声明
本文是学习GB-T 30279-2020 信息安全技术 网络安全漏洞分类分级指南. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
网络安全漏洞分级
概述
网络安全漏洞分级根据漏洞分级的场景不同,分为技术分级和综合分级两种分级方式,每种分级方式均包括超危、高危、中危和低危四个等级。其中,技术分级反映特定产品或系统的漏洞危害程度,用于从技术角度对漏洞危害等级进行划分,主要针对漏洞分析人员、产品开发人员等特定产品或系统漏洞的评估工作。综合分级反映在特定时期特定环境下漏洞危害程度,用于在特定场景下对漏洞危害等级进行划分,主要针对用户对产品或系统在特定网络环境中的漏洞评估工作。漏洞技术分级和综合分级均可对单一漏洞进行分级,也可对多个漏洞构成的组合漏洞进行分级。
网络安全漏洞分级包括分级指标和分级方法两方面内容。分级指标主要阐述反映漏洞特征的属性和赋值,包括被利用性指标类、影响程度指标类和环境因素指标类等三类指标。分级方法主要阐述漏洞技术分级和综合分级的具体步骤和方法,包括漏洞指标类评级方法、漏洞技术分级方法和漏洞综合分级方法,其中,漏洞指标类评级方法是对上述三类指标进行评级的方法,是漏洞技术分级和综合分级必要步骤。
网络安全漏洞分级指标
被利用性
访问路径
“访问路径”指触发漏洞的路径前提,反映漏洞触发时,需要与受影响组件的最低接触程度。
访问路径的赋值包括:网络、邻接、本地和物理。通常可通过网络触发的漏洞被利用性可能性高于可通过邻接网络触发的漏洞,可通过本地触发的网络安全漏洞次之,可通过物理接触触发的漏洞被利用可能性最低,见表1。
- 访问路径赋值说明表
赋值描述网络网络安全漏洞可以通过网络远程触发。邻接网络安全漏洞需通过共享的物理网络或逻辑网络触发。本地网络安全漏洞需要在本地环境中触发。物理网络安全漏洞需通过物理接触/操作才能触发。
触发要求
“触发要求”是指漏洞成功触发对受影响组件所在系统环境、配置等限制条件的需求程度,指标反映由于受影响组件及其所在系统环境的版本、配置等原因,漏洞成功触发的要求。
触发要求的赋值包括:低、高,通常触发要求低的漏洞危害程度高,见表2。
- 触发要求赋值说明表
赋值描述低漏洞触发对受影响组件的配置参数、运行环境、版本等无特别要求,包括:默认的配置参数、普遍的运行环境。高漏洞触发对受影响组件的配置参数、运行环境等有特别要求,包括:不常用的参数配置、特殊的运行环境条件。
权限需求
“权限需求”是指触发漏洞所需的权限,反映漏洞成功触发需要的最低的权限。
权限需求的赋值包括:无、低和高,通常所需要的权限越少漏洞危害程度越高,见表3。
- 权限需求赋值说明表
赋值描述无网络安全漏洞触发无需特殊的权限,只需要公开权限和匿名访问权限。低网络安全漏洞触发需要较低的权限,需要普通用户权限。高网络安全漏洞触发需要较高的权限,需要管理员权限。
交互条件
“交互条件”是指漏洞触发是否需要外部用户或系统的参与、配合,反映漏洞触发时,是否需要除触发漏洞的主体之外的其他主体(如:系统用户、其他系统等)参与。
交互条件的赋值包括:不需要、需要。通常不需要交互条件就能够触发的漏洞危害程度较高,见表4。
- 交互条件赋值说明表
赋值描述不需要网络安全漏洞触发无需用户或系统的参与或配合。需要网络安全漏洞触发需要用户或系统的参与或配合。例如:通常跨站脚本漏洞、跨站请求伪造漏洞等需要用户的参与。
影响程度
“影响程度”指触发漏洞对受影响组件造成的损害程度。影响程度根据受漏洞影响的各个对象承所载信息的保密性、完整性、可用性等三个指标决定,每个指标的影响赋值为:严重、一般和无,见表5、表6、表7。
“保密性影响”指标反映漏洞对受影响实体(如:系统、模块、软硬件等)承载(如:处理、存储、传输等)信息的保密性的影响程度。
“完整性影响”指标反映漏洞对受影响实体(如:系统、模块、软硬件等)承载(如:处理、存储、传输等)信息的完整性的影响程度。
“可用性影响”指标反映漏洞对受影响实体(如:系统、模块、软硬件等)承载(如:处理、存储、传输等)信息的可用性的影响程度。
保密性影响赋值说明表
赋值描述严重信息保密性影响严重。例如:保密性完全丢失,导致受影响组件的所有信息资源暴露给攻击者;或者攻击者只能得到一些受限信息,但被暴露的信息可以直接导致严重的信息丢失。一般信息保密性影响一般。例如:保密性部分丢失,攻击者可以获取一些受限信息,但是攻击者不能控制获得信息的数量和种类。被暴露的信息不会引起受影响组件直接的、严重的信息丢失。无信息保密性无影响。漏洞对保密性不产生影响。完整性影响赋值说明表
赋值描述严重信息完整性破坏严重,例如:完整性完全丢失,攻击者能够修改受影响组件中的任何信息;或者,攻击者只能修改一些信息,但是,能够对受影响组件带来严重的后果。一般信息完整性破坏程度一般,例如:完整性部分丢失,攻击者可以修改信息,信息修改不会给受影响组件带来严重的影响。无信息完整性无影响。漏洞对完整性不产生影响。可用性影响赋值说明表
赋值描述严重信息可用性破坏严重。可用性完全丧失,攻击者能够完全破坏对受影响组件中信息资源的使用访问;或者,攻击者可破坏部分信息的可用性,但是能够给受影响组件带来直接严重的后果。一般信息可用性破坏程度一般。可用性部分丧失,攻击者能够降低信息资源的性能或者导致其可用性降低。受影响组件的资源是部分可用的,或在某些情况是完全可用的,但总体上不会给受影响组件带来直接严重的后果。无信息可用性无影响。漏洞对可用性不产生影响。
环境因素
被利用成本
被利用成本包括:低、中、高。通常成本越低,漏洞的危害越严重。如表8所示。
“被利用成本”指标反映,在参考环境下(例如:当前全球互联网环境;或者某企业内网环境等),漏洞触发所需的成本。例如:是否有公开的漏洞触发工具、漏洞触发需要的设备是否容易获取等。
- 被利用成本赋值说明表
赋值描述低漏洞触发所需资源很容易获取,成本低,通常付出很少的成本即可成功触发漏洞。例如:漏洞触发工具已被公开下载、漏洞脆弱性组件暴露在公开网络环境下等。中漏洞触发所需的部分资源比较容易获取,成本不高,在现有条件基础上通过一定的技术、资源投入可以触发漏洞。例如:漏洞触发原理已公开但是无相应工具、漏洞触发需要某种硬件设备、漏洞触发需要一定的网络资源等。高漏洞触发需要的资源多,成本高,难于获取。例如:漏洞脆弱性组件未暴露在公开网络、漏洞触发工具难以获取等。
修复难度
修复难度包括:高、中、低。通常漏洞修复的难度越高,危害越严重。如表9所示。
“修复难度”指标反映,在参考环境下(例如:当前全球互联网环境;或者某企业内网环境等),修复漏洞所需的成本。
- 修复难度赋值说明表
赋值描述高缺少有效、可行的修复方案,或者修复方案难以执行。例如:无法获取相应的漏洞补丁、由于某种原因无法安装补丁等。中虽然有修复方案,但是需要付出一定的成本,或者修复方案可能影响系统的使用,或者修复方案非常复杂,适用性差。例如:虽然有临时漏洞修复措施但是需要关闭某些网络服务等。低已有完善的修复方案。例如:已有相应漏洞的补丁等。
影响范围
影响范围包括:高、中、低、无。通常漏洞对环境的影响越高,危害越严重。如表10所示。
影响范围指标描述反映漏洞触发对环境的影响,漏洞受影响组件在环境中的重要性。
- 影响范围赋值说明表
赋值描述高触发漏洞会对系统、资产等造成严重影响。例如:对环境中大部分资产造成影响,通常高于50%;或者受影响实体处于参考环境的重要位置,或者具有重要作用。中触发漏洞会对系统、资产等造成中等程度的影响。例如:对环境中相当部分资产造成影响;通常介于10%-50%;或者受影响实体处于参考环境的比较重要位置,或者具有比较重要的作用。低触发漏洞只会对系统、资产等造成轻微的影响。例如:只对环境中小部分资产造成影响;通常低于10%;或者受影响实体处于参考环境的不重要位置,或者具有不重要作用。无触发漏洞不会对系统、资产等造成任何资产损失。网络安全漏洞分级方法
概述
网络安全漏洞分级是指采用分级的方式对网络安全漏洞潜在危害的程度进行描述,包括技术分级和综合分级两种分级方式,每种方式均分为超危、高危、中危和低危四个等级,具体内容如下:
超危:漏洞可以非常容易地对目标对象造成特别严重后果。
高危:漏洞可以容易地对目标对象造成严重后果。
中危:漏洞可以对目标对象造成一般后果,或者比较困难地对目标造成严重后果。
低危:漏洞可以对目标对象造成轻微后果,或者比较困难地对目标对象造成一般严重后果,或者非常困难地对目标对象造成严重后果。
漏洞分级过程主要包括最初的指标赋值、中间的指标评级和最后的分级计算三个步骤,其中,指标赋值是对根据具体漏洞对每个漏洞分级指标进行人工赋值;指标评级是根据指标赋值结果分别对被利用性、影响程度和环境因素等三个指标类进行评级;分级计算是根据指标评级计算产生技术分级或综合分级的结果,技术分级结果由被利用性和影响程度两个指标类计算产生,综合分级由被利用性、影响程度和环境因素三个指标类计算产生。
- 漏洞分级流程图
网络安全漏洞指标评级
被利用性评级
被利用性评级反映网络安全漏洞触发的技术可能性。被利用性指标组中各指标的不同取值的组合对应不同的被利用性级别。被利用性级别分为9级,用1-9的数字表示,数值越大被利用的可能性越高,详见附录A。
影响程度评级
影响程度评级反映网络安全漏洞触发造成的危害程度。影响程度指标组中各指标的不同取值的组合对应不同的影响程度级别。不同的影响程度级分为9级,用1-9的数字表示,数值越大导致的危害程度越高,详见附录B。
环境因素评级
环境因素是对漏洞进行评级是需要考虑的漏洞所处的网络环境、当前漏洞被利用的技术程度等外部环境。环境因素评级反映在参考环境下,漏洞的危害程度。环境因素指标组中各指标的不同取值的组合对应不同的环境因素级别。不同的环境因素级别分为9级,用1-9的数字表示,数值环境因素导致的漏洞危害程度越高,详见附录C。
网络安全漏洞技术分级
网络安全漏洞技术分级分为:超危、高危、中危、低危四个级别。网络安全漏洞技术分级由被利用性和影响程度两个指标类决定,漏洞被利用可能性越高(被利用性评级越高)、影响程度越严重(影响程度评级越高),漏洞技术分级的级别越高(漏洞危害程度越大)。漏洞技术分级方法如下:
首先,对被利用性指标进行赋值,根据赋值结果,参照附录A计算得到漏洞被利用性评级。
然后,对影响程度指标进行赋值,根据赋值结果,参照附录B计算得到影响程度评级。
最后,根据被利用性和影响程度评级的结果,参照附录D,计算得到网络安全漏洞技术分级。
网络安全漏洞综合分级
网络安全漏洞综合分级分为:超危、高危、中危、低危四个级别。网络安全漏洞综合分级由被利用性、影响程度和环境因素三个指标类决定,漏洞被利用可能性越高(被利用性评级越高)、影响程度越严重(影响程度评级越高),环境对漏洞影响越敏感(环境因素评级越高),漏洞综合分级的级别越高(漏洞危害程度越大)。漏洞综合分级方法如下:
首先,对漏洞进行技术分级,根据前述漏洞技术分级步骤,对被利用性指标进行赋值,根据赋值结果,参照附录A计算得到漏洞被利用性评级;对影响程度指标进行赋值,根据赋值结果,参照附录B计算得到影响程度评级;根据被利用性和影响程度评级的结果,参照附录D,计算得到网络安全漏洞技术分级。
然后,对环境因素指标进行赋值,根据赋值结果,参照附录C计算得到漏洞环境因素评级。
最后,根据技术评级和环境因素评级的结果,参照附录E,计算得到网络安全漏洞综合分级。
延伸阅读
更多内容 可以 GB-T 30279-2020 信息安全技术 网络安全漏洞分类分级指南. 进一步学习
联系我们
DB63-T1721-2018 高速公路机电工程运维管理要求 青海省.pdf
版权归原作者 glb111 所有, 如有侵权,请联系我们删除。