文章总结： 本文依据国标GB/T30279-2020解读网络安全漏洞分类分级。分类包括代码问题、配置错误、环境问题等。分级分为技术分级和综合分级，均含超危、高危、中危、低危四级。技术分级侧重利用性与影响程度，综合分级结合环境因素评估特定场景下的危害，旨在指导漏洞分析与风险评估。 综合评分： 82 文章分类： 技术标准,政策法规,漏洞分析,网络安全

网络安全漏洞的【分类分级】

安小圈

2025年12月25日 08:46 上海

安小圈

第822期

在网络空间里，每天都有大量的网络安全漏洞被发现和被利用，漏洞的类型日趋多样化，超危和高危漏洞的数量居高不下。根据《信息安全技术网络安全漏洞分类分级指南》（GB/T 30279-2020），网络安全漏洞的分类分级具体如下：

一、网络安全漏洞的分类

网络安全漏洞的分类采用树形导图进行分类，主要分为以下几类：

1、代码问题指网络产品或系统在代码开发过程中因设计或实现不当而导致的漏洞，具体包括：

资源管理错误：因对系统资源（如内存、磁盘空间、文件、CPU使用率等）的错误管理导致的漏洞。

输入验证错误：因对输入的数据缺少正确的验证而产生的漏洞，如缓冲区错误（缓冲区溢出、堆溢出等）、注入（SQL注入、命令注入等）、跨站脚本（XSS）、格式化字符串错误等。

2、配置错误指网络产品或系统的配置不当导致的漏洞，具体包括：

权限配置错误：因错误地赋予了用户或程序过高的权限而导致的漏洞。

服务配置错误：因网络服务配置不当导致的漏洞，如开启了不必要的服务或服务配置参数不合理。

3、环境问题指因受影响组件部署运行环境的原因导致的安全问题，具体包括：

信息泄露：在运行过程中，因配置等错误导致的受影响组件信息被非授权获取的漏洞，如日志信息泄露、调试信息泄露、侧信道信息泄露等。

故障注入：通过改变运行环境（如温度、电压、频率等，或通过注入强光等方式）触发，可能导致代码、系统数据或执行过程发生错误的安全问题。

4、其他

暂时无法将漏洞归入上述任何类别，或者没有足够充分的信息对其进行分类，漏洞细节未指明

二、网络安全漏洞的分级

网络安全漏洞分级根据漏洞分级的场景不同，分为技术分级和综合分级两种分级方式，每种分级方式均包括超危、高危、中危和低危四个等级。

（一）技术分级

技术分级反映特定产品或系统的漏洞危害程度，用于从技术角度对漏洞危害等级进行划分，主要针对漏洞分析人员、产品开发人员等特定产品或系统漏洞的评估工作。其分级依据包括被利用性指标类和影响程度指标类。

• 被利用性指标类

• 访问路径：指触发漏洞的路径前提，反映漏洞触发时与受影响组件的最低接触程度。赋值包括网络、邻接、本地和物理，通常可通过网络触发的漏洞被利用性可能性高于可通过邻接网络触发的漏洞，可通过本地触发的网络安全漏洞次之，可通过物理接触触发的漏洞被利用可能性最低。

• 触发要求：指漏洞成功触发对受影响组件所在系统环境、配置等限制条件的需求程度。赋值包括低和高，通常触发要求低的漏洞危害程度高。

• 权限需求：指触发漏洞所需的权限，反映漏洞成功触发需要的最低权限。赋值包括无、低和高，通常所需要的权限越少漏洞危害程度越高。

• 交互条件：指漏洞触发是否需要其他主体的参与、配合。赋值包括不需要和需要，通常不需交互条件即能触发的漏洞，其危害程度较高。

• 影响程度指标类

• 保密性影响：反映漏洞对受影响实体承载信息的保密性的影响程度。赋值包括严重、一般和无。

• 完整性影响：反映漏洞对受影响实体承载信息的完整性的影响程度。赋值包括严重、一般和无。

• 可用性影响：反映漏洞对受影响实体承载信息的可用性的影响程度。赋值包括严重、一般和无。

（二）综合分级

综合分级反映在特定时期特定环境下漏洞危害程度，用于在特定场景下对漏洞危害等级进行划分，主要针对用户对产品或系统在特定网络环境中的漏洞评估工作。其分级依据包括被利用性指标类、影响程度指标类和环境因素指标类。

• 环境因素指标类

• 被利用成本：反映在参考环境下，漏洞触发所需的成本。赋值包括低、中、高，通常成本越低，漏洞的危害越严重。

• 修复难度：反映在参考环境下，修复漏洞所需的成本。赋值包括高、中、低，通常漏洞修复的难度越高，危害越严重。

• 影响范围：反映漏洞触发对环境的影响，漏洞受影响组件在环境中的重要性。赋值包括高、中、低、无，通常漏洞对环境的影响越高，危害越严重。

END

【以上内容来源自：安融技术】

**聊一聊网络安全公司的内部争斗

• 国家出手！网络安全产业低价中标乱象能否终结？

• 网络安全行业还会好起来吗?**

*** *《网络安全法》完成修改，自2026年1月1日起施行*

• 网络安全法修改了哪些内容？（附详细对照表）

• 全球三大网络安全巨头同时被黑

• 网安：亏损 TOP 10

• 中国联通DNS故障敲响警钟：DNS安全刻不容缓

• 全球超120万个医疗系统公网暴露：患者数据或遭窃取 中国亦受影响

• 个人信息保护负责人信息报送系统填报说明（第一版）全文

• 高度警惕：不明黑客组织攻击中国国防、能源、航空、医疗、网安等重点行业

• 攻防演练在即：如何开展网络安全应急响应

• 【攻防演练】中钓鱼全流程梳理

• [一文详解]网络安全【攻防演练】中的防御规划与实施

• 攻防必备 | 10款国产“两高一弱”专项解决方案

• 【干货】2024 攻防演练 · 期间 | 需关注的高危漏洞清单

• 攻防演练在即，10个物理安全问题不容忽视

• 红队视角！2024 | 国家级攻防演练100+必修高危漏洞合集(可下载)

• 【攻防演练】中钓鱼全流程梳理

• 攻防演练在即：如何开展网络安全应急响应

• 【零信任】落地的理想应用场景：攻防演练

• 网安同行们，你们焦虑了吗？

• # 网安公司最后那点体面，还剩下多少？

• 突发！数万台 Windows 蓝屏。。。。广联达。。。惹的祸。。。

• # 权威解答 | 国家网信办就：【数据出境】安全管理相关问题进行答复

• # 全国首位！上海通过数据出境安全评估91个，合同备案443个

• # 沈传宁：落实《网络数据安全管理条例》，提升全员数据安全意识

• 频繁跳槽，只为投毒

• 【2025】常见的网络安全服务大全（汇总详解）

• AI 安全 |《人工智能安全标准体系(V1.0)》(征求意见稿)，附下载

**

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安小圈 《网络安全漏洞的【分类分级】》