GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南.pdf

  • GB/T 30279-2020  信息安全技术 网络安全漏洞分类分级指南.pdf为pdf格式
  • 文件大小:1.5 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2020-12-11
  • 发 布 人: 13648167612
  • 文档部分内容预览:
  • 马需要互斥地访问共享资源时,因另一段代码在同 间窗口可以并发修改共享资源而导致的安全问题

    5.2.6处理逻辑错误

    类漏洞指未止确使用相关密码算法,导致的内容未止确加密、弱加密、明文存储敏感信息等问是

    白砂糖标准5.2.8.1信任管理问题

    此类漏洞是因缺乏有效的信任管理机制,导致受影响组件存在可被攻击者利用的默认密码或者 密码、硬编码证书等问题

    5.2.8.2权限许可和访问控制问题

    因缺乏有效的权限许可和访问控制措施而导致的

    5.2.9数据转换问题

    5.2.10 未声明功能

    此类漏洞指通过测试接口 非授权功能导致的安全同题。例如,若测试命令或 令在使用阶段仍可用,则可被攻击者用 示存储器内容或执行其他功能

    此类漏洞指网络产品和服务或组件在使用过程中因配置文件、配置参数或因默认不安全的配置 产生的漏洞

    此类漏洞指因受影响组件部署运行环境的原因导致的安全问题

    此类漏洞是指在运行过程中,因配置 错误导致的受影响组件信息被非授权获取的漏洞

    5.4.2.2日志信息泄露

    5.4.2.3调试信息泄露

    5.4.2.4侧信道信息泄露

    GB/T 302792020

    此类漏洞是指功耗、电磁辐射、1/O特性、运算频率、时耗等侧信道信息的变化导致的信息泄露, 4.3故障注入 此类漏洞是指通过改变运行环境(如温度、电压、频率等,或通过注人强光等方式)触发,可能导至 系统数据或执行过程发生错误的安全问题

    比类漏洞是指功耗、电磁辐射、1/O特性、运算频率、时耗等侧信道信息的变化导致的信息泄露

    此类漏洞是指通过改变运行环境(如温度、电压、频率等,或通过注人强光等方式)触发,可能导致代 码、系统数据或执行过程发生错误的安全问题

    暂时无法将漏洞归入上述任何类别,或者没有足够充分的信息对其进行分类,漏洞细节未指明

    网络安全漏洞分级根据漏洞分级的场景不同,分为技术分级和综合分级两种分级方式,每种分级方 式均包括超危、高危、中危和低危四个等级。其中,技术分级反映特定产品或系统的漏洞危害程度,用于 人技术角度对漏洞危害等级进行划分,主要针对漏洞分析人员、产品开发人员等特定产品或系统漏洞的 平估工作。综合分级反映在特定时期特定环境下漏洞危害程度,用于在特定场景下对漏洞危害等级进 行划分,主要针对用户对产品或系统在特定网络环境中的漏洞评估工作。漏洞技术分级和综合分级均 可对单一漏洞进行分级,也可对多个漏洞构成的组合漏洞进行分级。 网络安全漏洞分级过程包括分级指标和分级方法两方面内容。分级指标主要阐述反映漏洞特征的 属性和赋值,包括被利用性指标类、影响程度指标类和环境因素指标类等三类指标。分级方法主要阐述 漏洞技术分级和综合分级的具体实现步骤和实现方法,包括漏洞指标类的分级方法、漏洞技术分级方法 和漏洞综合分级方法

    6.2网络安全漏洞分级指标

    6.2.1.1访问路径

    “访问路径”是指触发漏洞的路径前提,反映漏洞触发时与受影响组件最低接触程度 访问路径的赋值包括:网络、邻接、本地和物理。通常因网络、邻接、本地和物理触发的漏洞,其社 性程度由高到低依次降序,见表1。

    表1访问路径赋值说明

    GB/T 30279—2020

    GB/T 302792020

    6.2.1.2触发要求

    “触发要求”是指漏洞成功触发的要求,反映受影响组件在系统环境的版本、配置等因素影响下,成 功触发漏洞的要求。

    表2触发要求赋值说明

    6.2.1.3权限需求

    权限需求”是指触发漏洞所需的权限,反映漏洞成功触发需要的最低的权限 权限需求的赋值包括:无、低和高。通常所需要的权限越少漏洞危害程度越高,见表3

    表3权限需求赋值说明

    6.2.1.4交互条件

    “交互条件”是指漏洞触发是否需要其他主体(如:系统用户、外部用户、其他系统等)的参与、配合, 反映漏洞触发时,是否需要除触发漏洞的主体之外的其他主体参与。 交互条件的赋值包括:不需要、需要。通常不需交互条件即能触发的漏洞,其危害程度较高,见 表4。

    表4交互条件赋值说明

    “影响程度”指触发漏洞对受影响组件造成的损害程度。影响程度根据受漏洞影响的各个对象所 息的保密性、完整性、可用性等三个指标决定,每个指标的影响赋值为:严重、一般和无,见表

    GB/T 302792020

    表6、表7。 “保密性影响”指标反映漏洞对受影响实体(如:系统、模块、软硬件等)承载(如:处理、存储、传输等) 信息的保密性的影响程度。 “完整性影响”指标反映漏洞对受影响实体(如:系统、模块、软硬件等)承载(如:处理、存储、传输等) 信息的完整性的影响程度。 “可用性影响”指标反映漏洞对受影响实体(如:系统、模块、软硬件等)承载(如:处理、存储、传输等) 信息的可用性的影响程度

    表5保密性影响赋值说明

    表6完整性影响赋值说明

    表7可用性影响赋值说明

    6.2.3.1被利用成本

    披利用成本包括:低、中、高。通常成本越低,漏洞的危害越严重,如表8所示。 “被利用成本”指标反映,在参考环境下(例如:当前全球互联网环境,或者某企业内网环境等),温

    GB/T 30279—2020

    触发所需的成本,例如:是否有公开的漏洞触发工具、漏洞触发需要的设备是否容易获取等

    表8被利用成本赋值说明

    6.2.3.2修复难度

    修复难度包括:高、中、低。通常漏洞修复的难度越高,危害越严重,如表9所示。 “修复难度”指标反映,在参考环境下(例如:当前全球互联网环境,或者某企业内网环境等),修复漏 洞所需的成本。

    表9修复难度赋值说明

    6.2.3.3影响范围

    影响范围包括:高、中、低、无。 影响范围指标描述反映漏洞触发对环境的影响,漏洞受影响组件在环境中的重要性

    表10影响范围赋值说明

    6.3.2.3环境因素分级

    环境因素是对漏洞进行分级是需要考虑的漏洞所处的网络环境、当前漏洞被利用的技术程度等外 部环境。环境因素分级反映在参考环境下,漏洞的危害程度。环境因素指标组中各指标的不同取值的 组合对应不同的环境因素级别。不同的环境因素级别分为9级,用1~9的数字表示,数值越大环境因 索导致的漏洞危害程度越高见附录C

    6.3.3网络安全漏洞技术分级

    网络安全漏洞技术分级分为:超危、高危、中危、低危四个级别。网络安全漏洞技术分级由被利用性 和影响程度两个指标类决定,漏洞被利用可能性越高(被利用性分级越高)、影响程度越严重(影响程度 分级越高),漏洞技术分级的级别越高(漏洞危害程度越大)。漏洞技术分级方法如下: 首先,对被利用性指标进行赋值,根据赋值结果,按照附录A计算得到漏洞被利用性分级; 然后,对影响程度指标进行赋值,根据赋值结果,按照附录B计算得到影响程度分级; 最后,根据被利用性和影响程度分级的结果,按照附录D,计算得到网络安全漏洞技术分级

    6.3.4网络安全漏洞综合分级

    网络安全漏洞综合分级分为:超危、高危、中危、低危四个级别。网络安全漏洞综合分级由被利用 、影响程度和环境因素三个指标类决定,漏洞被利用可能性越高(被利用性分级越高)、影响程度越严 (影响程度分级越高),环境对漏洞影响越敏感(环境因素分级越高),漏洞综合分级的级别越高(漏洞 害程度越天)。漏洞综合分级方法如下: 首先,对漏洞进行技术分级,根据前述漏洞技术分级步骤,对被利用性指标进行赋值,根据赋值 结果,按照附录A计算得到漏洞被利用性分级;对影响程度指标进行赋值,根据赋值结果,按 照附录B计算得到影响程度分级;根据被利用性和影响程度分级的结果,按照附录D,计算得 到网络安全漏洞技术分级。 然后,对环境因素指标进行赋值,根据赋值结果,按照附录C计算得到漏洞环境因素分级。 最后,根据技术分级和环境因素分级的结果,按照附录E,计算得到网络安全漏洞综合分级,漏 洞分级示例参见附录F

    被利用性分级见表A.1

    GB/T 302792020

    表A.1被利用性分级

    GB/T 30279—2020

    注:按照“访问路径“触发要求”“权限需求"“交互程度”的不同,可分为48种组合情况,按照每种组合的被利 程度的差异,从高到低可分为9个级别

    影响程度分级则表B.1

    GB/T 302792020

    表B.1影响程度分级

    安照保密性、完整性、可用性权重相同,按照影响程度指标“严重 般”“无”的数量进行影响程度的分级, 如:严重出现2次,一般出现1次,无出现0次,则影响程度的组合可能性包括:保密性(严重)、完整性(严 重)、可用性(一般),保密性(严重)、完整性(一般)、可用性(严重),保密性(一般)、完整性(严重)、可用性(严 重)三种情况。同时,这三种情况的影响程度分级均为8级,

    GB/T 30279—2020

    附录C (规范性附录) 环境因素分级表

    环境因素分级见表C.1

    表 C.1环境因素分级

    漏洞技术分级见表D.1

    漏洞技术分级则表D.1

    GB/T 30279—2020

    附录D (规范性附录) 漏洞技术分级表

    表D.1漏洞技术分级

    附录E (规范性附录) 漏洞综合分级表

    表E.1漏洞综合分级

    GB/T 302792020

    电网标准规范范本E.1.3漏洞分级示例

    GB/T 30279—2020

    Plait是一款命令行方式的音乐播放软件。 Plait1.6之前版本的plaiter存在文件覆盖漏洞。本地用户可通过在cut.$$,head.$$,awk $$,ps.$$的临时文件中使用symlink,覆盖任意文件,

    E.2.3漏洞分级示例

    建筑工程标准规范范本GB/T 302792020

    [1]GB/T22186信息安全技术具有中央处理器的IC卡芯片安全技术要求 [2JCommon Vulnerability Scoring System v3.1:Specification Document. 3CommonWeaknessEnumerationListVersion3.1

    ....
  • 相关专题: 信息安全  

相关下载

常用软件