ICS91.120.25 CCSL70 21 辽宁省地方标准 DB21/T4170—2025 网络安全漏洞风险级别评估指南 Guidelinesforcybersecurityvulnerabilityriskclassified assessment 2025-08-30发布 2025-09-30实施 辽宁省市场监督管理局  发布DB21/T4170—2025 I目次 前言.................................................................................III 1范围.................................................................................1 2规范性引用文件.......................................................................1 3术语和定义...........................................................................1 4风险级别评估框架及流程...............................................................1 5漏洞分类.............................................................................2 6资产分类.............................................................................2 7风险级别评估.........................................................................3 7.1漏洞风险严重程度识别.............................................................3 7.2资产重要性等级识别...............................................................3 7.3漏洞风险级别评估.................................................................4 附录A（资料性）网络安全漏洞风险及网络安全资产三级分类示例表...........................5 附录B（资料性）网络安全漏洞风险与严重程度对应关系及资产重要性等级识别示例表..........10 附录C（资料性）网络安全漏洞风险级别评估示例..........................................17DB21/T4170—2025 III前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由辽宁省工业和信息化厅提出并归口。 本文件起草单位：北方实验室（沈阳）股份有限公司、辽宁鲲鹏生态创新中心有限公司、辽宁省通 信管理局、辽宁省福利彩票中心、东北大学。 本文件主要起草人：张健楠、袁洪朋、张建宇、刘文志、韩晓娜、隋大智、王海涛、段晓祥、李琳、 王继宏、王明俊、石绍群、刘兴华、马超、牛晓雷、何永建、闫丽杰、孙辉航、蒋绪军、任铭、李成、 姚羽。 本文件发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈， 我们将及时答复并认真处理，根据实际情况依法进行评估及复审。 归口管理部门通讯地址：辽宁省工业和信息化厅（沈阳市皇姑区北陵大街45-2号），联系电话： 024-86893258。 标准起草单位通讯地址：北方实验室（沈阳）股份有限公司（辽宁省沈阳市浑南区智慧三街199号）， 联系电话：400-664-5588。DB21/T4170—2025 1网络安全漏洞风险级别评估指南 1范围 本文件提供了网络安全漏洞风险级别评估指南的术语和定义、网络安全漏洞分类、网络安全资产分 类、网络安全漏洞风险定义和网络安全漏洞风险级别评估的建议。 本文件适用于网络产品和服务的提供者、网络运营者、网络安全评估机构在产品生产、技术研发、 网络运营、检测评估、漏洞管理等相关活动中进行的漏洞风险级别评估。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本指南必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本指南；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 指南。 GB/T20984—2022信息安全技术信息安全风险评估方法 GB/T25069—2022信息安全技术术语 GB/T28458—2020信息安全技术安全漏洞标识与描述规范 GB/T30276—2020信息安全技术信息安全漏洞管理规范 GB/T30279—2020信息安全技术网络安全漏洞分类分级指南 3术语和定义 GB/T25069—2022、GB/T20984—2022、GB/T28458—2020、GB/T30276—2020、GB/T30279—2020 界定的术语和定义适用于本文件。 4风险级别评估框架及流程 网络安全漏洞风险级别评估基本要素包括漏洞严重程度和资产重要性等级两方面，基于这两方面要 素开展漏洞风险级别评估，基本要素的关系见图1。 图1漏洞风险级别评估要素及其关系DB21/T4170—2025 2开展网络安全漏洞风险级别评估时，要素之间的关系和评估流程如下： a)网络安全的核心是资产，资产存在漏洞。漏洞包括漏洞风险类别和关联资产两个属性； b)确认漏洞对应的漏洞风险分类及关联资产分类； c)根据上述两个分类属性确认结果，建立漏洞风险分类与漏洞严重程度关系表、网络安全资产分类 与资产重要性等级关系表； d)根据漏洞严重程度和关联资产重要性等级的结果，通过漏洞风险级别评估矩阵计算出漏洞风险分 值； e)根据漏洞风险分值结果判定漏洞最终风险。 5漏洞分类 本指南引用GB/T30279—2020中5.1漏洞分类，通过技术特征提取、影响范围关联、结构化命名， 进一步细化扩展第三级网络安全漏洞子类。 技术特征提取、影响范围关联、结构化命名三者联动形成“技术路径清晰、危害可评估、命名标准 化”的网络安全漏洞三级分类方法，具体步骤如下： a)枚举技术特征列表：针对每个二级分类，梳理其涉及的具体技术缺陷或攻击手法（如“输入验证 错误”下的“缓冲区溢出”“正则表达式注入”等）； b)匹配影响范围：为每个技术特征明确对应的直接安全影响（基于保密性、完整性、可用性维度）， 如“目录遍历”对应“敏感文件读取（保密性）”“恶意文件上传（完整性）”，同一技术特征 可能涉及多个影响需全部标注； c)命名三级子类：采用“技术特征+影响结果/场景限定”模式命名，包括单一影响型（如“缓冲区 溢出漏洞”）、多影响型（如“路径遍历-任意文件下载”）、场景限定型（如“API接口-未授权 访问”），确保名称唯一且标准化。 依据网络安全漏洞三级分类方法，具体细化扩展出的网络安全漏洞风险三级分类示例见附录A.1。 6资产分类 本指南引用GB/T20984—2022中5.2.1.4资产分类，通过功能维度解析、形式特征提取、组件结 构划分，进一步细化扩展第三级网络安全资产子类。 功能维度解析、形式特征提取、组件结构划分三者联动形成“业务定位清晰、形态特征明确、架构 层级标准化”的网络安全资产三级分类方法，具体步骤如下： a)功能维度解析：针对每个二级资产分类，分析其承载的业务用途或技术功能，梳理出具体功能属 性（如“数据存储”“网络通信”“业务支撑”），并映射到具体资产类型。例如，在“存储设 备”中，按功能维度可区分“主磁盘阵列”（生产环境数据存储）与“备份磁盘阵列”（数据备 份专用）； b)形式特征提取：从资产的物理形态、技术架构或终端类型等形式维度，提取差异化特征（如“便 携性”“传输介质”“架构分层”）。例如，“便携计算机”基于物理形态的便携性归类，“Web 前端应用”基于技术架构的分层特性归类； c)组件结构划分：根据资产在系统架构中的角色或组成部分（如“核心层组件”“边界防护组件” “基础设施组件”）进行层级划分。例如，“核心路由器”属于网络架构核心层组件，“入侵防 御系统”属于安全防护边界组件，“云计算平台”属于基础设施支撑组件。 依据网络安全资产三级分类方法，具体细化扩展出的网络安全资产三级分类示例见附录A.2。