基础上进行分级指标的扩展。因此本标准作为 通用性的漏洞分类分级要求,可适用于大多数漏洞。2.2修订依据随着近年人工智能、物联网、区块链等计算机技术的快速发展,网络安全漏 洞相关研究工作也相应发生了巨大的变化,目前国家标准GB/T 30279-2013信 息安全技术安全漏洞等级划分指南、GB/T 33561-2017信息安全技术安全 漏洞分类已经不能完全满足现阶段漏洞分类分级的技术要求。国家网络安全相 关部门、网络安全研究机构、网络安全漏洞研究人员等对漏洞分类分级的认识、 理解得到进一步发展,相应的产生了许多新的需求和应用。急需结合当前的新技 术、新经验以及相关标准法规等,对上述标准进行内容修订。此外,漏洞的分类和分级是描述漏洞本质和情况的两个重要方面,因此,建 议将GB/T 30279-2013信息安全技术 安全漏洞等级划分指南和 GB/T 33561-2017信息安全技术安全漏洞分类进行合并修订。为满足标准修订的现实需要,编制组通过问卷调查的方式,向18家安全公 司收集关于分类分级国标的修订意见,整理相关意见形成了信息安全漏洞分类 分级修订建议调查情况,主要意见包括如下几个方面:(1) 漏洞分类方面1) 随着近年人工智能、物联网、区块链等计算机技术的快速发展, 需要增加新的漏洞类型;2) 标准需要与中华人民共和国网络安全法等相关法律法规的相 关要求保持一致;3) 标准需要进一步与主流应用场景,如web、主机、终端、工控等 应用相适应;(2) 漏洞分级方面1) 需要参考增加环境因素的危害评估指标。2) 兼容现有CNNVD及CNVD等国家级漏洞库漏洞分级方法。3) 兼容CVSS3.0评分标准。在需求调研的基础上,编制组组织国内网络安全漏洞标准研究机构,围绕国 内外漏洞分类分级的相关标准和研究情况开展了相关的技术调研,形成了信息 安全漏洞分类分级修订相关情况调研与分析报告。在漏洞分类分级标准方面,编制组充分调研国内外漏洞分级的相关标准和研 究情况。对我国国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD)等机构以及补天漏洞响应平台、漏洞盒子、360企业安全、启明星辰、华顺信安等国内安全厂商使用的网络安全漏洞分类、分级实践标准;以及美国、 俄罗斯、日本、法国等国际上主要国家级漏洞库相关标准以及旧M、微软(Microsoft)> Secunia、赛门铁克(Symantec)、思科(Cisco)、甲骨文(Oracle) 等多家国际厂商使用的网络安全漏洞分类分级标准进行调研分析。对相关的漏洞分类分级的研究成果和文献进行了整理总结,重点对国家信息 安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD)的实践标准, 以及国际上应用较为规范的Common Vulnerability Scoring System(CVSS)分级 标准和 Common Vulnerabilities and Exposures (CVE)漏洞分类标准进行了深入 技术调研和分析。(1) 国家信息安全漏洞库(CNNVD)漏洞分类分级情况在漏洞分类方面,CNNVD将信息安全漏洞划分为26种类型,分别是:配 置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、 缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、注 入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任 管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、 访问控制错误、资料不足。在漏洞分级方面,CNNVD使用两组指标对漏洞进行评分,分别是可利用性 指标组和影响性指标组,并依据该评估结果对漏洞划分为超危、高危、中危、低 危共四个危害等级。其中,可利用性指标组描述漏洞利用的方式和难易程度,反 映脆弱性组件的特征,应依据脆弱性组件进行评分,影响性指标组描述漏洞被成 功利用后给受影响组件造成的危害,应依据受影响组件进行评分。(2) 国家信息安全漏洞共享平台(CNVD)漏洞分类分级情况在漏洞分类方面,CNVD根据漏洞产生原因,将漏洞分为11种类型:输入 验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错 误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误。此外, CNVD还进行了部分业务的划分,主要分为行业漏洞和应用漏洞,行业漏洞包括:电信、移动互联网、工控系统;应用漏洞包括web应用、安全产品、应用程序、 操作系统、数据库、网络设备等。在漏洞分级方面,使用自己内部分级标准,将网络安全漏洞划分为高、中、 低三种危害级别。(3) 通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)是由 美国国家基础设施顾问委员会(NIAC)开发、事件响应与安全组织论坛(FIRST) 维护的一个开放的计算机系统安全漏洞评估框架。CVSS是一个开放并且能够被 产品厂商免费采用的标准,其存在的主要目的是协助安全从业人员使用标准化、 规范化、统一化的语言对计算机系统安全漏洞的严重性进行评估。NIAC于2004 年提出了 CVSS v1.0,此版本经使用后发现存在很大问题,为解决存在问题并 增加CVSS的准确性,由CVSS-SIG发起修正案并进行修订。在2007年6月, FIRST公开发布了 CVSS v2.0。目前,CVSS的最新版本是v3.0,发布于2015 年6月10日。(4) 通用缺陷枚举(Common Weakness Enumeration,CWE)通用缺陷枚举(Common Weakness Enumeration,CWE)是由美国 MITRE 公司开发的一个描述在软件架构、设计以及编码等环节中存在的安全缺陷与漏洞 的通用规范,目前CWE共包含1040个条目,其中视图32个、类别247个、 缺陷与漏洞709个、合成元素7个,弃用45个。2.4修订内容本标准修订包括网络安全漏洞分类和分级两个方面。(1)网络安全漏洞分类修订内容1)现行漏洞分类标准介绍现行漏洞分类标准(GB/T 33561-2017信息安全技术安全漏洞分类)根据漏洞的形成原因、所处空间和时间对其进行分类。如图1所示,根据漏洞的 形成原因可分为:边界条件错误、数据验证错误、访问验证错误、处理逻辑错误、 同步错误、意外处理错误、对象验证错误、配置错误、设计缺陷、环境错误或其 他等。根据漏洞在计算机信息系统所处的位置可分为:应用层漏洞、系统层漏洞 和网络层漏洞。根据漏洞在软件生命周期的时间关系可分为:生成阶段漏洞、发2) “按成因分类”内容修订调整了按照成因分类的框架和指标。参考CWE标准和国内漏洞分类的实践 经验及特点,兼顾现有漏洞分类的使用场景和使用习惯,由于当前漏洞分类方法 缺少完备的理论支撑,所以将现行标准采用的线性分类框架调整为树形分类框 架,并将现行漏洞分类标准11类同步修订为32类,保留“其他”类别。如图2 所示:图2修订后的“按成因分类”导图采用树形分类导图对漏洞进行分类,首先从根节点开始,根据漏洞成因将漏 洞归入某个具体的类型,如果该类型节点有子类型节点,且漏洞可以归入该子类 型,则将漏洞划分为该子类型,如此递归,直到漏洞归入的类型无子类型节点或 漏洞不能归入子类型。3) “按空间分类”内容修订将该分类名称修订为“按位置分类”,同时考虑近年目前区块链漏洞、CPU 漏洞、供应链安全等相关网络安全技术的发展,按照现行标准的分类框架,将现 行标准的3类修订为5类:在最底层和最顶层分别增加硬件层、协同层。其中 “硬件层”定义为:硬件层漏洞影响最基本的信息处理、表示、存储等硬件,位 于信息系统最底层的实现部分,如:芯片漏洞、电路漏洞、漏洞等类似受影响实 体的漏洞。“协同层”定义为:协同层漏洞影响依靠网络构成的实现复杂应用的 协同信息系统,位于信息系统协同层面的部分,如:分布式业务系统、云计算系 统、传感器网络、区块链系统、工控系统等类似受影响实体的漏洞。调整后的“按 位置分类”漏洞类型如图3所示:图3修订后的“按位置分类”导图4)按“时间分类”内容修订考虑漏洞的时间分类更多属于漏洞的管理属性而非漏洞的本质属性,故删除 该分类。(2)网络安全漏洞分级修订内容1)现行网络安全漏洞分级标准介绍现行网络安全漏洞分级标准(GB/T 30279-2013信息安全技术安全漏洞 等级划分指南)对计算机信息系统安全漏洞等级划分指标和危害程度级别进行 了定义。此标准给出了安全漏洞等级划分方法,规定安全漏洞等级划分指标包括 访问路径、利用复杂度和影响程度三个方面。访问路径的赋值包括本地、邻接和 远程,通常可被远程利用的漏洞危害程度高于可被邻接利用的漏洞,可被本地利用 的漏洞次之。利用复杂度的赋值包括简单和复杂,通常利用复杂度简单的漏洞危 害程度高。影响程度的赋值包括完全、部分、轻微和无,通常影响程度越大的漏 洞的危害程度越高。安全漏洞的危害程度从低至高依次为低危、中危、高危和超 危,具体的危害等级由三个指标的不同取值共同决定。表1现行标准分级等级划分指标及赋值情况等级划分指标指标子项赋值情况访问路径本地邻接远程利用复杂度简单复杂影响程度保密性完全完整性部分可用性无2)网络安全漏洞分级修订在现行标准的基础上,调整网络安全漏洞分级框架,以更好地适用于当前漏 洞分级实践需要。为更好地兼容国内现行标准,编制组主要调研、参考CNNVD 和CNVD两个机构所使用的实践标准;同时,由于CVSS在美国、俄罗斯、欧 洲、法国、德国、日本等国家级漏洞库以及旧M、微软(Microsoft). Secunia、 赛门铁克(Symantec)、思科(Cisco)、甲骨文(Oracle)等许多国外大型软件和安全 安全厂商中使用,编制组对CVSS漏洞分级标准的情况也进行了较为深入的研 究,并对其进行兼容。将本标准漏洞分级框架(修订)调整如下所示:表2本标准漏洞分级框架(修订)漏洞分级漏洞指标指标级别指标子项子项赋值综合分级技术分级被利用性1级-9级访问路径网络、邻接、本地、物理触发要求低、高权限需求无、低、高交互条件无、有影响程度1级-9级保密性严重、一般和无完整性严重、一般和无可用性严重、一般和无环境因素1级-9级利用成本低、中、高修复难度高、中、低环境影响高、中、低、无主要修订内容包括:参考CNNVD、CNVD现行实践标准以及CVSS3.0漏洞分级框架,增加了“被利用性”指标类,将“访问路径”及“利用复杂度”调整为该划分指标的子 项;同时将“利用复杂度”拆分为“触发要求”、“权限需求”、“交互条件” 等三个子项。如下表所示:表3标准(修订)与CVSS3.0对比表指标类CVSS3.0标准(修订)CVSS3.0 赋值标准(修订)赋值被利用性Attack Vector(AV)访问路径Network (N)网络Adjacent (A)邻接Local (L)本地Physical (P)物理Attack Complexity(AC)触发要求Low (L)低High (H)高PrivilegesRequired (PR)权限需求None(N)无Low (L)低High (H)高User Interaction(UI)交互条件None(N)无Required (R)有影响程度Confidentiality (C)保密性High (H)严重Low (L)一般None(N)无Integrity 完整性High (H)严重Low (L)一般None(N)无Availability (A)可用性High (H)严重Low (L)一般None(N)无将“影响程度”指标类下的“保密性”、“完整性”、“可用性”指标赋值 调整为“严重”、“一般”、“无”。CVSS3.0标准中包括“Scope”指标, 本标准考虑“Scope”指标的复杂性,未使用该指标。由于“Scope”指标与漏 洞受影响对象的版本、运行环境等相关,与影响程度指标类、触发要求指标相关, 所以,本标准通过影响程度指标类、触发要求等来反映该指标。考虑漏洞在具体环境因素下的评级,参考CVSS3.0标准,新增“环境因素” 指标类及其“利用成本”、“修复难度”、“影响范围”等子项。其中,“利用 成本”反映漏洞实际被利用的难度;“修复难度”反映漏洞修复的难度;“影响 范围”反映漏洞受影响对象在参考环境中的数量和价值等,补充“影响程度”的 局限。技术分级用于从技术层面对漏洞进行分级,采用被利用性指标类和影响程度 指标类;综合分级用于在参考环境下对漏洞进行分级,采用被利用性指标类、影 响程度指标类和环境因素指标类。此外,在进行网络安全漏洞综合评级过程中, 可根据实际情况对“影响程度评级表”进行调整。2.5解决问题通过对本标准的修订,主要解决了现行标准的适用性问题,具体内容包括:(1)在漏洞分类方面,解决现行漏洞分类标准对多种漏洞类型和漏洞所处的 各类复杂的环境及场景的适用性、灵活性问题,提高标准的可操作性。(2)在漏洞分级方面,进一步优化漏洞分级框架,扩展分级指标,提高了漏洞分级的准确性、兼容性。2.6本标准与GB/T 28458和GB/T 30276的关系GB/T 28458信息安全技术安全漏洞标识与描述规范规定了信息与控制 系统安全漏洞的标识与描述规范。本标准为GB/T 28458漏洞标识与描述规范 中漏洞类别和等级的内容提供依据。GB/T 30276信息安全技术安全漏洞管理规范描述了在安全漏洞发现与 报告的过程中,漏洞应急组织、漏洞收录组织、漏洞关联厂商、信息系统管理者 等的管理原则、管理职责和工作要求,以及漏洞发现与报告处理流程。本标准适 用于漏洞应急组织、漏洞收录组织、漏洞关联厂商、信息系统管理者等的漏洞发 现与报告管理活动,包括漏洞的接收、验证、处置和发布等环节,为漏洞及时发 现、有效处置的工作提供参考。本标准为GB/T 30276信息安全技术安全漏 洞管理规范的网络安全漏洞分类的内容提供依据。三、主要验证情况分析在修订过程中,中国信息安全测评中心采用CNNVD、CNVD以及NVD等 多家机构的漏洞数据对本标准进行了验证。3.1漏洞分类验证情况修订后的漏洞类型能够基本覆盖CNNVD、CNVD和NVD等国内外重要漏 洞平台的漏洞类型。根据目前情况,CNNVD共划分26种漏洞类型,CNVD共 10种漏洞类型,NVD共124种漏洞类型,其中除CNVD之外CNNVD与NVD 均按照细化程度使用树形图结构对漏洞类型进行层次划分。为此,对于以上漏洞 分类标准的不同维度和细化程度,现修订标准可通过层级包含的关系对其现有各 类漏洞类型进行兼容和映射。相关对应关系如下表所示:表4标准分类对应关系序号国标(修订) 漏洞类型CNNVD漏洞类型NVD漏洞类型CNVD 漏 洞类型1配置错误配置错误Configuration (CWE-16)配置错误2代码问题代码问题Code (CWE-17)、空指针逆向引用NULL Pointer Dereference(CWE-476)、不可信 的搜索路径Untrusted Search Path(CWE-426)、数据处理 Data Handling(CWE-19)、XML 外部实体引用 (XXE)限制不当 Improper Restriction of XML External Entity Reference ('XXE')(CWE-611)、未限制上传危险类型 的文件 Unrestricted Upload of File with Dangerous Type(CWE-434)、反序列化不 可信的数据 Deserialization of Untrusted Data(CWE-502)、服务器端请求伪造 (SSRF)Server-Side Request Forgery (SSRF)(CWE-918)、类型转换或强制类型 转换错误 Incorrect Type Conversion or Cast(CWE-704)、不受控制的搜索路径元 素 Uncontrolled Search Path Element(CWE-427)、错误处理机制 Error Handling(CWE-388)、对异常情况检查不 当 Improper Check for Unusual or Exceptional Conditions(CWE-754)、会话 过期处理不充分Insufficient Session Expiration(CWE-613)、未加引号的搜索路 径或元素 Unquoted Search Path or Element(CWE-428)、信道和路径错误 Channel and Path Errors(CWE-417)、时 间和状态 Time and State(CWE-361)、对 可索引的资源访问不当(范围错误) Incorrect Access of Indexable Resource ('Range Error')(CWE-118)、释放后重用 (CWE-416)设计错误3资源管理错 误资源管理 错误Resource Management Errors (CWE-399)、释放后重用(CWE-416)、 不受控制的资源消耗(资源枯竭) Uncontrolled Resource Consumption ('Resource Exhaustion')(CWE-400)、双重 释放 Double Free(CWE-415)4数字错误数字错误Numeric Errors(CWE-189)、除零问题 (除零错误)Divide By Zero(CWE-369)、 整数下溢(盘绕或回绕)Integer Underflow (Wrap or Wraparound)(CWE-191)5输入验证错 误输入验证Improper Input Validation(CWE-20)、URL重定向至不可信的站点(开放重定 向)URL Redirection to Untrusted Site ('Open Redirect')(CWE-601)、整数溢出或 回绕 Integer Overflow orWraparound(CWE-190)、数组下标验证不 当 Improper Validation of ArrayIndex(CWE-129)输入验证错误6信息泄露信息泄露Information Exposure(CWE-200)、日志 文件暴露信息 Information Exposure Through Log Files(CWE-532)7安全特征问 题安全特征 问题Security Features(CWE-254)、对标准 的安全检查实现不当Improperly Implemented Security Check for Standard(CWE-358)、熵池不足Insufficient Entropy(CWE-331)、使用不充 分的随机数 Use of Insufficiently(CWE-330)、使用弱加密的伪随机数生成 器(PRNG)Use of Cryptographically Weak Pseudo-Random NumberGenerator (PRNG)(CWE-338)8竞争条件问 题竞争条件Race Condition(CWE-362)竞争条件9缓冲区错误缓冲区错 误Buffer Errors(CWE-119)、越界读取 Out-of-bounds Read(CWE-125)、越界写 入 Out-of-bounds Write(CWE-787)、访问 未初始化的指针Access of Uninitialized Pointer(CWE-824)边界条件 错误10格式化字符 串错误格式化字 符串Format String Vulnerability(CWE-134)11跨站脚本跨站脚本Cross-site Scripting(CWE-79)12路径遍历路径遍历Path Traversal(CWE-22)13后置链接后置链接Link Following(CWE-59)14注入注入、CRLF序列中和不当(CRLF注入)Improper Neutralization of CRLF Sequences ('CRLF Injection')(CWE-93)、 HTTP头中的CRLF序列中和不当('HTTP 响应拆分)Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Response Splitting')(CWE-113)、 对LDAP查询语句中使用的特殊元素中和 不当(LDAP 注入)Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection')(CWE-90)15代码注入代码注入Code Injection(CWE-94)16命令注入命令注入Command Injection(CWE-77)17SQL注入SQL注入SQL Injection(CWE-89)18操作系统命令注入操作系统 命令注入OS Command Injection(CWE-78)19授权问题授权问题Improper Authentication(CWE-287)、 权限问题 Permission Issues(CWE-275)、 授权不当ImproperAuthorization(CWE-285)、会话固定 Session Fixation(CWE-384)、用于找回密 码的弱密码恢复机制Weak Password Recovery Mechanism for Forgotten Password(CWE-640)20信任管理问 题信任管理Credentials Management(CWE-255)、 证书验证不当 Improper Certificate Validation(CWE-295)、使用硬编码的凭证 Use of Hard-coded Credentials(CWE-798)21加密问题加密问题Cryptographic Issues (CWE-310)、加密 强度不足 Inadequate Encryption Strength(CWE-326)、密钥管理错误 Key Management Errors(CWE-320)、使用受损 或有风险的加密算法Use of a Broken or Risky Cryptographic Algorithm(CWE-327)22数据伪造问 题未充分验证数据可靠性Insufficient Verification of Data Authenticity(CWE-345)、加密签名验证 不当 Improper Verification of Cryptographic Signature(CWE-347)23跨站请求伪 造跨站请求 伪造Cross-Site Request Forgery(CWE-352)24权限许可和访问控制问 题权限许可和访问控制Permissions, Privileges, and AccessControls(CWE-264)访问验证 错误25访问控制错 误访问控制 错误Improper Access Control(CWE-284)、 缺乏对关键功能的身份验证MissingAuthentication for Critical Function(CWE-306)、源验证错误 Origin Validation Error(CWE-346)26其他资料不足Other(NVD-CWE-Other)其他错 误、未知 错误27处理逻辑错 误意外情况处理错误28默认配置问 题配置错误Configuration(CWE-16)29环境问题Environment(CWE-2)、对 HTTP 请求 的解释不一致(HTTP请求走私)Inconsistent Interpretation of HTTP Requests ('HTTP Request Smuggling')(CWE-444)环境错误30参数注入命令注入Argument Injection or Modification (CWE-88)31日志信息泄 露信息泄露日志文件暴露信息Information Exposure Through Log Files(CWE-532)32调试信息泄 露信息泄露调试文件暴露信息Information Exposure Through Debug Log Files(CWE-534)采集2016至2017年漏洞数据对本标准覆盖的漏洞分类情况进行了统计验 证。如下图所示。'0心'0心'0心'0心'0心0 OOOOOOOOOO 0505050505 544332211他其露泄息信试调 入注数参题问境环误错置配串符字化式格 入注题问造伪据数接链置后入注令命统系作操 件条争竞入注码代入注令命题问密加误错字数历遍径路题问征特全安题问权授造伪求请站跨 题问理管任信 入注hs题问码代误错理管源资误错制控问访 误错证验入输 本脚站跨问访和可许限权 露泄息信误错区冲缓图4 2016年-2017年漏洞类型分布统计图上述验证数据显示,2016年至2017年漏洞数据共计22554个,其中“其 他”类型为1630条,数量占比6.42%。在上述“其他”类型中,有1190条数 据NVD所提供的类型也为“其他”,剩余440条数据归属于极个别类型,此类 型漏洞出现情况极少,故不提取类型纳入本标准中。因此,本标准按成因划分的32种漏洞类型基本覆盖所有漏洞种类,同时针 对出现极少数情况的漏洞类型由“其他”类型作为包容项纳入本标准,确保了漏 洞类型的完备性,基本满足漏洞分类的使用需求。本标准经过与CNNVD、CNVD、NVD等当前国内常用的漏洞分类标准的对 比表明:(1) 与CNNVD、CNVD的漏洞分类标准比较,本标准按照成因分类涵盖的 漏洞类型范围更广泛。(2) 与NVD的漏洞分类标准比较,在综合考虑当前漏洞类别数量和标准易 用性的基础上,本标准从漏洞成因和漏洞位置两个角度进行分类,并且, 按照成因分类虽然采用了更少的漏洞类别描述,更易于工程应用,更适 合国内漏洞分类的需要。3.2漏洞分级验证情况选取CNNVD、CNVD、NVD 2016 年-2018年,超危、高危、中危、低危的漏洞数据进行验证。具体方法如下:(1) 从CNNVD/CNVD/NVD的公开数据中,分别选取一定数量的超危、高危、 中危、低危漏洞。(2) 从步骤1中选取一条具体漏洞。(3) 使用本标准修订后的分级评价方法,对步骤2中的漏洞进行漏洞评级, 得出具体结果。(4) 将步骤3的结果与CNNVD/CNVD/NVD评定的结果进行比对。如果两 个结果一致,则判定为“符合”;如果两个结果不一致,则判定为“不 符合”。(5) 重复步骤2-步骤4,直至所有数据评定、比对完毕(6) 统计所有数据的比对结果,最终得出“符合比例”。具体验证如下所示:表5与CNNVD、CNVD、NVD漏洞分级数据对比验证情况数据源 等级'CNNVDCNVDNVD漏洞数量符合比例漏洞数量符合比例漏洞数量符合比例超危93799.89%601100.00%55899.82%高危3193100.00%1945100.00%2307100.00%中危160196.25%76596.46%116795.63%低危5692.86%2896.43%4493.18%合计578798.88%333999.16%407698.65%根据统计数据,修订标准能够大部分与现行标准兼容,部分漏洞等级不一致 情况主要包括如下方面原因:漏洞分级存在一定的主观性,会造成分级的略微不同。CNNVD、NVD的漏洞数据均使用CVSS3.0标准计算,CNVD采用CVSS2.0 标准计算。其中,CVSS3.0标准采用Scope指标项;本标准提高可操作性,未 使用Scope指标,由影响程度指标类涵盖Scope指标描述的内容,所以存在评 分不一致情况。本标准在“触发要求”和“交互条件”的指标赋值为3个,CVSS3.0在对 应的指标赋值为2个,相比较本标准分级更加精确,所以出现个别漏洞本标准与 CVSS3.0的分级不同。本标准经过与CNNVD、CNVD、NVD等当前国内常用的漏洞分类标准的对 比表明:1)本标准能够基本兼容CNNVD、CNVD、NVD等漏洞库的评分标准。2)与CVSS3.0比较,本标准漏洞的分级方法简单,易于理解使用。3)本标准即涵盖了当前常用的技术分级方法,也兼顾了漏洞分级再不同场 景下的危害程度及应用需求,提出了适用于具体漏洞评估需求的综合分 级方法。四、知识产权情况说明本标准不涉及专利。五、产业化情况、推广应用论证和预期达到的经济效果目前,CNNVD已经采用与本标准完全兼容的现行漏洞分