ICS3524050

CCSL.62.

團體標準

T/CPUMT008—2022

工業信息安全漏洞分類分級指南

Guidelinesforcategorizationandclassificationofindustrialinformation

securityvulnerability

2022-11-08發布2022-11-08實施

中國和平利用軍工技術協會發布

中國標準出版社出版

T/CPUMT008—2022

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………1

工業信息安全漏洞分類

5…………………2

概述

5.1…………………2

按受影響實體分類

5.2…………………2

按漏洞成因分類

5.3……………………3

工業信息安全漏洞分級指標

6……………7

基礎指標

6.1……………7

輔助因素指標

6.2………………………9

環境因素指標

6.3………………………11

工業信息安全漏洞危害分級

7……………12

概述

7.1…………………12

工業信息安全漏洞危害等級說明

7.2…………………12

工業信息安全漏洞危害分級方法

7.3…………………12

附錄規范性可利用性分級表

A()………………………14

附錄規范性影響程度分級表

B()………………………16

附錄規范性輔助因素指標分級表

C()…………………18

附錄規范性環境因素指標分級表

D()…………………19

附錄規范性漏洞通用分級表

E()………………………20

附錄規范性漏洞現場分級表

F()………………………21

參考文獻

……………………22

T/CPUMT008—2022

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規則的規定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別專利的責任

。。

本文件由中國和平利用軍工技術協會提出并歸口

。

本文件起草單位國家工業信息安全發展研究中心浙江木鏈物聯網科技有限公司聯通數字科技

:、、

有限公司北京天融信網絡安全技術有限公司成都安美勤信息技術股份有限公司浙江中控技術股份

、、、

有限公司奇安信科技集團股份有限公司北京國泰網信科技有限公司飛諾門陣北京科技有限公司

、、、()、

新華三技術有限公司北京六方云信息技術有限公司浪潮工業互聯網股份有限公司北京珞安科技有

、、、

限責任公司上海市網絡技術綜合應用研究所杭州中電安科現代科技有限公司深圳市盛視技術有限

、、、

公司重慶中科搖櫓船信息科技有限公司博智安全科技股份有限公司深圳市德傳技術有限公司河南

、、、、

金盾信安檢測評估中心有限公司北京聲智科技有限公司寧波和利時信息安全研究院有限公司成都

、、、

久信信息技術股份有限公司北京控制與電子技術研究所蘇州國芯科技股份有限公司亞信安全科技

、、、

股份有限公司新疆量子通信技術有限公司西北工業大學北京郵電大學上汽通用五菱汽車股份有限

、、、、

公司北京北武安信科技有限公司中國移動通信集團福建有限公司泉州分公司中國兵器裝備集團有

、、、

限公司中國電子信息產業集團有限公司第六研究所中國電子科技集團公司第十五研究所公安部第

、、、

一研究所公安部第三研究所國家信息技術安全研究中心北京中科北斗技術研究院上海大學空間

、、、、、

視創重慶科技股份有限公司北京通明湖信息技術應用創新中心國網新疆電力有限公司電力科學研

()、、

究院北京關鍵科技股份有限公司參數技術上海軟件有限公司同方工業信息技術有限公司上海計

、、()、、

算機軟件技術開發中心首鋼京唐鋼鐵聯合有限責任公司浙江安遠檢測技術有限公司河南天祺信息

、、、

安全技術有限公司北京藍象標準咨詢服務有限公司

、。

本文件主要起草人楊安郭賓孫濤袁留記李勁雄豐存旭王弢李欣沈寓實李剛周永權

:、、、、、、、、、、、

商廣勇肖智中徐紹飛張俊峰曹美玲鄭道勤傅濤黃齊雄梁宏陳孝良樂翔朱光劍李曉龍

、、、、、、、、、、、、、

匡啟和楚鵬鄧璐楊黎斌崔寶江俸文都郝曉夜吳有祥安維嶸王紹杰劉健陳彥如田原

、、、、、、、、、、、、、

方進社崔慧霞袁建軍劉才果曹軍威楊慧婷張懷珠郞燕汪志水李爽周華中徐曉翔劉向東

、、、、、、、、、、、、、

張孟雷濛張婧宇余夢達易拓張子鈺徐偉龔沫薇王世軼姚蒙蒙張俊林曹鋒段小莉張德保

、、、、、、、、、、、、、、

馬建紅喬華陽

、。

Ⅰ

T/CPUMT008—2022

引言

工業信息安全漏洞是在整個工業運轉過程中存在于工業領域專有的非通用信息技術的軟件硬

,、、

件協議系統中對工業信息工業領域各個環節甚至經濟進展與社會穩定造成影響的漏洞這些漏洞

、、,、,

對工業控制系統的安全機密性完整性可用性和生產過程穩定性產生重要影響工業信息安全漏洞

(、、)。

分類分級包含工業信息安全漏洞分類工業信息安全漏洞分級指標工業信息安全漏洞危害分級等內

、、

容明確了工業信息安全漏洞所屬類型研判工業信息安全漏洞觸發對工業領域產品協議及相關使用

,,、

環境造成的危害程度

。

制定本文件旨在提供工業信息安全漏洞的分類方法分級方法等信息首先可協助工業信息安全人

、,

員準確識別未知漏洞的類型和危害程度有針對性地選擇分析手法和技術其次可指導工業信息安全漏

,;

洞相關產品的研發使用提高工業信息安全人員的漏洞分析和應急處置能力協助工業領域產品提供

、,,

者及時確定漏洞修復方案輔助工業信息安全應急處置人員及時采用準確的處置方案降低漏洞對工業

,,

領域產品協議或工業現場的影響此外加快制定工業信息安全漏洞分類分級相關標準建設完善工業

、;,,

信息安全漏洞標準體系有利于推動我國工業信息安全漏洞管理工作自動化高效化發展

,、。

Ⅱ

T/CPUMT008—2022

工業信息安全漏洞分類分級指南

1范圍

本文件提供了工業信息安全漏洞的分類方法分級指標和危害分級等建議

、。

本文件適用于工業領域的軟硬件產品提供者工業信息安全漏洞收集組織工業信息安全漏洞應急

、、

組織在漏洞管理技術研發等活動中的漏洞分類和分級評估工業領域產品提供者工業領域產品運營

、。、

者的漏洞分類分級可參照使用

。

2規范性引用文件

本文件沒有規范性引用文件

。

3術語和定義

下列術語和定義適用于本文件

。

31

.

工業信息安全漏洞industrialinformationsecurityvulnerability

在整個工業運轉過程中存在于工業領域專有的非通用信息技術的軟件硬件協議系統中對工

,、、、、,

業信息工業領域各個環節甚至經濟進展與社會穩定造成影響的