6.2 網絡安全漏洞分級指標

6.2.1 被利用性

6.2.1.1 訪問路徑

“訪問路徑”是指觸發漏洞的路徑前提，反映漏洞觸發時與受影響組件最低接觸程度。

訪問路徑的賦值包括：網絡、鄰接、本地和物理。通常因網絡、鄰接、本地和物理觸發的漏洞，其被利用性程度由高到低依次降低，見表1。

6.2.1.2 觸發要求

“觸發要求”是指漏洞成功觸發的要求，反映受影響組件在系統環境的版本、配置等因素影響下，成功觸發漏洞的要求。

觸發要求的賦值包括：低、高。通常觸發要求低的漏洞危害程度高，見表2。

6.2.1.3 權限需求

“權限需求”是指觸發漏洞所需的權限，反映漏洞成功觸發需要的最低的權限。

權限需求的賦值包括：無、低和高。通常所需求的權限越少漏洞危害程度越高，見表3。

6.2.1.4 交互條件

“交互條件”是指漏洞觸發是否需要其他主體（如：系統用戶、外部用戶、其他系統等）的參與、配合，反映漏洞觸發時，是否需要除觸發漏洞的主體之外的其他主體參與。

交互條件的賦值包括：不需要、需要。通常不需交互條件即能觸發的漏洞，其危害程度較高，見表4 。

6.2.2 影響程度

“影響程度”指觸發漏洞對受影響組件造成的損害程度。影響程度根據受漏洞影響的各個對象所承載信息的保密性、完整性、可用性等三個指標決定，每個指標的影響賦值為：嚴重、一般和無，見表5、表6、表7。

“保密性影響”指標反映漏洞對受影響實體（如：系統、模塊、軟硬件等）承載（如：處理、存儲、傳輸等）信息的保密性的影響程度。

“完整性影響”指標反映漏洞對受影響實體（如：系統、模塊、軟硬件等）承載（如：處理、存儲、傳輸等）信息的完整性的影響程度。

“可用性影響”指標反映漏洞對受影響實體（如：系統、模塊、軟硬件等）承載（如：處理、存儲、傳輸等）信息的可用性的影響程度。

6.2.3 環境因素

6.2.3.1 被利用成本

被利用成本包括：低、中、高。通常成本越低，漏洞的危害越嚴重，如表8所示。

“被利用成本”指標反映，在參考環境下（例如：當前全球互聯網環境，或者某企業內網環境等），漏洞觸發所需的成本，例如：是否有公開的漏洞觸發工具、漏洞觸發所需要的設備是否容易獲取等。

6.2.3.2 修復難度

修復難度包括：高、中、低。通常漏洞修復的難度越高，危害越嚴重，如表9所示。

“修復難度”指標反映，在參考環境下（例如：當前全球互聯網環境，或者某企業內網環境等），漏洞觸發所需的成本。

6.2.3.3 影響范圍

影響范圍包括：高、中、低、無。通常漏洞對環境的影響越高，危害越嚴重，如表10所示。

影響范圍指標描述反映漏洞觸發對環境的影響，漏洞受影響組件在環境中的重要性。