標準起草單位通訊地址：北方實驗室（沈陽）股份有限公司（遼寧省沈陽市渾南區(qū)智慧三街199號），

聯(lián)系電話：400-664-5588。

III

DB21/T4170—2025

網(wǎng)絡(luò)安全漏洞風險級別評估指南

1范圍

本文件提供了網(wǎng)絡(luò)安全漏洞風險級別評估指南的術(shù)語和定義、網(wǎng)絡(luò)安全漏洞分類、網(wǎng)絡(luò)安全資產(chǎn)分

類、網(wǎng)絡(luò)安全漏洞風險定義和網(wǎng)絡(luò)安全漏洞風險級別評估的建議。

本文件適用于網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者、網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)安全評估機構(gòu)在產(chǎn)品生產(chǎn)、技術(shù)研發(fā)、

網(wǎng)絡(luò)運營、檢測評估、漏洞管理等相關(guān)活動中進行的漏洞風險級別評估。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本指南必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本指南；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

指南。

GB/T20984—2022信息安全技術(shù)信息安全風險評估方法

GB/T25069—2022信息安全技術(shù)術(shù)語

GB/T28458—2020信息安全技術(shù)安全漏洞標識與描述規(guī)范

GB/T30276—2020信息安全技術(shù)信息安全漏洞管理規(guī)范

GB/T30279—2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級指南

3術(shù)語和定義

GB/T25069—2022、GB/T20984—2022、GB/T28458—2020、GB/T30276—2020、GB/T30279—2020

界定的術(shù)語和定義適用于本文件。

4風險級別評估框架及流程

網(wǎng)絡(luò)安全漏洞風險級別評估基本要素包括漏洞嚴重程度和資產(chǎn)重要性等級兩方面，基于這兩方面要

素開展漏洞風險級別評估，基本要素的關(guān)系見圖1。

圖1漏洞風險級別評估要素及其關(guān)系

1

DB21/T4170—2025

開展網(wǎng)絡(luò)安全漏洞風險級別評估時，要素之間的關(guān)系和評估流程如下：

a)網(wǎng)絡(luò)安全的核心是資產(chǎn)，資產(chǎn)存在漏洞。漏洞包括漏洞風險類別和關(guān)聯(lián)資產(chǎn)兩個屬性；

b)確認漏洞對應(yīng)的漏洞風險分類及關(guān)聯(lián)資產(chǎn)分類；

c)根據(jù)上述兩個分類屬性確認結(jié)果，建立漏洞風險分類與漏洞嚴重程度關(guān)系表、網(wǎng)絡(luò)安全資產(chǎn)分類

與資產(chǎn)重要性等級關(guān)系表；

d)根據(jù)漏洞嚴重程度和關(guān)聯(lián)資產(chǎn)重要性等級的結(jié)果，通過漏洞風險級別評估矩陣計算出漏洞風險分

值；

e)根據(jù)漏洞風險分值結(jié)果判定漏洞最終風險。

5漏洞分類

本指南引用GB/T30279—2020中5.1漏洞分類，通過技術(shù)特征提取、影響范圍關(guān)聯(lián)、結(jié)構(gòu)化命名，

進一步細化擴展第三級網(wǎng)絡(luò)安全漏洞子類。

技術(shù)特征提取、影響范圍關(guān)聯(lián)、結(jié)構(gòu)化命名三者聯(lián)動形成“技術(shù)路徑清晰、危害可評估、命名標準

化”的網(wǎng)絡(luò)安全漏洞三級分類方法，具體步驟如下：

a)枚舉技術(shù)特征列表：針對每個二級分類，梳理其涉及的具體技術(shù)缺陷或攻擊手法（如“輸入驗證

錯誤”下的“緩沖區(qū)溢出”“正則表達式注入”等）；

b)匹配影響范圍：為每個技術(shù)特征明確對應(yīng)的直接安全影響（基于保密性、完整性、可用性維度），

如“目錄遍歷”對應(yīng)“敏感文件讀?。ūＣ苄裕薄皭阂馕募蟼鳎ㄍ暾裕保患夹g(shù)特征

可能涉及多個影響需全部標注；

c)命名三級子類：采用“技術(shù)特征+影響結(jié)果/場景限定”模式命名，包括單一影響型（如“緩沖區(qū)

溢出漏洞”）、多影響型（如“路徑遍歷-任意文件下載”）、場景限定型（如“API接口-未授權(quán)

訪問”），確保名稱唯一且標準化。

依據(jù)網(wǎng)絡(luò)安全漏洞三級分類方法，具體細化擴展出的網(wǎng)絡(luò)安全漏洞風險三級分類示例見附錄A.1。

6資產(chǎn)分類

本指南引用GB/T20984—2022中資產(chǎn)分類，通過功能維度解析、形式特征提取、組件結(jié)

構(gòu)劃分，進一步細化擴展第三級網(wǎng)絡(luò)安全資產(chǎn)子類。

功能維度解析、形式特征提取、組件結(jié)構(gòu)劃分三者聯(lián)動形成“業(yè)務(wù)定位清晰、形態(tài)特征明確、架構(gòu)

層級標準化”的網(wǎng)絡(luò)安全資產(chǎn)三級分類方法，具體步驟如下：

a)功能維度解析：針對每個二級資產(chǎn)分類，分析其承載的業(yè)務(wù)用途或技術(shù)功能，梳理出具體功能屬

性（如“數(shù)據(jù)存儲”“網(wǎng)絡(luò)通信”“業(yè)務(wù)支撐”），并映射到具體資產(chǎn)類型。例如，在“存儲設(shè)

備”中，按功能維度可區(qū)分“主磁盤陣列”（生產(chǎn)環(huán)境數(shù)據(jù)存儲）與“備份磁盤陣列”（數(shù)據(jù)備

份專用）；

b)形式特征提取：從資產(chǎn)的物理形態(tài)、技術(shù)架構(gòu)或終端類型等形式維度，提取差異化特征（如“便

攜性”“傳輸介質(zhì)”“架構(gòu)分層”）。例如，“便攜計算機”基于物理形態(tài)的便攜性歸類，“Web

前端應(yīng)用”基于技術(shù)架構(gòu)的分層特性歸類；

c)組件結(jié)構(gòu)劃分：根據(jù)資產(chǎn)在系統(tǒng)架構(gòu)中的角色或組成部分（如“核心層組件”“邊界防護組件”

“基礎(chǔ)設(shè)施組件”）進行層級劃分。例如，“核心路由器”屬于網(wǎng)絡(luò)架構(gòu)核心層組件，“入侵防

御系統(tǒng)”屬于安全防護邊界組件，“云計算平臺”屬于基礎(chǔ)設(shè)施支撐組件。

依據(jù)網(wǎng)絡(luò)安全資產(chǎn)三級分類方法，具體細化擴展出的網(wǎng)絡(luò)安全資產(chǎn)三級分類示例見附錄A.2。

2

DB21/T4170—2025

7風險級別評估

7.1漏洞風險嚴重程度識別

定義網(wǎng)絡(luò)安全漏洞風險嚴重程度，將細化擴展出的網(wǎng)絡(luò)安全漏洞與漏洞風險嚴重程度建立對應(yīng)關(guān)系。

a)參考GB/T20984—2022，依據(jù)漏洞風險對業(yè)務(wù)信息和系統(tǒng)服務(wù)所造成的侵害程度，分5個級別對漏

洞風險嚴重程度進行定義，見表1；

表1漏洞風險嚴重程度定義表

等級標識定義

1很低無法利用但影響使用的安全方面缺陷，對業(yè)務(wù)信息和系統(tǒng)服務(wù)基本不造成侵害

輕微信息泄露漏洞、配置錯誤和解析漏洞、資源管理錯誤，對業(yè)務(wù)信息和系統(tǒng)服務(wù)造成一

2低

般侵害

一般數(shù)據(jù)泄露漏洞、邏輯設(shè)計缺陷或安全功能缺陷、完整性破壞或調(diào)試信息泄露漏洞，對

3中等

業(yè)務(wù)信息和系統(tǒng)服務(wù)造成侵害

重要業(yè)務(wù)敏感數(shù)據(jù)泄露漏洞、重要業(yè)務(wù)邏輯漏洞、重要業(yè)務(wù)功能未授權(quán)漏洞，對業(yè)務(wù)信息

4高

和系統(tǒng)服務(wù)造成嚴重侵害

直接獲取權(quán)限的漏洞、直接導(dǎo)致嚴重的信息泄露漏洞、直接導(dǎo)致嚴重影響的邏輯漏洞，對

5很高

業(yè)務(wù)信息和系統(tǒng)服務(wù)造成特別嚴重侵害

b)對細化擴展出的網(wǎng)絡(luò)安全漏洞風險，基于漏洞利用的難易程度、漏洞對數(shù)據(jù)及系統(tǒng)造成的影

響等因素，通過維度等級劃分、關(guān)聯(lián)矩陣構(gòu)建、判定規(guī)則定義、數(shù)據(jù)驗證校準四個環(huán)節(jié)，形

成漏洞風險與嚴重程度的系統(tǒng)化映射體系，建立網(wǎng)絡(luò)安全漏洞風險與嚴重程度的對應(yīng)關(guān)系表，

具體步驟如下：

1)劃分維度等級：將“利用難易程度”劃分為很低、低、中等、高、很高五級（如“很低”

表示無需特殊條件即可利用，“很高”表示需復(fù)雜攻擊鏈或特殊權(quán)限）；將“影響程度”

劃分為輕微、一般、中等、嚴重、很高五級（如“輕微”對應(yīng)非敏感數(shù)據(jù)泄露，“很高”

對應(yīng)核心業(yè)務(wù)系統(tǒng)癱瘓或大規(guī)模敏感數(shù)據(jù)泄露），形成標準化五級評估體系；

2)構(gòu)建關(guān)聯(lián)矩陣：以“利用難易程度”為橫軸（5級）、“影響程度”為縱軸（5級），建

立二維矩陣，通過交叉組合形成25個評估單元，每個單元對應(yīng)唯一的風險等級（如“利

用難度低+影響程度一般”對應(yīng)“低風險”，“利用難度很高+影響程度很高”對應(yīng)“很

高風險”）；

3)定義判定規(guī)則：參照表1漏洞風險嚴重程度定義表，為每個風險等級（1-5級）制定具體

映射規(guī)則。

依據(jù)漏洞風險嚴重程度識別方法，參照網(wǎng)絡(luò)安全漏洞風險三級分類示例，形成網(wǎng)絡(luò)安全漏洞風險所

對應(yīng)的嚴重程度關(guān)系示例表見附錄B.1。

7.2資產(chǎn)重要性等級識別

定義網(wǎng)絡(luò)安全資產(chǎn)重要性等級，將細化擴展出的網(wǎng)絡(luò)安全資產(chǎn)與重要性等級建立對應(yīng)關(guān)系。

a)參考GB/T20984—2022，分5個級別對資產(chǎn)重要性等級進行定義，見表2；

表2資產(chǎn)重要性等級定義表

等級標識定義

1很低資產(chǎn)遭到破壞后，對被測組織的業(yè)務(wù)對象造成很小的影響，甚至忽略不計

2低資產(chǎn)遭到破壞后，對被測組織的業(yè)務(wù)對象造成較低的影響

3

DB21/T4170—2025

表2資產(chǎn)重要性等級定義表（續(xù)）

等級標識定義

3中等資產(chǎn)遭到破壞后，對被測組織的業(yè)務(wù)對象造成中等程度的影響

4高資產(chǎn)遭到破壞后，對被測組織的業(yè)務(wù)對象造成比較嚴重的影響

5很高資產(chǎn)遭到破壞后，對被測組織的業(yè)務(wù)對象造成非常嚴重的影響

b)從資產(chǎn)保密性、完整性、可用性三方面，通過要素賦值與加權(quán)計算，對網(wǎng)絡(luò)安全資產(chǎn)重要性

等級進行識別和賦值。

依據(jù)資產(chǎn)重要性等級定義表，結(jié)合加權(quán)計算結(jié)果，形成網(wǎng)絡(luò)安全資產(chǎn)重要性等級識別示例見表B.2。

7.3漏洞風險級別評估

7.3.1漏洞風險級別評估矩陣

基于漏洞嚴重程度和資產(chǎn)重要性等級，建立漏洞風險級別評估矩陣，見表3。

表3漏洞風險級別評估矩陣表

漏洞嚴重程度

資產(chǎn)重要性等級

很低（1）低（2）中等（3）高（4）很高（5）

很低111.522.53

低21.522.533.5

中等322.533.54

高42.533.544.5

很高533.544.55

7.3.2漏洞風險級別評估準則

依據(jù)漏洞風險級別評估矩陣所定義的風險值，制定如下漏洞風險級別評估準則，見表4。

表4漏洞風險級別評估準則

風險等級判定準則

超危經(jīng)漏洞嚴重程度和資產(chǎn)重要性等級兩項綜合評估，矩陣判定結(jié)果為4.5分及以上的漏洞風險

高危經(jīng)漏洞嚴重程度和資產(chǎn)重要性等級兩項綜合評估，矩陣判定結(jié)果為3.5或4分的漏洞風險

中危經(jīng)漏洞嚴重程度和資產(chǎn)重要性等級兩項綜合評估，矩陣判定結(jié)果為2.5或3分的漏洞風險

低危經(jīng)漏洞嚴重程度和資產(chǎn)重要性等級兩項綜合評估，矩陣判定結(jié)果為1、1.5或2分的漏洞風險

4

DB21/T4170—2025

附錄A

（資料性）

網(wǎng)絡(luò)安全漏洞風險及網(wǎng)絡(luò)安全資產(chǎn)三級分類示例表

A.1網(wǎng)絡(luò)安全漏洞風險三級分類示例表

網(wǎng)絡(luò)安全漏洞風險三級分類示例表見表A.1。

表A.1網(wǎng)絡(luò)安全漏洞風險分類示例表

序號漏洞大類漏洞小類漏洞子類

1不可控的內(nèi)存分配

2內(nèi)存泄露

資源管理錯誤資源管理問題

3敏感信息存儲于上鎖不正確的內(nèi)存空間

4關(guān)鍵資源路徑錯誤

5棧緩沖區(qū)溢出漏洞

6緩沖區(qū)錯誤堆緩沖區(qū)溢出漏洞

7緩沖區(qū)越界讀

8使用外部控制的格式化字符串

格式化字符串錯誤

9FastJson反序列化漏洞

10跨站腳本存儲xss漏洞

11反射xss漏洞

12Dom型xss漏洞

13shell命令注入

14命令注入遠程命令執(zhí)行漏洞

15本地命令執(zhí)行漏洞

16代碼問題模板注入

17木馬文件上傳

18輸入驗證錯誤YAML遠程代碼注入

注入

19LDAP注入

20代碼注入表達式注入

21XML外部實體注入

22Java反序列化漏洞

23XPath注入

24NoSQL注入

25報錯注入

26聯(lián)合查詢sql注入

27盲注

SQL注入

28二次SQL注入

29堆疊注入

30排序注入

31不可信的搜索路徑

路徑遍歷

32絕對路徑遍歷漏洞

5

DB21/T4170—2025

表A.1網(wǎng)絡(luò)安全漏洞風險分類示例表（續(xù)）

序號漏洞大類漏洞小類漏洞子類

33相對路徑遍歷漏洞

路徑遍歷

34任意文件下載漏洞

35重定向

后置鏈接

36暗鏈或外鏈

37未驗證的CSRF令牌

跨站請求偽造

38無CSRF令牌保護的敏感操作

39整數(shù)溢出錯誤

40數(shù)字錯誤數(shù)字錯誤除零錯誤

41未經(jīng)驗證的輸入數(shù)據(jù)

42驗證碼不失效

競爭條件問題競爭條件問題

43驗證碼重放攻擊

44手機驗證碼返回前端

45任意密碼重置漏洞

處理邏輯錯誤處理邏輯錯誤

46任意用戶登錄漏洞

47支付邏輯漏洞

48使用過時的加密算法

49硬編碼密鑰

50加密問題加密問題不安全的加密模式

51加密密鑰泄露

52缺乏加密

53會話永不過期

信任管理問題

54Http拆分

55垂直越權(quán)漏洞

授權(quán)問題

56平行越權(quán)漏洞

權(quán)限許可和訪問控制問題

57未授權(quán)訪問漏洞

58弱口令問題

59字符串轉(zhuǎn)數(shù)字錯誤

60數(shù)據(jù)轉(zhuǎn)換問題數(shù)據(jù)轉(zhuǎn)換問題數(shù)組轉(zhuǎn)換錯誤

61對象轉(zhuǎn)換錯誤

62內(nèi)置或匿名用戶

63未聲明功能未聲明功能殘留功能

64預(yù)留后門

65關(guān)鍵參數(shù)篡改錯誤

66配置錯誤配置錯誤配置錯誤空閑會話超時錯誤

67配置錯誤引起的系統(tǒng)崩潰

68敏感信息泄露

69環(huán)境問題信息泄露信息泄露日志信息泄露

70配置或調(diào)試信息泄露

6

DB21/T4170—2025

表A.1網(wǎng)絡(luò)安全漏洞風險分類示例表（續(xù)）

序號漏洞大類漏洞小類漏洞子類

71側(cè)信道信息泄露

72拒絕服務(wù)攻擊

故障注入故障注入

73錯誤處理不足

74其他其他其他其他

A.2網(wǎng)絡(luò)安全資產(chǎn)三級分類示例表

網(wǎng)絡(luò)安全資產(chǎn)三級分類示例表見表A.2。

表A.2網(wǎng)絡(luò)安全資產(chǎn)三級分類示例表

序號資產(chǎn)大類資產(chǎn)小類資產(chǎn)子類

1大型機應(yīng)用服務(wù)器

2大型機數(shù)據(jù)庫服務(wù)器

3大型機大型機消息服務(wù)器

4大型機計算服務(wù)器

5大型機虛擬化服務(wù)器

6大型機備份或測試服務(wù)器

7小型機應(yīng)用服務(wù)器

8小型機數(shù)據(jù)庫服務(wù)器

9小型機消息服務(wù)器

小型機

10小型機計算服務(wù)器

11小型機虛擬化服務(wù)器

12小型機備份或測試服務(wù)器

計算機設(shè)備

13應(yīng)用服務(wù)器

14數(shù)據(jù)庫服務(wù)器

15消息服務(wù)器

16服務(wù)器計算服務(wù)器

17虛擬化服務(wù)器

18運維管理服務(wù)器

19備份或測試服務(wù)器

20管理員站

21工作站工程師站

22操作員站

23運維管理臺式計算機

24臺式計算機用戶臺式計算機

25開發(fā)臺式計算機

7

DB21/T4170—2025

表A.2網(wǎng)絡(luò)安全資產(chǎn)三級分類示例表(續(xù))

序號資產(chǎn)大類資產(chǎn)小類資產(chǎn)子類

26運維管理便攜計算機

27計算機設(shè)備便攜計算機用戶便攜計算機

28開發(fā)便攜計算機

29磁帶機磁帶機

30主磁盤陣列

磁盤陣列

31備份磁盤陣列

32存儲設(shè)備磁帶磁帶

33光盤光盤

34軟盤軟盤

35移動硬盤移動硬盤

36物聯(lián)網(wǎng)感知終端和攝像頭

感知節(jié)點設(shè)備（物聯(lián)網(wǎng)感知終端）

37智能終端設(shè)備智能終端

38移動終端移動終端

39接入路由器

40匯聚路由器

路由器

41核心路由器

42無線路由器

43認證網(wǎng)關(guān)

44物聯(lián)網(wǎng)網(wǎng)關(guān)

網(wǎng)絡(luò)設(shè)備網(wǎng)關(guān)

45多媒體網(wǎng)關(guān)

46應(yīng)用網(wǎng)關(guān)

47核心交換機

48匯聚交換機

交換機

49接入交換機

50管理交換機

51裸光纖

52數(shù)字專線

光纖

53互聯(lián)網(wǎng)專線

傳輸線路

54光纖寬帶

55辦公局域網(wǎng)絡(luò)

雙絞線

56數(shù)據(jù)中心網(wǎng)絡(luò)

57互聯(lián)網(wǎng)出口防火墻

安全設(shè)備防火墻

58區(qū)域邊界防火墻

8

DB21/T4170—2025

表A.2網(wǎng)絡(luò)安全資產(chǎn)三級分類示例表(續(xù))

序號資產(chǎn)大類資產(chǎn)小類資產(chǎn)子類

59入侵檢測

60入侵防御

61應(yīng)用安全防護

62入侵檢測/防護系統(tǒng)終端管理

63威脅感知

64日志審計

安全設(shè)備

65上網(wǎng)行為管理

66網(wǎng)絡(luò)防病毒

67防病毒網(wǎng)關(guān)服務(wù)器防病毒

68終端防病毒

69IPSecVPN

VPN

70SSLVPN

71管理服務(wù)端應(yīng)用

72應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)Web前端應(yīng)用

73App應(yīng)用

74小程序應(yīng)用

應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)

75公眾號

76辦公軟件辦公軟件

77應(yīng)用軟件各類工具軟件各類工具軟件

78移動應(yīng)用軟件移動應(yīng)用軟件

79服務(wù)器操作系統(tǒng)

80工作站操作系統(tǒng)

操作系統(tǒng)

81終端操作系統(tǒng)

82其他操作系統(tǒng)

83業(yè)務(wù)數(shù)據(jù)庫

84數(shù)據(jù)庫管理系統(tǒng)日志數(shù)據(jù)庫

85系統(tǒng)軟件配置數(shù)據(jù)庫

86Web中間件

87消息中間件

中間