文章总结： 本文解读了GB/T30279-2020网络安全漏洞分类分级指南，介绍了该标准的树形分类法和多维分级体系。分类法通过层层比对将漏洞归入具体类别；分级则包含技术分级与综合分级，综合考量可利用性、影响程度及环境因素，最终判定漏洞等级。建议安全人员掌握该标准以规范漏洞管理，可利用Excel公式辅助计算。 综合评分： 78 文章分类： 技术标准,政策法规,漏洞分析

读懂《GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南》

原创

鲶鱼爱魔方

透明魔方

2025年12月24日 20:16 上海

《GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南》是2020年11月19日发布，2021年6月1日实施的。

现在谈漏洞分类和定级，一般都会参考它，因为它通过树形分类和多维分级，构建了一套可操作的漏洞评估体系。

如果你是安全工程师、系统管理员或产品开发人员，我觉得掌握这份标准都有助于我们更好地交流、理解和管理漏洞。

这个标准不难获取，在全国标准信息公共服务平台就能很容易下载。https://std.samr.gov.cn

为什么说这个是树形分类呢？

看这个标准上的图1 网络安全漏洞分类导图，从根节点不断分叉，长出枝桠。这对我们按图索骥给漏洞分类非常有帮助。它是从根节点开始比对，将漏洞成因归入某个具体类别，然后一层层继续比对，直到不能再分叉比对为止。

拿常见的SQL注入举例。

一层层下去后就是：漏洞分类——代码问题——输入验证错误——注入——SQL注入。

当然，如果对分类导图里的名称有疑问，还可以仔细查阅这个《GB/T 30279-2020  信息安全技术 网络安全漏洞分类分级指南》。

如竞争条件问题是指因在并发运行环境中，一段并发代码需要互斥地访问共享资源时，而另一段代码在同一个时间窗口可以并发修改共享资源而导致的安全问题。

为什么说这个是多维分级呢？

因为漏洞的危害程度不是由单一因素决定的，需要从多个维度综合评估。

这个很好理解啊，比如我们评价一场火灾的危险性，不能只看火大不大，还要看涉及的人和物的数量价值，消防能赶到的及时程度。

简单的说，这个标准是搞两个分级，一个叫“技术分级”，一个叫“综合分级”。

我们先说说怎么做技术分级。

顾名思义，技术分级就主要是从技术角度对漏洞危害进行划分的。

直接看标准中的表F.1这个例子。技术分级就是看两个指标，被利用性和影响程度。而两个指标又有子指标，每个指标赋值都可以在标准中查到。

我们再说说怎么做综合分级。

综合分级就是把技术分级再加一个环境因素。

相关的赋值说明、分级说明、以及最终定为超危、高危、中危还是低危，在这个标准中都有表。

就是查来查去有点烦人，自己做个excel公式就好用了。

THE END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：透明魔方 鲶鱼爱魔方《读懂《GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南》》