ICS3524050

CCSL.62.

團體標準

T/CPUMT008—2022

工業(yè)信息安全漏洞分類分級指南

Guidelinesforcategorizationandclassificationofindustrialinformation

securityvulnerability

2022-11-08發(fā)布2022-11-08實施

中國和平利用軍工技術協(xié)會發(fā)布

中國標準出版社出版

T/CPUMT008—2022

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………1

工業(yè)信息安全漏洞分類

5…………………2

概述

5.1…………………2

按受影響實體分類

5.2…………………2

按漏洞成因分類

5.3……………………3

工業(yè)信息安全漏洞分級指標

6……………7

基礎指標

6.1……………7

輔助因素指標

6.2………………………9

環(huán)境因素指標

6.3………………………11

工業(yè)信息安全漏洞危害分級

7……………12

概述

7.1…………………12

工業(yè)信息安全漏洞危害等級說明

7.2…………………12

工業(yè)信息安全漏洞危害分級方法

7.3…………………12

附錄規(guī)范性可利用性分級表

A()………………………14

附錄規(guī)范性影響程度分級表

B()………………………16

附錄規(guī)范性輔助因素指標分級表

C()…………………18

附錄規(guī)范性環(huán)境因素指標分級表

D()…………………19

附錄規(guī)范性漏洞通用分級表

E()………………………20

附錄規(guī)范性漏洞現(xiàn)場分級表

F()………………………21

參考文獻

……………………22

T/CPUMT008—2022

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別專利的責任

。。

本文件由中國和平利用軍工技術協(xié)會提出并歸口

。

本文件起草單位國家工業(yè)信息安全發(fā)展研究中心浙江木鏈物聯(lián)網(wǎng)科技有限公司聯(lián)通數(shù)字科技

:、、

有限公司北京天融信網(wǎng)絡安全技術有限公司成都安美勤信息技術股份有限公司浙江中控技術股份

、、、

有限公司奇安信科技集團股份有限公司北京國泰網(wǎng)信科技有限公司飛諾門陣北京科技有限公司

、、、()、

新華三技術有限公司北京六方云信息技術有限公司浪潮工業(yè)互聯(lián)網(wǎng)股份有限公司北京珞安科技有

、、、

限責任公司上海市網(wǎng)絡技術綜合應用研究所杭州中電安科現(xiàn)代科技有限公司深圳市盛視技術有限

、、、

公司重慶中科搖櫓船信息科技有限公司博智安全科技股份有限公司深圳市德傳技術有限公司河南

、、、、

金盾信安檢測評估中心有限公司北京聲智科技有限公司寧波和利時信息安全研究院有限公司成都

、、、

久信信息技術股份有限公司北京控制與電子技術研究所蘇州國芯科技股份有限公司亞信安全科技

、、、

股份有限公司新疆量子通信技術有限公司西北工業(yè)大學北京郵電大學上汽通用五菱汽車股份有限

、、、、

公司北京北武安信科技有限公司中國移動通信集團福建有限公司泉州分公司中國兵器裝備集團有

、、、

限公司中國電子信息產(chǎn)業(yè)集團有限公司第六研究所中國電子科技集團公司第十五研究所公安部第

、、、

一研究所公安部第三研究所國家信息技術安全研究中心北京中科北斗技術研究院上海大學空間

、、、、、

視創(chuàng)重慶科技股份有限公司北京通明湖信息技術應用創(chuàng)新中心國網(wǎng)新疆電力有限公司電力科學研

()、、

究院北京關鍵科技股份有限公司參數(shù)技術上海軟件有限公司同方工業(yè)信息技術有限公司上海計

、、()、、

算機軟件技術開發(fā)中心首鋼京唐鋼鐵聯(lián)合有限責任公司浙江安遠檢測技術有限公司河南天祺信息

、、、

安全技術有限公司北京藍象標準咨詢服務有限公司

、。

本文件主要起草人楊安郭賓孫濤袁留記李勁雄豐存旭王弢李欣沈寓實李剛周永權

:、、、、、、、、、、、

商廣勇肖智中徐紹飛張俊峰曹美玲鄭道勤傅濤黃齊雄梁宏陳孝良樂翔朱光劍李曉龍

、、、、、、、、、、、、、

匡啟和楚鵬鄧璐楊黎斌崔寶江俸文都郝曉夜吳有祥安維嶸王紹杰劉健陳彥如田原

、、、、、、、、、、、、、

方進社崔慧霞袁建軍劉才果曹軍威楊慧婷張懷珠郞燕汪志水李爽周華中徐曉翔劉向東

、、、、、、、、、、、、、

張孟雷濛張婧宇余夢達易拓張子鈺徐偉龔沫薇王世軼姚蒙蒙張俊林曹鋒段小莉張德保

、、、、、、、、、、、、、、

馬建紅喬華陽

、。

Ⅰ

T/CPUMT008—2022

引言

工業(yè)信息安全漏洞是在整個工業(yè)運轉過程中存在于工業(yè)領域專有的非通用信息技術的軟件硬

,、、

件協(xié)議系統(tǒng)中對工業(yè)信息工業(yè)領域各個環(huán)節(jié)甚至經(jīng)濟進展與社會穩(wěn)定造成影響的漏洞這些漏洞

、、,、,

對工業(yè)控制系統(tǒng)的安全機密性完整性可用性和生產(chǎn)過程穩(wěn)定性產(chǎn)生重要影響工業(yè)信息安全漏洞

(、、)。

分類分級包含工業(yè)信息安全漏洞分類工業(yè)信息安全漏洞分級指標工業(yè)信息安全漏洞危害分級等內

、、

容明確了工業(yè)信息安全漏洞所屬類型研判工業(yè)信息安全漏洞觸發(fā)對工業(yè)領域產(chǎn)品協(xié)議及相關使用

,,、

環(huán)境造成的危害程度

。

制定本文件旨在提供工業(yè)信息安全漏洞的分類方法分級方法等信息首先可協(xié)助工業(yè)信息安全人

、,

員準確識別未知漏洞的類型和危害程度有針對性地選擇分析手法和技術其次可指導工業(yè)信息安全漏

,;

洞相關產(chǎn)品的研發(fā)使用提高工業(yè)信息安全人員的漏洞分析和應急處置能力協(xié)助工業(yè)領域產(chǎn)品提供

、,,

者及時確定漏洞修復方案輔助工業(yè)信息安全應急處置人員及時采用準確的處置方案降低漏洞對工業(yè)

,,

領域產(chǎn)品協(xié)議或工業(yè)現(xiàn)場的影響此外加快制定工業(yè)信息安全漏洞分類分級相關標準建設完善工業(yè)

、;,,

信息安全漏洞標準體系有利于推動我國工業(yè)信息安全漏洞管理工作自動化高效化發(fā)展

,、。

Ⅱ

T/CPUMT008—2022

工業(yè)信息安全漏洞分類分級指南

1范圍

本文件提供了工業(yè)信息安全漏洞的分類方法分級指標和危害分級等建議

、。

本文件適用于工業(yè)領域的軟硬件產(chǎn)品提供者工業(yè)信息安全漏洞收集組織工業(yè)信息安全漏洞應急

、、

組織在漏洞管理技術研發(fā)等活動中的漏洞分類和分級評估工業(yè)領域產(chǎn)品提供者工業(yè)領域產(chǎn)品運營

、。、

者的漏洞分類分級可參照使用

。

2規(guī)范性引用文件

本文件沒有規(guī)范性引用文件

。

3術語和定義

下列術語和定義適用于本文件

。

31

.

工業(yè)信息安全漏洞industrialinformationsecurityvulnerability

在整個工業(yè)運轉過程中存在于工業(yè)領域專有的非通用信息技術的軟件硬件協(xié)議系統(tǒng)中對工

,、、、、,

業(yè)信息工業(yè)領域各個環(huán)節(jié)甚至經(jīng)濟進展與社會穩(wěn)定造成影響的