国家标准计划《网络安全技术 网络安全漏洞分类分级指南》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 中国信息安全测评中心 、国家计算机网络应急技术处理协调中心 、国家信息技术安全研究中心 、公安部第一研究所 、公安部第三研究所 、南方电网数字电网集团有限公司网络安全运行调度控制中心 、中国信息通信研究院 、中兴通讯股份有限公司 、浙江大华技术股份有限公司 、华为技术有限公司 、北京微步在线科技有限公司 、北京长亭科技有限公司 、北京天融信网络安全技术有限公司 、奇安信科技集团股份有限公司 、启明星辰信息技术集团股份有限公司 、上海斗象信息科技有限公司 、杭州迪普科技股份有限公司 、深信服科技股份有限公司 。

与漏洞相关的产品。

GB/T 30279-2020《网络安全技术 网络安全漏洞分类分级指南》由中国信息安全测评中心牵头修订，于2020年11月发布，2021年6月正式实施后，在我国信息安全领域得到了广泛的应用，为规范和服务漏洞管理、产品生产、技术研发、网络运营等相关活动中进行的漏洞分类和危害等级评估发挥了重要作用。

随着我国网络强国战略的深入推进和信息技术创新能力的显著提升，关键领域的自主可控发展与国产化替代进程加速落地。

在这一背景下，网络安全漏洞管理领域亟需构建符合国情、适配国产技术生态的分类分级标准体系，摆脱对国外标准体系（如CWE、CVSS）的过度依赖，强化国家关键信息基础设施安全防护的主动性。

为更好地适应国际形势变化，进一步增强漏洞工作服务和网络强国建设质效，拟从标准的适用性、分类分级指标细化等方面，对本标准进行修订。

拟解决问题：第一，解决漏洞类别覆盖不全问题。

基于造成漏洞的软硬件缺陷和触发漏洞对受影响产品造成的损害两种角度对漏洞进行类别划分。

当漏洞由多种缺陷产生，或可被多种技术危害时，可将漏洞归入多个符合其特征的类别。

第二，解决漏洞级别划分无法应对威胁场景动态变化问题。

细化分级因素中的“环境因素”，并在漏洞分级方法“环境因素评级”中更加强调漏洞随时间和环境变化带来的危害变化。

从可行性角度看，中国信息安全测评中心积累了丰富的网络安全标准化工作经验，具备开展漏洞分类分级标准制修订工作的技术基础，同时，通过运营国家信息安全漏洞库（CNNVD），在漏洞管理、分析评估等方面的实践探索工作为标准的修订提供了充分的技术储备和实践验证经验。

在漏洞分类方面：现行标准仅依据漏洞产生或触发的技术成因进行树状划分，难以体现网络运营方所关注的“危害影响”维度，与实际漏洞威胁管理需求出现脱节；现行标准的四级树形结构要求每个漏洞必须归入单一末端节点，导致具有多重属性的“跨类别漏洞”无法被准确描述，且父子类目并存易引发归属模糊；作为2020年发布的标准，分类体系未能涵盖人工智能、云计算等新兴技术领域涌现的新型漏洞，无法适应当前最新技术发展。 在漏洞分级方面：现行标准将漏洞的技术属性与环境因素进行加权融合，旨在得出综合威胁值，在实际应用中与不同应用主体的核心诉求产生了偏差，安全研究人员关注点在于客观评定漏洞的固有技术严重性，需要静态、可比较的技术基准；而生产运营方的关注点是基于自身业务环境进行风险处置，需要动态、可量化的环境影响分析。 因此本次标准修订的主要内容为：在漏洞分类方面，将原标准采用的基于漏洞产生或触发的技术原因对漏洞进行划分，采用树形结构将漏洞归入某个具体类别的方式，修订为基于造成漏洞的软硬件缺陷和触发漏洞的危害影响两种维度对漏洞进行划分，可将漏洞归入某个或多个符合其特征的类别中，并丰富了漏洞类型；在漏洞分级方面，将原标准的技术分级和综合分级修订为两个独立的分级结果，对相关指标进行了扩展，并修订了对应的分级方法。 拟修订的具体内容包括： 1)将全文“信息安全”相关表述更改为“网络安全”； 2)增加了受影响产品或服务、后继影响组件的术语与定义（见3.2、3.3）； 3)增加了缩略语（见4）； 4)拓展了漏洞分类维度，将漏洞类型分为基于缺陷的漏洞分类和基于影响的漏洞分类，原分类方法为基于缺陷的漏洞分类，由30个类别修改扩充至34个类别（见5.1、5.2）； 5)修订了漏洞分类方法，某一漏洞可按照需要选择一种或两种漏洞分类维度，也可归为一种或多种漏洞类型（见5.1）； 6)增加了基于影响的漏洞分类（见5.3）； 7)被利用性指标组中增加了攻击复杂度（见6.2.1.2）； 8)影响程度指标组增加了间接影响程度（见6.2.2）； 9)修改扩充了环境因素漏洞分级指标（见6.2.3）； 10)将原标准的技术分级和综合分级修订为两个独立的分级结果，并修订了相应的漏洞分级方法（见6.3、附录A、附录B、附录C、附录D、附录E）； 11)为提升针对单个漏洞、组合漏洞的分类分级可操作性，增加了漏洞分类分级示例（见附录F、附录G）； 12)本标准提出的基于缺陷的漏洞分类共34项，涵盖并完全兼容GB/T 30279-2020的24个分类，未采纳分类6项、新增分类10项（详细说明见附录H）； 13)本标准提出的漏洞分级指标共12项，涵盖并完全兼容GB/T 30279-2020的10项（详细说明见附录I）。