T/CPUMT 008-2022 工业信息安全漏洞分类分级指南

ICS3524050

CCSL.62.

团体标准

T/CPUMT008—2022

工业信息安全漏洞分类分级指南

Guidelinesforcategorizationandclassificationofindustrialinformation

securityvulnerability

2022-11-08发布2022-11-08实施

中国和平利用军工技术协会发布

中国标准出版社出版

T/CPUMT008—2022

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………1

工业信息安全漏洞分类

5…………………2

概述

5.1…………………2

按受影响实体分类

5.2…………………2

按漏洞成因分类

5.3……………………3

工业信息安全漏洞分级指标

6……………7

基础指标

6.1……………7

辅助因素指标

6.2………………………9

环境因素指标

6.3………………………11

工业信息安全漏洞危害分级

7……………12

概述

7.1…………………12

工业信息安全漏洞危害等级说明

7.2…………………12

工业信息安全漏洞危害分级方法

7.3…………………12

附录规范性可利用性分级表

A()………………………14

附录规范性影响程度分级表

B()………………………16

附录规范性辅助因素指标分级表

C()…………………18

附录规范性环境因素指标分级表

D()…………………19

附录规范性漏洞通用分级表

E()………………………20

附录规范性漏洞现场分级表

F()………………………21

参考文献

……………………22

T/CPUMT008—2022

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由中国和平利用军工技术协会提出并归口

。

本文件起草单位国家工业信息安全发展研究中心浙江木链物联网科技有限公司联通数字科技

:、、

有限公司北京天融信网络安全技术有限公司成都安美勤信息技术股份有限公司浙江中控技术股份

、、、

有限公司奇安信科技集团股份有限公司北京国泰网信科技有限公司飞诺门阵北京科技有限公司

、、、()、

新华三技术有限公司北京六方云信息技术有限公司浪潮工业互联网股份有限公司北京珞安科技有

、、、

限责任公司上海市网络技术综合应用研究所杭州中电安科现代科技有限公司深圳市盛视技术有限

、、、

公司重庆中科摇橹船信息科技有限公司博智安全科技股份有限公司深圳市德传技术有限公司河南

、、、、

金盾信安检测评估中心有限公司北京声智科技有限公司宁波和利时信息安全研究院有限公司成都

、、、

久信信息技术股份有限公司北京控制与电子技术研究所苏州国芯科技股份有限公司亚信安全科技

、、、

股份有限公司新疆量子通信技术有限公司西北工业大学北京邮电大学上汽通用五菱汽车股份有限

、、、、

公司北京北武安信科技有限公司中国移动通信集团福建有限公司泉州分公司中国兵器装备集团有

、、、

限公司中国电子信息产业集团有限公司第六研究所中国电子科技集团公司第十五研究所公安部第

、、、

一研究所公安部第三研究所国家信息技术安全研究中心北京中科北斗技术研究院上海大学空间

、、、、、

视创重庆科技股份有限公司北京通明湖信息技术应用创新中心国网新疆电力有限公司电力科学研

()、、

究院北京关键科技股份有限公司参数技术上海软件有限公司同方工业信息技术有限公司上海计

、、()、、

算机软件技术开发中心首钢京唐钢铁联合有限责任公司浙江安远检测技术有限公司河南天祺信息

、、、

安全技术有限公司北京蓝象标准咨询服务有限公司

、。

本文件主要起草人杨安郭宾孙涛袁留记李劲雄丰存旭王弢李欣沈寓实李刚周永权

:、、、、、、、、、、、

商广勇肖智中徐绍飞张俊峰曹美玲郑道勤傅涛黄齐雄梁宏陈孝良乐翔朱光剑李晓龙

、、、、、、、、、、、、、

匡启和楚鹏邓璐杨黎斌崔宝江俸文都郝晓夜吴有祥安维嵘王绍杰刘健陈彦如田原

、、、、、、、、、、、、、

方进社崔慧霞袁建军刘才果曹军威杨慧婷张怀珠郞燕汪志水李爽周华中徐晓翔刘向东

、、、、、、、、、、、、、

张孟雷濛张婧宇余梦达易拓张子钰徐伟龚沫薇王世轶姚蒙蒙张俊林曹锋段小莉张德保

、、、、、、、、、、、、、、

马建红乔华阳

、。

Ⅰ

T/CPUMT008—2022

引言

工业信息安全漏洞是在整个工业运转过程中存在于工业领域专有的非通用信息技术的软件硬

,、、

件协议系统中对工业信息工业领域各个环节甚至经济进展与社会稳定造成影响的漏洞这些漏洞

、、,、,

对工业控制系统的安全机密性完整性可用性和生产过程稳定性产生重要影响工业信息安全漏洞

(、、)。

分类分级包含工业信息安全漏洞分类工业信息安全漏洞分级指标工业信息安全漏洞危害分级等内

、、

容明确了工业信息安全漏洞所属类型研判工业信息安全漏洞触发对工业领域产品协议及相关使用

,,、

环境造成的危害程度

。

制定本文件旨在提供工业信息安全漏洞的分类方法分级方法等信息首先可协助工业信息安全人

、,

员准确识别未知漏洞的类型和危害程度有针对性地选择分析手法和技术其次可指导工业信息安全漏

,;

洞相关产品的研发使用提高工业信息安全人员的漏洞分析和应急处置能力协助工业领域产品提供

、,,

者及时确定漏洞修复方案辅助工业信息安全应急处置人员及时采用准确的处置方案降低漏洞对工业

,,

领域产品协议或工业现场的影响此外加快制定工业信息安全漏洞分类分级相关标准建设完善工业

、;,,

信息安全漏洞标准体系有利于推动我国工业信息安全漏洞管理工作自动化高效化发展

,、。

Ⅱ

T/CPUMT008—2022

工业信息安全漏洞分类分级指南

1范围

本文件提供了工业信息安全漏洞的分类方法分级指标和危害分级等建议

、。

本文件适用于工业领域的软硬件产品提供者工业信息安全漏洞收集组织工业信息安全漏洞应急

、、

组织在漏洞管理技术研发等活动中的漏洞分类和分级评估工业领域产品提供者工业领域产品运营

、。、

者的漏洞分类分级可参照使用

。

2规范性引用文件

本文件没有规范性引用文件

。

3术语和定义

下列术语和定义适用于本文件

。

31

.

工业信息安全漏洞industrialinformationsecurityvulnerability

在整个工业运转过程中存在于工业领域专有的非通用信息技术的软件硬件协议系统中对工

,、、、、,

业信息工业领域各个环节甚至经济进展与社会稳定造成影响的漏洞

、。

32

.

受影响实体impactedentity

工业信息安全漏洞触发时其直接影响的工业领域专有硬件协议软件系统等具体实体对象

,、、、。

示例可编程控制器工业控制协议工业控制软件等

:、、。

4缩略语

下列缩略语适用于本文件

。

移动智能终端应用软件

APP:(Application)

集散控制系统

DCS:(DistributedControlSystem)

数据传输单元

DTU:(DataTransferUnit)

输入输出

I/O:/(Input/Output)

对象连接与嵌入

OLE:(ObjectLinkingandEmbedding)

对象链接与嵌入的过程控制

OPC:(OLEforProcessControl)

可编程控制器

PLC:(ProgrammableLogicController)

远程终端单元

RTU:(RemoteTerminalUnit)

结构化查询语言

SQL:(StructuredQueryLanguage)

全球广域网或万维网

WEB:(WorldWideWeb)

1