《信息安全技術(shù) 安全漏洞等級(jí)劃分指南》編制說(shuō)明

《信息安全技術(shù)安全漏洞等級(jí)劃分指南》編制說(shuō)明

中國(guó)信息安全測(cè)評(píng)中心

中國(guó)科學(xué)院研究生院國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心

2013.01.06

1

《信息安全技術(shù)安全漏洞等級(jí)劃分指南》

（征求意見(jiàn)稿）編制說(shuō)明

一、工作簡(jiǎn)況

1.1任務(wù)來(lái)源

2008年，經(jīng)國(guó)標(biāo)委批準(zhǔn)，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）主

任辦公會(huì)討論通過(guò)，研究制定《信息安全技術(shù)安全漏洞等級(jí)劃分指南》國(guó)家標(biāo)

準(zhǔn),國(guó)標(biāo)計(jì)劃號(hào)：20111600－T-469。該項(xiàng)目由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提

出，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口，由中國(guó)信息安全測(cè)評(píng)中心和中國(guó)科學(xué)

院研究生院國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心聯(lián)合編制。

《信息安全技術(shù)安全漏洞等級(jí)劃分指南》是安標(biāo)委2006年《漏洞等級(jí)劃

分標(biāo)準(zhǔn)基礎(chǔ)研究》項(xiàng)目的延續(xù)。

1.2.1預(yù)研立項(xiàng)

2006年《國(guó)家信息安全戰(zhàn)略研究與標(biāo)準(zhǔn)制定工作專項(xiàng)》課題《安全漏洞危害

等級(jí)劃分標(biāo)準(zhǔn)》基礎(chǔ)研究，研究國(guó)際和國(guó)內(nèi)漏洞危害等級(jí)的評(píng)定現(xiàn)狀，通過(guò)對(duì)漏

洞利用造成的后果、對(duì)系統(tǒng)安全屬性的危害、漏洞可利用的難易程度等方面的分

析，總結(jié)影響漏洞安全危害等級(jí)的特征屬性選取、特征屬性的定性和定量分析、

安全危害等級(jí)的綜合評(píng)價(jià)方法等內(nèi)容。

1.2.2預(yù)研結(jié)題

2008年完成《漏洞等級(jí)劃分標(biāo)準(zhǔn)基礎(chǔ)研究》課題。本課題，通過(guò)對(duì)國(guó)內(nèi)外漏

洞等級(jí)劃分方法進(jìn)行深入分析和研究，不僅能夠提高我國(guó)軟件與系統(tǒng)的安全性，

同時(shí)對(duì)保障計(jì)算機(jī)軟件與系統(tǒng)安全，優(yōu)化我國(guó)網(wǎng)絡(luò)安全環(huán)境，構(gòu)筑我國(guó)網(wǎng)絡(luò)安全

防御體系具有重要意義。

1.2.3標(biāo)準(zhǔn)立項(xiàng)

2008年12月，《信息安全技術(shù)安全漏洞等級(jí)劃分指南》被全國(guó)信息安全標(biāo)

準(zhǔn)化技術(shù)委員會(huì)正式立項(xiàng)，定性為國(guó)家推薦性標(biāo)準(zhǔn)。

2

中國(guó)信息安全測(cè)評(píng)中心和中國(guó)科學(xué)院研究生院國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中

心成立標(biāo)準(zhǔn)編制組，并于2008年12月召開第一次課題組會(huì)議，明確兩家單位分

工并制定標(biāo)準(zhǔn)編制計(jì)劃。

1.2主要工作過(guò)程

《安全漏洞等級(jí)劃分指南》制定過(guò)程包括前期的預(yù)研、標(biāo)準(zhǔn)立項(xiàng)、草案擬定、

征求意見(jiàn)、專家評(píng)審、修改草案、形成征求意見(jiàn)稿、形成送審稿、形成報(bào)批稿等

過(guò)程。其中“評(píng)審-修改”過(guò)程為反復(fù)執(zhí)行過(guò)程，目前經(jīng)歷過(guò)8次評(píng)審、征求意

見(jiàn)和修改的過(guò)程，如圖1所示。

圖1工作過(guò)程流程圖

8次評(píng)審或征求意見(jiàn)共征集到90多條意見(jiàn)和建議，我們逐條針對(duì)每條意見(jiàn)、

建議做了應(yīng)答和處理，廣納建議，更好的完善了我們的標(biāo)準(zhǔn)編制工作。具體意見(jiàn)

處理情況參見(jiàn)歷次專家意見(jiàn)反饋表。

1.3主要起草人及其所做工作

編制單位共兩家，分別為：中國(guó)信息安全測(cè)評(píng)中心和中國(guó)科學(xué)院研究生院

國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心。中國(guó)信息安全測(cè)評(píng)中心主要起草人有張翀斌、張

寶峰等人，中國(guó)科學(xué)院研究生院國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心主要起草人有張玉

清和劉奇旭等人。

其中，張翀斌與張玉清負(fù)責(zé)編制思路討論、制定，調(diào)研國(guó)內(nèi)國(guó)際情況以及

項(xiàng)目總體進(jìn)度的把握；張寶峰負(fù)責(zé)標(biāo)準(zhǔn)中漏洞等級(jí)劃分元素選取與對(duì)比分析；劉

奇旭負(fù)責(zé)漏洞等級(jí)劃分的方法，負(fù)責(zé)使用層次分析法分析、論證等級(jí)劃分結(jié)果等。

3

其他參與人員負(fù)責(zé)從國(guó)家信息安全漏洞庫(kù)隨機(jī)選取上百個(gè)漏洞，進(jìn)行實(shí)驗(yàn)驗(yàn)證。

根據(jù)實(shí)驗(yàn)驗(yàn)證結(jié)果調(diào)整漏洞等級(jí)劃分方法。

二、編制原則及標(biāo)準(zhǔn)主要內(nèi)容

2.1編制原則

之所以有眾多的安全漏洞評(píng)級(jí)方法，是因?yàn)椴煌难芯空咴诓煌膶哟问?/p>

用了不同的觀察角度。但所有研究者的共同目標(biāo)是研究一個(gè)科學(xué)、合理、易于數(shù)

據(jù)組織、便于相互交流并能直接應(yīng)用于脆弱性評(píng)估工具的安全漏洞評(píng)級(jí)方法和標(biāo)

準(zhǔn)。一個(gè)安全漏洞評(píng)級(jí)方法應(yīng)該滿足以下原則：

a)一致性：所用術(shù)語(yǔ)與已有的安全術(shù)語(yǔ)保持一致；

b)開放性：必須是免費(fèi)可利用可采納的，對(duì)任何人都開放使用。一個(gè)封閉

的標(biāo)準(zhǔn)將不會(huì)被廣泛地實(shí)施，并且將不會(huì)幸存；

c)廣泛性：必須能夠評(píng)價(jià)任何信息系統(tǒng)類型中的所有可能的脆弱性，即適

用于不同的需要和不同的系統(tǒng)；

d)互操作性：應(yīng)該能與現(xiàn)有的技術(shù)和基礎(chǔ)設(shè)施配合運(yùn)作，并且不依賴專用

技術(shù)或形式；

e)靈活性：應(yīng)該能夠針對(duì)不同的運(yùn)行環(huán)境來(lái)定制不同的風(fēng)險(xiǎn)；

f)簡(jiǎn)易性：必須能夠簡(jiǎn)單直接地理解、實(shí)現(xiàn)和使用；

g)完備性：應(yīng)該包括任何對(duì)安全漏洞有影響的因素；

h)客觀性：要素的屬性值必須是從已知對(duì)象中獲得，并且能明確地觀測(cè)到；

i)可重復(fù)性：不同的人對(duì)特定目標(biāo)獨(dú)立地提取相同的屬性，其結(jié)果應(yīng)當(dāng)是

一致的(也和客觀性相關(guān))；

j)可理解性：各要素易于被安全知識(shí)和安全經(jīng)驗(yàn)不足的用戶和管理員理解；

可接受性：評(píng)級(jí)科學(xué)、合理、準(zhǔn)確，能夠被行業(yè)廣泛接受。

2.2主要內(nèi)容

《信息安全技術(shù)安全漏洞等級(jí)劃分指南》旨在通過(guò)對(duì)安全漏洞利用造成的

后果、對(duì)系統(tǒng)安全屬性的危害、安全漏洞可利用的難易程度等方面的分析和研究，

提出一套科學(xué)的、合理的信息安全漏洞安全危害等級(jí)評(píng)定標(biāo)準(zhǔn)，用于安全漏洞處

4

理、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)減緩等方面工作的參考。

《信息安全技術(shù)安全漏洞等級(jí)劃分指南》預(yù)計(jì)將成為我國(guó)重要的信息安全

技術(shù)標(biāo)準(zhǔn)，并為國(guó)家信息安全保障提供強(qiáng)有力的技術(shù)支撐。

三、分析論證過(guò)程及有關(guān)實(shí)驗(yàn)

3.1草案第一版

2008年12月-2009年11月，課題組研究、分析CVSS等相關(guān)國(guó)內(nèi)外標(biāo)準(zhǔn)及

動(dòng)態(tài)。調(diào)查分析包括美國(guó)國(guó)家漏洞庫(kù)NVD在內(nèi)的多家國(guó)外漏洞庫(kù)，研究其安全

漏洞等級(jí)劃分情況，調(diào)研收集資料，編制標(biāo)準(zhǔn)草案。2009年11月，課題組召開

第二次會(huì)議，準(zhǔn)備12月份的階段檢查工作，形成《安全漏洞等級(jí)劃分指南》草

案（第一版）。標(biāo)準(zhǔn)大綱包括：

1范圍

2術(shù)語(yǔ)和定義

3安全漏洞等級(jí)劃分方法

3.1等級(jí)劃分原則

3.2等級(jí)劃分要素

3.3等級(jí)劃分

在漏洞等級(jí)劃分體系中，包括以下四方面的要素：

a)VectorsofAttack(攻擊向量)

b)NewVectorofAttack(新的攻擊向量)

c)UniqueDataDestruction(獨(dú)特?cái)?shù)據(jù)的破壞)

d)SignificantServiceDisruption(重要服務(wù)的拒絕)

3.2專家評(píng)審

2009年12月16日，在北京應(yīng)物會(huì)議中心向?qū)＜覅R報(bào)階段工作。仔細(xì)聽取專

家提出修改建議。專家建議及修改方案，請(qǐng)參看【專家意見(jiàn)匯總表-2009.12.16】

3.3草案第二版

2009年12月18日，課題組于中國(guó)信息安全測(cè)評(píng)中心召開第三次會(huì)議，討論

5

專家評(píng)審意見(jiàn)修改事宜。課題組全體成員仔細(xì)閱讀標(biāo)準(zhǔn)文稿，針對(duì)專家的每一條

建議對(duì)其加以修改：

經(jīng)過(guò)了解，已有專門的國(guó)標(biāo)制定項(xiàng)目，擬直接引用。漏洞是信息技術(shù)、

信息產(chǎn)品、信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過(guò)程中，有意

或無(wú)意產(chǎn)生的脆弱性，這些脆弱性以不同形式存在于信息系統(tǒng)的各個(gè)層

次和環(huán)節(jié)之中，可以被惡意主體所利用，從而對(duì)信息系統(tǒng)的安全造成損

害，影響構(gòu)建于信息系統(tǒng)之上正常服務(wù)的運(yùn)行，危害信息系統(tǒng)及信息的

安全屬性。

由第一版的“攻擊向量”、“新的攻擊向量”、“獨(dú)特?cái)?shù)據(jù)的破壞”和“重

要服務(wù)的拒絕”四個(gè)方面的屬性，調(diào)整為“攻擊范圍”、“攻擊復(fù)雜度”

和“攻擊影響”三個(gè)方面的屬性，其中“攻擊影響”包括“機(jī)密性”、“完

整性”和“可用性”三個(gè)屬性。由于漏洞的不可預(yù)測(cè)性，沒(méi)有辦法證明

屬性是否完備。課題組采取了廣泛調(diào)研、最佳實(shí)踐的方法最終選擇5個(gè)

屬性。能夠基本涵蓋當(dāng)前國(guó)際主流的等級(jí)劃分標(biāo)準(zhǔn)以及滿足實(shí)際工作需

要。

課題組將安全漏洞級(jí)別劃分為“緊急、高、中、低”四個(gè)級(jí)別。

完成《安全漏洞等級(jí)劃分指南》草案（第二版）

下面重點(diǎn)介紹一下四個(gè)級(jí)別選取的方法。

課題組對(duì)7家國(guó)際主流漏洞等級(jí)評(píng)定組織和機(jī)構(gòu)所考慮的漏洞屬性進(jìn)行了統(tǒng)

計(jì)，結(jié)果如表1所示。課題組認(rèn)為，低中高三個(gè)等級(jí)簡(jiǎn)單易懂，但各等級(jí)涵蓋幅

度較寬，未考慮主要矛盾（最嚴(yán)重的少部分漏洞）。四個(gè)等級(jí)符合工作實(shí)際。在

原來(lái)低中高等級(jí)的基礎(chǔ)上，把高等級(jí)中那些最嚴(yán)重的漏洞再劃分為一個(gè)等級(jí)，予

以重點(diǎn)關(guān)注。因?yàn)闃O其嚴(yán)重的漏洞往往需要我們重點(diǎn)采取消控措施。根據(jù)實(shí)踐工

作，當(dāng)前CNNVD漏洞庫(kù)采用四個(gè)劃分等級(jí)，與課題組研究結(jié)論相符。因此，課

題組選擇四個(gè)等級(jí)，即安全漏洞被分為緊急、高、中、低4個(gè)級(jí)別。

表1國(guó)際主流安全漏洞等級(jí)評(píng)定結(jié)果

名稱漏洞等級(jí)具體內(nèi)容優(yōu)點(diǎn)缺點(diǎn)

劃分級(jí)別

6

NVD3低、中、高清晰，易劃分范圍較寬，未體現(xiàn)高危

理解漏洞

X-Force3低、中、高清晰，易沒(méi)有客觀打分的細(xì)節(jié)，劃分

理解范圍較寬，未體現(xiàn)高危漏洞

FrSIRT4低、中、高、緊急清晰，層考慮因素較少

次合理

微軟4不適用、中等、重考慮因素分類不明確，考慮因素較少

要、嚴(yán)重較詳細(xì)

Secunia5低、低危、中危、劃分較詳考慮因素較少，分界模糊

高危、極度嚴(yán)重細(xì)

3.4專家評(píng)審

2010年5月10日，在北京應(yīng)物會(huì)議中心向?qū)＜覅R報(bào)階段工作。仔細(xì)聽取專

家提出修改建議。專家建議及修改方案，請(qǐng)參看【專家意見(jiàn)匯總表-2010.05.10】

3.5草案第三版

2010年5月11日，課題組于中國(guó)信息安全測(cè)評(píng)中心召開第四次會(huì)議，討論

專家評(píng)審意見(jiàn)修改事宜。課題組全體成員仔細(xì)閱讀標(biāo)準(zhǔn)文稿，針對(duì)專家的每一條

建議對(duì)其加以修改：

目前沒(méi)有一個(gè)標(biāo)準(zhǔn)來(lái)識(shí)別哪些機(jī)構(gòu)或單位的資產(chǎn)是以機(jī)密性為主還是完

整性為主。國(guó)外也沒(méi)有對(duì)保密性、完整性和機(jī)密性進(jìn)行賦予權(quán)值來(lái)劃分

安全漏洞的做法。

使用GB1.1的標(biāo)準(zhǔn)格式，對(duì)文字的描述語(yǔ)言進(jìn)行精煉。

同意使用定性的評(píng)定方法，增加語(yǔ)言描述，使得指標(biāo)盡量具有可操作性。

盡量避免“廣泛”、“少量”等不好衡量的詞語(yǔ)。

將攻擊影響的高、中、低修改為：完全、部分、輕微、N/A。

將安全漏洞危害程度有原來(lái)的“緊急、高、中、低”變?yōu)椤俺?、高?！?/p>

中危、低?！?個(gè)等級(jí)

完成《安全漏洞等級(jí)劃分指南》草案（第三版）

7

安全漏洞等級(jí)劃分要素選取過(guò)程如下：

課題組對(duì)7家國(guó)際主流漏洞等級(jí)評(píng)定組織和機(jī)構(gòu)所考慮的漏洞屬性進(jìn)行了統(tǒng)

計(jì)，結(jié)果如表2所示。表2中的12個(gè)漏洞屬性中，“報(bào)告可信度、攻擊代碼可利

用性、修補(bǔ)情況、分布潛能、間接破壞風(fēng)險(xiǎn)”等5個(gè)屬性都受外在因素影響?！靶?/p>

的攻擊向量”是微軟單獨(dú)提出，也隨著時(shí)間變化而發(fā)生變化。另外6個(gè)屬性分別

為：訪問(wèn)向量、訪問(wèn)復(fù)雜度、授權(quán)、完整性、可用性和保密性，不會(huì)隨著時(shí)間和

環(huán)境的變化而變化。

通過(guò)統(tǒng)計(jì)得出，在7個(gè)組織機(jī)構(gòu)所定義的共12中基本屬性中，出現(xiàn)幾率70%

以上的因素為6個(gè)，分別為訪問(wèn)向量、訪問(wèn)復(fù)雜度、授權(quán)、完整性、可用性和保

密性，這也側(cè)面說(shuō)明了這6個(gè)屬性的代表性，其他因素都低于60%。同時(shí)，認(rèn)為

“訪問(wèn)復(fù)雜度”和“授權(quán)”均屬于“攻擊復(fù)雜度”，因此二者合二為一；認(rèn)為“機(jī)

密性”、“完整性”和“可用性”均反映的攻擊影響效果，因此將三者統(tǒng)稱為“攻

擊影響”。

因此，課題組最終確定采用“攻擊范圍”、“攻擊復(fù)雜度”、“攻擊影響”三個(gè)

方面，共計(jì)五個(gè)屬性（攻擊影響包括三個(gè)屬性）來(lái)評(píng)估安全漏洞。

表2安全漏洞屬性統(tǒng)計(jì)

漏洞訪新的訪問(wèn)授權(quán)對(duì)完對(duì)可對(duì)保報(bào)告攻擊修補(bǔ)分布間接

評(píng)價(jià)要素問(wèn)訪問(wèn)復(fù)雜整性用性密性可信代碼情況潛能破壞

機(jī)構(gòu)、向向量度的影的影的影度可利風(fēng)險(xiǎn)

組織名稱量響響響用性

NVD√√√√√√√√√√√

微軟√√√√√√

FrSIRT√√√√√√

US-CERT√√√√√√√√√√

SANS√√√√√√√√

Secunia√√√√√

X-Force√√√√√√

出現(xiàn)次數(shù)716555644342

8

出現(xiàn)幾率10014.2985.7171.4371.4371.4385.7157.1457.1442.8657.1428.57

（%）

3.6專家評(píng)審

2011年6月10日，在中國(guó)信息安全測(cè)評(píng)中心向?qū)＜覅R報(bào)階段工作。仔細(xì)聽

取專家提出修改建議。專家建議及修改方案，請(qǐng)參看【專家意見(jiàn)匯總表

-2011.06.10】

3.7草案第四版

2011年6月13日，課題組于中國(guó)信息安全測(cè)評(píng)中心召開第五次會(huì)議，討論

專家評(píng)審意見(jiàn)修改事宜。課題組全體成員仔細(xì)閱讀標(biāo)準(zhǔn)文稿，針對(duì)專家的每一條

建議對(duì)其加以修改：

采用層次分析法（AHP）進(jìn)行分析推導(dǎo)，進(jìn)而得出等級(jí)劃分結(jié)論。

統(tǒng)一使用危害等級(jí)的描述安全漏洞的風(fēng)險(xiǎn)。

對(duì)標(biāo)準(zhǔn)文本的“范圍”和“原則”部分進(jìn)行了精簡(jiǎn)操作。

標(biāo)準(zhǔn)文本中使用“低危、中危、高危、超?！?個(gè)等級(jí)。

去掉參考文獻(xiàn)部分。

完成《安全漏洞等級(jí)劃分指南》草案（第四版）

3.7.1層次分析法介紹

美國(guó)運(yùn)籌學(xué)家，T.L.Saaty等人在九十年代提出了一種能有效處理決策問(wèn)題的

實(shí)用方法，稱之為TheAnalyticHierarchyProcess(AHP)，將決策問(wèn)題分為3個(gè)層

次：目標(biāo)層，準(zhǔn)則層，措施層；每層有若干元素，各層元素間的關(guān)系用相連的直

線表示。通過(guò)相互比較確定各準(zhǔn)則對(duì)目標(biāo)的權(quán)重，及各方案對(duì)每一準(zhǔn)則的權(quán)重。

將上述兩組權(quán)重進(jìn)行綜合，確定各方案對(duì)目標(biāo)的權(quán)重。

設(shè)現(xiàn)在要比較n個(gè)因子X(jué){x1,,xn}對(duì)某因素Z的影響大小，怎樣比較才

能提供可信的數(shù)據(jù)呢？Saaty等人建議可以采取對(duì)因子進(jìn)行兩兩比較建立成對(duì)比

較矩陣的辦法。即每次取兩個(gè)因子xi和xj，以aij表示xi和xj對(duì)Z的影響大小之

9

比，全部比較結(jié)果用矩陣A(aij)nn表示，稱A為ZX之間的成對(duì)比較判斷矩

陣（簡(jiǎn)稱判斷矩陣）。容易看出，若xi與xj對(duì)Z的影響之比為aij，則xj與xi對(duì)Z

的影響之比應(yīng)為1。

aji

aij

定義1若矩陣A(aij)nn滿足

（i）aij0，

（）1（）

iiajii,j1,2,,n

aij

則稱之為正互反矩陣(易見(jiàn)aii1，i1,,n)。

關(guān)于如何確定aij的值，Saaty等建議引用數(shù)字1~9及其倒數(shù)作為標(biāo)度。表3

列出了1~9標(biāo)度的含義：

表3比較判斷矩陣元素取值方法

標(biāo)度含義

1表示兩個(gè)因素相比，具有相同重要性

3表示兩個(gè)因素相比，前者比后者稍重要

5表示兩個(gè)因素相比，前者比后者明顯重要

7表示兩個(gè)因素相比，前者比后者強(qiáng)烈重要

9表示兩個(gè)因素相比，前者比后者極端重要

2,4,6,8表示上述相鄰判斷的中間值

若因素i與因素j的重要性之比為aij，那么因素j與因素i

倒數(shù)

重要性之比為1。

aji

aij

從心理學(xué)觀點(diǎn)來(lái)看，分級(jí)太多會(huì)超越人們的判斷能力，既增加了作判斷的難

度，又容易因此而提供虛假數(shù)據(jù)。Saaty等人還用實(shí)驗(yàn)方法比較了在各種不同標(biāo)

度下人們判斷結(jié)果的正確性，實(shí)驗(yàn)結(jié)果也表明，采用1~9標(biāo)度最為合適。

判斷矩陣對(duì)應(yīng)于最大特征值的特征向量，經(jīng)歸一化后即為同一層次

AmaxW

相應(yīng)因素對(duì)于上一層次某因素相對(duì)重要性的排序權(quán)值，這一過(guò)程稱為層次單排

10

序。對(duì)決策者提供的判斷矩陣有必要作一次一致性檢驗(yàn)，以決定是否能接受它。

對(duì)判斷矩陣的一致性檢驗(yàn)的步驟如下：

（i）計(jì)算一致性指標(biāo)CI

n

CImax

n1

（ii）查找相應(yīng)的平均隨機(jī)一致性指標(biāo)RI。RI的值，如表4所示：

表4一致性指數(shù)表

n123456789…1819

RI000.580.901.121.241.321.411.45…1.62641.6327

（ⅲ）計(jì)算一致性比例CR

CI

CR

RI

當(dāng)CR0.10時(shí)，認(rèn)為判斷矩陣的一致性是可以接受的，否則應(yīng)對(duì)判斷矩陣

作適當(dāng)修正。

3.7.2層次分析法應(yīng)用

由于不存在定量的指標(biāo)，單憑個(gè)人的主觀判斷雖然可以比較兩個(gè)因素的相對(duì)

優(yōu)劣，但往往很難給出一個(gè)比較客觀的多因素優(yōu)劣次序。能不能把復(fù)雜的多因素

綜合比較問(wèn)題轉(zhuǎn)化為簡(jiǎn)單的兩因素相對(duì)比較問(wèn)題？為了解決這個(gè)問(wèn)題，我們利用

層次化分析方法。

在決策時(shí)需要考慮的因素主要有：

攻擊范圍[遠(yuǎn)程/鄰接/本地]

攻擊復(fù)雜度[簡(jiǎn)單/復(fù)雜]

攻擊影響[完全/部分/輕微]

三個(gè)要素的排列組合如表5所示。

表5要素取值組合

組合序號(hào)B1攻擊范圍B2攻擊復(fù)雜度B3攻擊影響

C1遠(yuǎn)程簡(jiǎn)單完全

C2遠(yuǎn)程簡(jiǎn)單部分

11

C3遠(yuǎn)程簡(jiǎn)單輕微

C4遠(yuǎn)程復(fù)雜完全

C5遠(yuǎn)程復(fù)雜部分

C6遠(yuǎn)程復(fù)雜輕微

C7鄰接簡(jiǎn)單完全

C8鄰接簡(jiǎn)單部分

C9鄰接簡(jiǎn)單輕微

C10鄰接復(fù)雜完全

C11鄰接復(fù)雜部分

C12鄰接復(fù)雜輕微

C13本地簡(jiǎn)單完全

C14本地簡(jiǎn)單部分

C15本地簡(jiǎn)單輕微

C16本地復(fù)雜完全

C17本地復(fù)雜部分

C18本地復(fù)雜輕微

首先找出所有兩兩比較的結(jié)果，并且把它們定量化；然后再運(yùn)用適當(dāng)?shù)臄?shù)學(xué)

方法從所有兩兩相對(duì)比較的結(jié)果之中求出多因素綜合比較的結(jié)果。具體的操作模

型如圖2所示，操作步驟如下：

圖2等級(jí)劃分AHP模型

步驟一：進(jìn)行兩兩相對(duì)比較，并把比較的結(jié)果定量化。

首先我們把各個(gè)因素標(biāo)記為B1：攻擊范圍；B2：攻擊復(fù)雜度；B3：攻擊

影響。不同準(zhǔn)則對(duì)目標(biāo)的成對(duì)比較矩陣如下：

12

B1B2B3

B1111/2

B2111/2

B3221

其全向量為W為：[0.25000.25000.5000]T

CR=0<0.1一致性可接受

步驟二：不同措施對(duì)攻擊范圍B1的影響的成對(duì)比較矩陣：

其權(quán)重向量W1為：

[0.11160.11160.11160.11160.11160.11160.0404

0.04040.04040.04040.04040.04040.01470.0147

0.01470.01470.01470.0147]T

CR=0.0015<0.1一致性可接受

步驟三：不同措施對(duì)攻擊復(fù)雜度B2的影響的成對(duì)比較矩陣：

13

其權(quán)重向量W2為：

[0.08330.08330.08330.02780.02780.02780.0833

0.08330.08330.02780.02780.02780.08330.0833

0.08330.02780.02780.0278]T

CR=0<0.1一致性可接受

步驟四：不同措施對(duì)攻擊影響B(tài)3的影響的成對(duì)比較矩陣：

其權(quán)重向量W3為：

[0.10620.04300.01750.10620.04300.01750.1062

0.04300.01750.10620.04300.01750.10620.0430

0.01750.10620.04300.0175]T

CR=0.0084<0.1一致性可接受

由此，各個(gè)方案相對(duì)于目標(biāo)層的總排序結(jié)果如表6所示。

表6AHP結(jié)果統(tǒng)計(jì)

C層對(duì)B層的相攻擊攻擊復(fù)攻擊B1B2B3C層總排

對(duì)權(quán)值范圍雜度影響0.250.250.50序

C1遠(yuǎn)程簡(jiǎn)單完全0.11160.08330.10620.1018

C2遠(yuǎn)程簡(jiǎn)單部分0.11160.08330.04300.0702

C3遠(yuǎn)程簡(jiǎn)單輕微0.11160.08330.01750.0575

C4遠(yuǎn)程復(fù)雜完全0.11160.02780.10620.0880

C5遠(yuǎn)程復(fù)雜部分0.11160.02780.04300.0563

14

C6遠(yuǎn)程復(fù)雜輕微0.11160.02780.01750.0436

C7鄰接簡(jiǎn)單完全0.04040.08330.10620.0840

C8鄰接簡(jiǎn)單部分0.04040.08330.04300.0524

C9鄰接簡(jiǎn)單輕微0.04040.08330.01750.0397

C10鄰接復(fù)雜完全0.04040.02780.10620.0702

C11鄰接復(fù)雜部分0.04040.02780.04300.0386

C12鄰接復(fù)雜輕微0.04040.02780.01750.0258

C13本地簡(jiǎn)單完全0.01470.08330.10620.0776

C14本地簡(jiǎn)單部分0.01470.08330.04300.0460

C15本地簡(jiǎn)單輕微0.01470.08330.01750.0333

C16本地復(fù)雜完全0.01470.02780.10620.0637

C17本地復(fù)雜部分0.01470.02780.04300.0321

C18本地復(fù)雜輕微0.01470.02780.01750.0194

根據(jù)C層總排序結(jié)果，并劃分評(píng)級(jí)結(jié)果如表7所示。

表7C層總排序與評(píng)級(jí)結(jié)果對(duì)照表

C層原始分四舍五入分評(píng)級(jí)結(jié)果

C10.10180.1超危

C40.0880.09高危

C70.0840.08高危

C130.07760.08高危

C20.07020.07高危

C100.07020.07高危

C160.06370.06中危

C30.05750.06中危

C50.05630.06中危

C80.05240.05中危

C140.0460.05中危

15

C60.04360.04低危

C90.03970.04低危

C110.03860.04低危

C150.03330.03低危

C170.03210.03低危

C120.02580.03低危

C180.01940.02低危

最終得到安全漏洞等級(jí)與三個(gè)評(píng)估要素的映射關(guān)系如表8所示。

表8安全漏洞等級(jí)劃分方法映射表

攻擊范圍攻擊復(fù)雜度攻擊影響漏洞等級(jí)

遠(yuǎn)程簡(jiǎn)單完全超危

遠(yuǎn)程簡(jiǎn)單部分高危

遠(yuǎn)程復(fù)雜完全高危

鄰接簡(jiǎn)單完全高危

鄰接復(fù)雜完全高危

本地簡(jiǎn)單完全高危

遠(yuǎn)程簡(jiǎn)單不影響中危

遠(yuǎn)程復(fù)雜部分中危

鄰接簡(jiǎn)單部分中危

本地簡(jiǎn)單部分中危

本地復(fù)雜完全中危

遠(yuǎn)程復(fù)雜不影響低危

鄰接簡(jiǎn)單輕微低危

鄰接復(fù)雜部分低危

鄰接復(fù)雜不影響低危

本地簡(jiǎn)單不影響低危

本地復(fù)雜部分低危

16

本地復(fù)雜不影響低危

課題組選取了120個(gè)漏洞樣本進(jìn)行了實(shí)驗(yàn)，樣本選取充分考慮了不同平臺(tái)

（Windows、AIX、LINUX、MACOS、Solaris等）、不同危害程度（低、中、高），

涵蓋了不同年份（2004年~2011年）和不同類型軟件（應(yīng)用軟件、系統(tǒng)軟件、數(shù)

據(jù)庫(kù)）的多種漏洞。得出的評(píng)價(jià)等級(jí)與實(shí)際情況較一致。

3.8專家評(píng)審

2011年11月18日，在中國(guó)信息安全測(cè)評(píng)中心向?qū)＜覅R報(bào)階段工作，專家對(duì)

課題組采用AHP的方法給予充分肯定。課題組仔細(xì)聽取專家提出修改建議。專

家建議及修改方案，請(qǐng)參看【專家意見(jiàn)匯總表-2011.11.18】

3.9草案第五版

2011年11月23-24日，課題組于北京召開第六次會(huì)議，討論專家評(píng)審意見(jiàn)

修改事宜。課題組全體成員仔細(xì)閱讀標(biāo)準(zhǔn)文稿，針對(duì)專家的每一條建議對(duì)其加以

修改：

前言提及GB/T1.1-2009，并按照GB/T1.1-2009的格式編寫，規(guī)范性引

用文件的引導(dǎo)語(yǔ)更新為最新版。

增加“術(shù)語(yǔ)和定義”引導(dǎo)語(yǔ)。根據(jù)專家的建議，修改其中的部分文字描

述內(nèi)容。

根據(jù)專家建議，將三個(gè)安全漏洞評(píng)估要素有原來(lái)的“攻擊范圍”、“攻擊

復(fù)雜度”、“攻擊影響”，分別改為“影響范圍”、“利用復(fù)雜度”和“影響

程度”。

增加資料性附錄，通過(guò)實(shí)際的案例說(shuō)明本指南的使用方法。

完成《安全漏洞等級(jí)劃分指南》草案（第五版）。

資料性附錄目錄如下：

附錄A（資料性附錄）安全漏洞等級(jí)劃分及示例

17

A.1安全漏洞等級(jí)劃分步驟

A.2安全漏洞等級(jí)劃分舉例

3.10草案第六版

2011年12月5日，課題組收到國(guó)家信息技術(shù)安全研究中心反饋意見(jiàn)，根據(jù)

專家意見(jiàn)形成《安全漏洞等級(jí)劃分指南》草案第六版，具體修改內(nèi)容如下：

前言去掉前三句話

引言去掉第一段，第二段和第三段的有關(guān)描述進(jìn)行簡(jiǎn)化。

范圍標(biāo)準(zhǔn)的規(guī)定和使用范圍界定清楚，重新描述

3.5攻擊范圍的描述，回避“攻擊”

3.6重新描述“利用復(fù)雜度”術(shù)語(yǔ)

4.1.2訪問(wèn)范圍的賦值描述，增加一句話對(duì)鄰接的描述

4.1.3利用復(fù)雜度賦值的描述精煉一些

4.1.4表4中加一個(gè)“無(wú)”的描述

4.2表6中增加“攻擊范圍”對(duì)等級(jí)影響因素的描述

4.2表7中的“攻擊影響”應(yīng)為“影響程度”

3.11草案第七版

2011年12月15日，課題組收到國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心反饋

意見(jiàn)，根據(jù)專家意見(jiàn)形成《安全漏洞等級(jí)劃分指南》草案第七版，具體修改內(nèi)容

如下：

4.1.2將“范圍”改為“途徑”

4.1.4對(duì)信息安全三屬性的權(quán)重進(jìn)行微調(diào)

3.12專家評(píng)審

2012年3月2日，課題組在北京亞丁灣商務(wù)酒店向安標(biāo)委專家組匯報(bào)課題進(jìn)

展情況，匯報(bào)內(nèi)容包括《安全漏洞等級(jí)劃分指南》草案第七版、標(biāo)準(zhǔn)編制說(shuō)明、

歷次專家反饋意見(jiàn)答復(fù)等內(nèi)容。

本次專家評(píng)審會(huì)議未對(duì)標(biāo)準(zhǔn)文本提出修改意見(jiàn)。

18

3.13專家評(píng)審及征求意見(jiàn)稿

2012年7月25日，安標(biāo)委專家組對(duì)課題進(jìn)展情況進(jìn)行了檢查。課題組內(nèi)容

包括《安全漏洞等級(jí)劃分指南》草案第七版、標(biāo)準(zhǔn)編制說(shuō)明、歷次專家反饋意見(jiàn)

答復(fù)等內(nèi)容。專家提出建議如下：

訪問(wèn)途徑的名字最好修改一下

在前言中加一句話“本標(biāo)準(zhǔn)按照GB/T1.1-2009給出的規(guī)則起草”

增加一句話“下列術(shù)語(yǔ)和定義適用于本文件?！?/p>

在標(biāo)準(zhǔn)正文最后增加一句話“安全漏洞等級(jí)劃分步驟及示例參見(jiàn)附錄

A?！?/p>

課題組根據(jù)專家意見(jiàn)形成《安全漏洞等級(jí)劃分指南》草案第八版（征求意見(jiàn)

稿），更新了編制說(shuō)明，新增加一個(gè)專家意見(jiàn)反饋表，形成了第六章中所列的標(biāo)

準(zhǔn)框架和內(nèi)容。

3.14專家評(píng)審及形成送審稿

2013年1月6日，安標(biāo)委專家在北京應(yīng)物會(huì)議中心對(duì)《安全漏洞等級(jí)劃分指

南》草案第八版進(jìn)行了檢查。會(huì)議上，安標(biāo)委工作人員將公安部十一局、國(guó)家保

密局、國(guó)家密碼管理局、中國(guó)信息安全測(cè)評(píng)中心四家部門意見(jiàn)以及網(wǎng)上意見(jiàn)反饋

給項(xiàng)目組，同時(shí)安標(biāo)委專家對(duì)《安全漏洞等級(jí)劃分指南》草案第八版中的內(nèi)容提

出部分意見(jiàn)，總結(jié)整理如下：

1）公安部十一局、國(guó)家保密局、國(guó)家密碼管理局、中國(guó)信息安全測(cè)評(píng)中心

四家部門沒(méi)有對(duì)本標(biāo)準(zhǔn)的修改意見(jiàn)；

2）網(wǎng)上意見(jiàn)反饋中沒(méi)有對(duì)本標(biāo)準(zhǔn)的修改意見(jiàn)；

3）安標(biāo)委專家對(duì)本標(biāo)準(zhǔn)提出以下意見(jiàn)：

在封面中的日期下面增加一句話“提交反饋意見(jiàn)時(shí)，請(qǐng)將您知道的

相關(guān)專利連同支持性文件一并附上”

在前言中的全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)后面增加（SAC/TC260）

引言中的兩句話其實(shí)在范圍說(shuō)明中已進(jìn)行了描述，引言這兩句話沒(méi)

有實(shí)際意義，且引言章節(jié)不是必須的，可以刪掉，能少則少

正文第二章規(guī)范性引用文件和第三章術(shù)語(yǔ)要協(xié)調(diào)一致，如果引用文

件中列出了“GB/T20984-2007”和“安全漏洞標(biāo)識(shí)與描述規(guī)范”，后

19

面正文中沒(méi)有其他引用，則要?jiǎng)h除。同時(shí)，若在術(shù)語(yǔ)項(xiàng)中說(shuō)明了上

面兩個(gè)標(biāo)準(zhǔn)號(hào)，則3.1~3.4都要?jiǎng)h除。建議刪除規(guī)范性引用文件中的

“GB/T20984-2007”和“安全漏洞標(biāo)識(shí)與描述規(guī)范”，同時(shí)將當(dāng)前術(shù)

語(yǔ)中3.1~3.4的“選自”兩字去掉

表5在兩頁(yè)中出現(xiàn)了，要在第二頁(yè)中加三個(gè)字“表5續(xù)”，同時(shí)表頭

也要出現(xiàn)在下頁(yè)中

建議表5中增加一行，將對(duì)序號(hào)27的說(shuō)明放到表中，加“注：”

課題組根據(jù)專家意見(jiàn)形成《安全漏洞等級(jí)劃分指南》送審稿，更新了編制說(shuō)

明，新增加一個(gè)專家意見(jiàn)反饋表。

3.15專家函審及形成報(bào)批稿

2013年1月6日至2013年1月21日，由信安標(biāo)委秘書處組織全體委員對(duì)標(biāo)

準(zhǔn)送審稿進(jìn)行函審。所有委員確認(rèn)收到函審材料，均贊成，未提出修改意見(jiàn)和建

議。

根據(jù)秘書處意見(jiàn)對(duì)送審稿編制說(shuō)明進(jìn)行了修改完善，形成報(bào)批稿。

四、國(guó)內(nèi)外安全漏洞等級(jí)劃分情況

4.1國(guó)際現(xiàn)狀

目前國(guó)外主要有以下安全漏洞等級(jí)劃分相關(guān)規(guī)范，如表9所示：

表9國(guó)外主要安全漏洞等級(jí)劃分規(guī)范

評(píng)級(jí)機(jī)構(gòu)漏洞等級(jí)劃分依據(jù)備注

Microsoft危急，高，中，低可利用性美國(guó)微軟公司

FrSIRT嚴(yán)重，高，中，低可利用性和后果法國(guó)漏洞研究機(jī)構(gòu)，已

變更為VUPEN

SANS高，中，低可利用性和后果美國(guó)安全研究和教育

組織

x-force高，中，低可利用性和后果被美國(guó)IBM公司收購(gòu)

Securia低、低危、中危、高危、極可利用性和后果丹麥漏洞研究機(jī)構(gòu)

度嚴(yán)重

US-CERT0-180綜合（9個(gè)方面的問(wèn)美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)

題）組織

NVD高，中，低CVSS綜合（3個(gè)層次的美國(guó)國(guó)家漏洞庫(kù)

計(jì)算）

其中，NVD依據(jù)CVSS量化打分來(lái)確定等級(jí)，CVSS（CommonVulnerability

20

ScoringSystem）是目前國(guó)外主要安全漏洞等級(jí)打分規(guī)范。該打分規(guī)范2004年

RSA大會(huì)上由CISCO、HP等眾多IT大腕公司聯(lián)合提出，具體由FIRST論壇管

理。2007年6月發(fā)布CVSS版本2.0。

可以看出，當(dāng)前國(guó)際漏洞等級(jí)劃分領(lǐng)域尚無(wú)統(tǒng)一方法。

4.2國(guó)內(nèi)現(xiàn)狀

國(guó)內(nèi)安全漏洞庫(kù)相關(guān)領(lǐng)域的研究最早開始于研究機(jī)構(gòu)，有部分研究者從事

安全漏洞庫(kù)的設(shè)計(jì)和實(shí)現(xiàn)工作，但他們的工作重點(diǎn)并不是收集和發(fā)布漏洞信息，

而是通過(guò)整合漏洞屬性設(shè)計(jì)合理完善的漏洞庫(kù)結(jié)構(gòu)，因此這類漏洞庫(kù)并沒(méi)有投入

實(shí)際應(yīng)用。隨著信息安全的發(fā)展，部分政府機(jī)構(gòu)、安全組織和公司開始根據(jù)自身

的需求建立漏洞庫(kù)。表10對(duì)國(guó)內(nèi)較有影響力的漏洞庫(kù)做了簡(jiǎn)要分析。

表10國(guó)內(nèi)主要安全漏洞庫(kù)及等級(jí)劃分情況介紹

中國(guó)國(guó)家國(guó)家信息安全國(guó)家安全綠盟科技啟明星辰

信息安全漏洞共享平臺(tái)漏洞庫(kù)漏洞庫(kù)漏洞庫(kù)

漏洞庫(kù)

運(yùn)營(yíng)單中國(guó)信息國(guó)家互聯(lián)網(wǎng)應(yīng)國(guó)家計(jì)算機(jī)中聯(lián)綠盟北京啟明

位安全測(cè)評(píng)急中心與國(guó)家網(wǎng)絡(luò)入侵防信息技術(shù)星辰信息

中心信息技術(shù)安全范中心等（北京）有技術(shù)有限

研究中心等限公司公司

安全漏十一個(gè)屬十四個(gè)屬性十九個(gè)屬性十個(gè)屬性十八個(gè)屬

洞屬性性性

危害等危急、高、高、中、低緊急、高、中、不詳高、中、低

級(jí)劃分中、低低

從表9和表10可以看出，現(xiàn)有安全漏洞庫(kù)在安全漏洞等級(jí)劃分上存在嚴(yán)重

的不一致現(xiàn)象。我國(guó)缺乏國(guó)家標(biāo)準(zhǔn)的規(guī)范，容易造成用戶的誤解，也給信息共享、

流通和應(yīng)用造成障礙。

4.3項(xiàng)目組成果

本標(biāo)準(zhǔn)的制定，將解決當(dāng)前評(píng)價(jià)方法驗(yàn)證不一致的情況。并給出一個(gè)操作性

強(qiáng)的評(píng)價(jià)方法。

課題組對(duì)7家國(guó)際主流漏洞等級(jí)評(píng)定組織和機(jī)構(gòu)所考慮的漏洞屬性進(jìn)行了統(tǒng)

計(jì)，結(jié)果下表所示。