《信息安全技术安全漏洞等级划分指南》编制说明

《信息安全技术安全漏洞等级划分指南》编制说明

中国信息安全测评中心

中国科学院研究生院国家计算机网络入侵防范中心

2013.01.06

目录页

一、工作简况.....................................................

1.1任务来源...................................................

1.2.1预研立项............................................

1.2.2预研结题............................................

1.2.3标准立项............................................

1.2主要工作过程...............................................

1.3主要起草人及其所做工作.....................................

一、编制原则及标准主要内容.......................................

2.1编制原则..................................................

2.2主要内容...................................................

三、分析论证过程及有关实验.......................................

3.1草案第一版...............................................

3.2专家评审.................................................

3.3草案第二版...............................................

3.4专家评审.................................................

3.5草案第三版...............................................

3.6专家评审.................................................

3.7草案第四版...............................................

3.8专家评审.................................................

3.9草案第五版...............................................

3.10草案第六版..............................................

3.11草案第七版..............................................

3.12专家评审................................................

3.13专家评审及征求意见稿....................................

3.14专家评审及形成送审稿....................................

3.15专家函审及形成报批稿....................................

四、国内外安全漏洞等级划分情况...................................

4.1国际现状.................................................

4.2国内现状.................................................

4.3项目组成果...............................................

五、与有•关的现行法律、法规和强制性国家标准的关系.................

六、重大分歧意见的处理经过和依据.................................

七、国家标准作为强制性国家标准或推荐性国家标准的建议............

八、贯彻国家标准的要求和措施建议.................................

九、废止现行有关标准的建议.......................................

十、其他应予说明的事项...........................................

《信息安全技术安全漏洞等级划分指南》

(征求意见稿)编制说明

一、工作简况

1.1任务来源

2008年，经国标委批准，全国信息安全标准化技术委员会(SAC/TC260)主

任办公会讨论通过，研究制定《信息安全技术安全漏洞等级划分指南》国家标

准，国标计划号：一4469。该项目由全国信息安全标准化技术委员会提出，全国

信息安全标准化技术委员会归口，由中国信息安全测评中心和中国科学院研究生

院国家计算机网络入侵防范中心联合编制。

《信息安全技术安全漏洞等级划分指南》是安标委2006年《漏洞等级划

分标准基础研究》项目的延续。

1.2.1预研立项

2006年《国家信息安全战略研究与标准制定工作专项》课题《安全漏洞危害

等级划分标准》基础研究，研究国际和国内漏洞危害等级的评定现状，通过对漏

洞利用造成的后果、对系统安全属性的危害、漏洞可利用的难易程度等方面的分

析，总结影响漏洞安全危害等级的特征属性选取、特征属性的定性和定量分析、

安全危害等级的综合评价方法等内容。

1.2.2预研结题

2008年完成《漏洞等级划分标准基础研究》课题。本课题，通过对国内外漏

洞等级划分方法进行深入分析和研究，不仅能够提高我国软件与系统的安全性，

同时对保隙计算机软件与系统安全，优化我国网络安全环境，构筑我国网络安全

防御体系具有重要意义。

1.2.3标准立项

2008年12月，《信息安全技术安全漏洞等级划分指南》被全国信息安全标

准化技术委员会正式立项，定性为国家推荐性标准。

其他参与人员负责从国家信息安全漏洞库随机选取上百个漏洞，进行实验验证。

根据实验验证结果调整漏洞等级划分方法。

二、编制原则及标准主要内容

2.1编制原则

之所以有众多的安全漏洞评级方法，是因为不同的研究者在不同的层次使

用了不同的观察角度。但所有研究者的共同目标是研究一个科学、合理、易于数

据组织、便于相互交流并能直接应用于脆弱性评估工具的安全漏洞评级方法和标

准。一个安全漏洞评级方法应该满足以下原则：

a）一致性：所用术语与已有的安全术语保持一致；

b）开放性：必须是免费可利用可采纳的，对任何人都开放使用。一个封闭

的标准将不会被广泛地实施，并且将不会幸存；

c）广泛性：必须能够评价任何信息系统类型中的所有可能的脆弱性，即适

用于不同的需要和不同的系统；

d）互操作性：应该能与现有的技术和基础设施配合运作，并且不依赖专用

技术或形式；

e）灵活性：应该能够针对不同的运行环境来定制不同的风险；

0简易性：必须能够简单直接地理解、实现和使用；

g）完备性：应该包括任何对安全漏洞有影响的因素：

h）客观性：要素的属性值必须是从已知对象中获得，并且能明确地观测到;

i）可重复性：不同的人对特定目标独立地提取相同的属性，其结果应当是

一致的（也和客观性相关）；

j）可理解性：各要素易于被安全知识和安全经验不足的用户和管理员理解;

可接受性：评级科学、合理、准确，能够被行业广泛接受。

2.2主要内容

《信息安全技术安全漏洞等级划分指南》旨在通史对安全漏洞利用造成的

后果、对系统安全属性的危害、安全漏洞可利用的难易程度等方面的分析和研究,

提出一套科学的、合理的信息安全漏洞安全危害等级评定标准，用于安全漏洞处

理、风险评估和风险减缓等方面工作的参考。

《信息安全技术安全漏洞等级划分指南》预计将成为我国重要的信息安全

技术标准，并为国家信息安全保障提供强有力的技术支撑。

三、分析论证过程及有关实验

3.1草案第一版

2008年12月-2009年11月，课题组研究、分析CVSS等相关国内外标准及

动态。调查分析包括美国国家漏洞库NVD在内的多家国外漏洞库，研究其安全

漏洞等级划分情况，调研收集资料，编制标准草案。2CO9年11月，课题组召开

第二次会议，准备12月份的阶段检查工作，形成《安全漏洞等级划分指南》草

案（第一版）。标准大纲包括：

1范围

2术语和定义

3安全漏洞等级划分方法

3.1等级划分原则

3.2等级划分要素

3.3等级划分

在漏洞等级划分体系中，包括以下四方面的要素：

a）VectorsofAttack（攻击向量）

b）NewVectorofAttack（新的攻击向量）

c）UniqueDataDestruction（独特数据的破坏）

d）SignificantServiceDisruption（重要服务的拒绝）

3.2专家评审

2009年12月16□,在北京应物会议中心向专家汇报阶段工作。仔细听取专

家提出修改建议。专家建议及修改方案，请参看【专家意见汇总表-2009.12.16]

3.3草案第二版

2009年12月18日，课题组于中国信息安全测评中心召开第三次会议，讨论

专家评审意见修改事宜。课题组全体成员仔细阅读标准文稿，针对专家的每一条

建议对其加以修改：

•经过了解，已有专门的国标制定项目，拟直接引用。漏洞是信息技术、

信息产品、信息系统在需求、设计、实现、配置、运行等过程中，有意

或无意产生的脆弱性，这些脆弱性以不同形式存在于信息系统的各个层

次和环节之中，可以被恶意主体所利用，从而对信息系统的安全造成损

害，影响构建于信息系统之上正常服务的运行，危害信息系统及信息的

安全属性。

•由第一版的“攻击向量”、“新的攻击向量”、“独特数据的破坏”和“重

要服务的拒绝”四个方面的属性，调整为“攻击范围”、“攻击复杂度”

和“攻击影响”三个方面的属性，其中“攻击影响”包括“机密性”、“完

整性”和“可用性”三个属性。由于漏洞的不可预测性，没有办法证明

属性是否完备。课题组采取了广泛调研、最佳实践的方法最终选择5个

属性。能够基本涵盖当前国际主流的等级划分标准以及满足实际工作需

要。

•课题组将安全漏洞级别划分为“紧急、高、中、低”四个级别。

•完成《安全漏洞等级划分指南》草案（第二版）

下面重点介绍一下四个级别选取的方法。

课题组对7家国际主流漏洞等级评定组织和机构所考虑的漏洞屈性进行了统

计，结果如表1所示。课题组认为，低中高三个等级简单易懂，但各等级涵盖幅

度较宽，未考虑主要矛盾（最严重的少部分漏洞）。四个等级符合工作实际。在

原来低中高等级的基础上，把高等级中那曲最严重的漏洞再划分为一个等级，予

以重点关注。因为极其严直的漏洞往往需要我们重点采取消控措施。根据实践工

作，当前CNNVD漏洞库采用四个划分等级，与课题组研究结论相符。因此，课

题组选择四个等级，即安全漏洞被分为紧急、高、中、低4个级别。

表1国际主流安全漏洞等级评定结果

名称漏洞等级具体内容优点缺点

划分级别

NVD3低、中、高清晰，易划分范围较宽，未体现高危

理解漏洞

X-Force3低、中、高清晰，易没有客观打分的细节，划分

理解范闱较宽，未体现高危漏洞

FrSIRT4低、中、高、紧急清晰，层考虑因素较少

次合理

微软4不适用、中等、重考虑因素分类不明确，考虑因素较少

要、严重较详细

Secunia5低、低危、中危、划分较详考虑因素较少，分界模糊

高危、极度严重:对

3.4专家评审

2010年5月10H,在北京应物会议中心向专家汇报阶段工作。仔细听取专

家提出修改建议。专家建议及修改方案，请参看【专家意见汇总表-2010.05.10]

3.5草案第三版

2010年5月11H,课题组于中国信息安全测评中心召开第四次会议，讨论

专家评审意见修改事宜。课题组全体成员仔细阅读标准文稿，针对专家的每一条

建议对其加以修改：

•目前没有一个标准来识别哪些机构或单位的资产是以机密性为主还是完

整性为主。国外也没有对保密性、完整性和机密性进行赋予权值来划分

安全漏洞的做法。

•使用GB1.1的标准格式，对文字的描述语言进行精炼。

•同意使用定性的评定方法，增加语言描述，使得指标尽量具有可操作性。

尽量避免“广泛”、“少量”等不好衡量的词语c

•将攻击影响的高、中、低修改为：完全、部分、轻微、N/Ao

•将安全漏洞危害程度有原来的“紧急、高、中、低”变为“超危、高危、

中危、低危”4个等级

•完成《安全漏洞等级划分指南》草案（第三版）

安全漏洞等级划分要素选取过程如下：

课题组对7家国际主流漏洞等级评定组织和机构所考•虑的漏洞属性进行了统

计，结果如表2所示。表2中的12个漏洞属性中，”报告可信度、攻击代码可利

用性、修补情况、分布潜能、间接破坏风险”等5个属性都受外在因素影响。“新

的攻击向量”是微软单独提出，也随着时间变化而发生变化。另外6个属性分别

为：访问向量、访问复杂度、授权、完整性、可用性和保密性，不会随着时间和

环境的变化而变化。

通过统计得出，在7个组织机构所定义的共12中基本属性中，出现几率70%

以上的因素为6个，分别为访问向量、访问复杂度、授权、完整性、可用性和保

密性，这也侧面说明了这6个属性的代表性，其他因素都低于60%。同时，认为

“访问复杂度”和“授权”均属于“攻击复杂度”，因此二者合二为一：认为“机

密性”、“完整性”和“可月性”均反映的攻击影响效果，因此将三者统称为“攻

击影响”。

因此，课题组最终确定采用“攻击范围”、“攻击复杂度”、“攻击影响”三个

方面，共计五个属性（攻击影响包括三个属性）来评估安全漏洞。

表2安全漏洞属性统计

\漏洞

访新的访问授权对完对可对保报告攻击修补分布间接

孤膏素

问访问复杂整性用性密性可信代码情况潜能破坏

机构\

向向量度的影的影的影度可利风险

组织名X

量响响响用性

NVDVV7q7V

微软74477

FrSIRTVV77V7

US-CERTqV777q4Vq

SANSVV7V7q7q

SecuniaqV4V7

X-Forceqq7qVV

出现次数716555644342

出现几率10014.2985.7171.4371.4371.4385.7157.1457.1442.8657.1428.57

(%)

3.6专家评审

2011年6月10FI,在中国信息安全测评中心向专家汇报阶段工作。仔细听

取专家提出修改建议。专家建议及修改方案，请参看【专家意见汇总表

-2011.06.10]

3.7草案第四版

2011年6月13日，课题组于中国信息安全测评中心召开第五次会议，讨论

专家评审意见修改事宜。课题组全体成员仔细阅读标准文稿，针对专家的每一条

建议对其加以修改：

•采用层次分析法(AHP)进行分析推导，进而得出等级划分结论。

•统一使用危害等级的描述安全漏洞的风险。

•对标准文本的“范围”和“原则”部分进行了精简操作。

•标准文本中使用“低危、中危、高危、超危”4个等级。

•去掉参考文献部分。

•完成《安全漏洞等级划分指南》草案(第四版)

3.7.1层次分析法介绍

美国运筹学家，T.L.Saaty等人在九十年代提出了一种能有效处理决策问题的

实用方法，称之为TheAnalyticHierarchyProcess(AHP),将决策问题分为3个层

次：目标层，准则层，措施层；每层有若干元素，各层元素间的关系用相连的直

线表示。通过相互比较确定各准则对目标的权重，及各方案对每一准则的权重。

将上述两组权重进行综合，确定各方案对目标的权重。

设现在要比较〃个因子乂={2,…对某因素Z的影响大小，怎样比较才

能提供可信的数据呢？Saaty等人建议可以采取对因子进行两两比较建立成对比

较矩阵的办法。即每次取两个因子工•和X/,以均表示可和吃对Z的影响大小之

比，全部比较结果用矩阵A=(%).“表示，称A为Z-X之间的成对比较判断矩

阵(简称判断矩阵)。容易看出，若看与，对Z的影响之比为与，则,与七对Z

的影响之比应为勺

%

定义1若矩阵4=(%),»满足

(i)>0,

(ii)a.=—(j,/=l,2,)

%

则称之为正互反矩阵(易见a„=1,i=l,…,〃)。

关于如何确定他的值，Saaty等建议引用数字1〜9及其倒数作为标度。表3

列出了1~9标度的含义：

表3比较判断矩阵元素取值方法

标度含义

1表示两个因素相比，具有相同重要性

3表示两个因素相比，前者比后者稍重要

5表示两个因素相比，前者比后者明显重要

7表示两个因素相比，前者比后者强烈重要

9表示两个因素相比，前者比后者极端重要

2,4,6,8表示上述相邻判断的中间值

若因素j与因素)的重要性之比为为,那么因素/与因素i

倒数

重要性之比为町

%

从心理学观点来看，分级太多会超越人们的判断能力，既增加了作判断的难

度，乂容易因此间提供虚假数据。Saaty等人还用实验方法比较了在各种不同标

度下人们判断结果的正确性，实验结果也表明，采用卜9标度最为合适。

判断矩阵A对应于最大特征值4叱的特征向量W,经归一化后即为同一层次

相应因素对于上一层次某因素相对重要性的排序权值，这一过程称为层次单排

序。对决策者提供的判断矩阵有必要作一次一致性检验，以决定是否能接受它。

对判断矩阵的一致性检验的步骤如下：

(i)计算一致性指标C7

(ii)杳找相应的平均随机一致性指标R/。R/的值，如表4所示:

表4一致性指数表

n123456789...1819

RI000.580.901.121.241.321.411.45...1.62641.6327

(iii)计算一致性比例CR

CR旦

RI

当CRcO.lO时，认为判断矩阵的•致性是可以接受的，否则应对判断矩阵

作适当修正。

3.7.2层次分析法应用

由于不存在定量的指标，单凭个人的主观判断虽然可以比较两个因素的相对

优劣，但往往很难给出一人比较客观的多因素优劣次序。能不能把复杂的多因素

综合比较问题转化为简单的两因素相对比较问题？为了解决这个问题，我们利用

层次化分析方法。

在决策时需要考虑的因素主要有：

•攻击范围［远程/邻接/本地］

•攻击复杂度［简单/复杂］

•攻击影响［完全/部分/轻微］

三个要素的排列组合如表5所示。

表5要素取值组合

组合序号B1攻击范围B2攻击复杂度B3攻击影响

C1远程简单完全

C2远程简单部分

C3远程简单轻微

C4远程复杂完全

C5远程复杂部分

C6远程复杂轻微

C7邻接简单完全

C8邻接简单部分

C9邻接简单轻微

CIO邻接复杂完全

C11邻接复杂部分

C12邻接复杂轻微

C13本地简单完全

C14本地简单部分

C15本地简单轻微

C16本地复杂完全

C17本地复杂部分

C18本地复杂轻微

首先找出所有两两比较的结果，并且把它们定量化；然后再运用适当的数学

方法从所有两两相对比较的结果之中求出多因素综合比较的结果。具体的操作模

型如图2所示，操作步骤如下：

步骤一：进行两两相对比较，并把比较的结果定量化。

首先我们把各个因素标记为B1：攻击范围；B2：攻击复杂度；B3：攻击

影响。不同准则对目标的成对比较矩阵如下：

B\B2B3

B\\\11/2

82111/2

33221

其全向量为W为：[0.25000.25000.5000]r

CR=0<0.1一致性可接受

步骤二：不同措施对攻击范围B1的影响的成对比较矩阵:

123456789101112IT1617叫

1111111333333777777|

2111111133333377777力

311111133333777777

4111111333333777777

5_11111133333377777

6111111333333777777

70.33330.33330.33330.33330.33330.3333111-1113333

80.33330.33330.33330.33330.33330.3333111111333333

9033330.33330.33330.3333033330.3333111111333333

100.33330.33330.33330.33330.33330.3333111111333333

110.33330.33330.33330.33330.33B0.33331111|11333333

F

12033330.3333033330.33330.33330.33331111|1333333|

130.14290.14290.14290.14290.14290.14290.33330.33330.33330.33-30.33330.333311111

140.14290.14290.14290.14290.14290.14290.33330.33330.3333033:30.33330.333311111|

150.14290.14290.14290.14290.14290.14290.33330.33330.33330.33-30.33330.3333111111

160.1429U.1429U.1429U.14290.14290.1429U.3333533330333353333U.3333。・3333111111

170.14290.14290.14290.14290.14290.14290.33330.33330.33330.33330.33330.3333111111

180.14290M290.M290.14290.14290.14290.33330.33330.3333033:30.33330.3333111111

其权重向量W1为:

[0.11160.11160.11160.11160.11160.11160.0404

0.04040.04040.04040.04040.04040.01470.0147

0.01470.01470.01470.0147]7

CR=0.0015<0.1一致性可接受

步骤三：不同措施对攻击复杂度B2的影响的成对比较矩阵:

118

1234557891011121314151617

1111333111333111333

211133311133311333

3111333111333111333

40.33330.33330.33331110.33330.3333L0.33331110.33330.33330.3333|111

50.33330.33330.33331110.33330.3333L0.33331]10.33330.33330.3333|111|

60.33330.33330.33331110.33330.333310.33331110.33330.33330.3333|111

7111333111333111333

8111333111333111333

9111333111333111333

100.33330.33330.33331110.33330.33330.33331110.33330.33330.3333111

110.33330.33330.33331110.33330.33330.33331110.33330.33330.3333111

11

120.33330.33330.33331110.33330.33330.33331110.33330.33330.3333111

13111333111333111333

14]11333111333111333

15111333111333111333

160.33330.33330.33331110.33330.33330.33331110.33330.33330.3333111

I0.3333

170.33330.33330.33331110.33330.33331110.33330.33330.3333111

1|

180.33330.33330.33331110.33330.33330.33331110.33330.33330.333311

——

其权重向量W2为:

[0,08330.08330.08330.02780.02780.02780.0833

0.08330.08330.02780.02780.02780.08330.0833

0.08330.02780.02780.0278]r

CR=0<0.l一致性可接受

步骤四：不同措施对攻击影响B3的影响的成对比较矩阵:

1I234567891011121314151617181

13513513-513513~5135

20.3333130.3333130.3333130.33331303333130.33331|3|

30.20000.333310.20000.333310.20000.333310.20000.33331020000.333310.20000.33331

4135135135135135135

50.3333130.3333130.3333130.33331303333130.333313

60.20000.333310.20000.333310.20000.333310.20000.33331020000.333310.20000.33331

7135135135135135135

803333130.3333130.3333130.33331303333130.33331—3J

9nwas1u.zwv1vA.ZQUAUAUA1nmJN*21Un・Nawa1u.zuuvA53531

101-3-5~3-3535一5-3工

110.3333130.3333-1130.3333130.33331303333130.33331LJ

120.20000.333310.20000.333310.20000.333310.20000.33331020000.333310.20000.33331

13135135135135135135

140.3333130.3333|130.3333130.33331303333130.333313

150.20000.333310.20000.333310.20000.333310.20000.33331020000.333310.20000.3333飞

5

1612S1125125131251?5|

170.3333130.3333130.3333130.33331303333130.333313

180.20000.333310.20000.333310.20000.333310.20000.33331020000.333310.20000.333311

其权重向量W3为：

10.10620.04300.01750.10620.04300.01750.1062

0.04300.01750.10620.04300.01750.10620.0430

0.01750.10620.04300.0175/

CR=0.0084<0.1一致性可接受

由此，各个方案相对于目标层的总排序结果如表6所示。

表6AHp结果统计

C层对B层的相攻击攻击夏攻击B1B2B3C层总排

对权值范围杂度影响0.250.250.50序

Cl远程简单完全0.11160.08330.10620.1018

C2远程简单部分0.11160.08330.04300.0702

C3远程简单轻微0.11160.08330.01750.0575

C4远程复杂完全0.11160.02780.10620.0880

C5远程复杂部分0.11160.02780.04300.0563

C6远程复杂轻微0.11160.02780.01750.0436

C7邻接简单完全0.04040.08330.10620.0840

C8邻接简单部分0.04040.08330.04300.0524

C9邻接简单轻微0.04040.08330.01750.0397

CIO邻接复杂完全0.04040.02780.10620.0702

C11邻接复杂部分0.04040.02780.04300.0386

C12邻接复杂轻微0.04040.02780.01750.0258

C13本地简单完全0.01470.08330.10620.0776

C14本地简单部分0.01470.08330.04300.0460

C15本地简单轻微0.01470.08330.01750.0333

C16本地复杂完全0.01470.02780.10620.0637

C17本地复杂部分0.01470.02780.04300.0321

C18本地复杂轻微0.01470.02780.01750.0194

根据C层总排序结果，并划分评级结果如表7所示。

表7C层总排序与评级结果对照表

C层原始分四舍五入分评级结果

4-TJ/»一

C10.10180.1赴厄

C40.0880.09高危

C70.0840.08高危

C130.07760.08高危

C20.07020.07