|
一、适用范围说明 本标准规定了信息安全漏洞危害程度的评价指标和等级划分方法。凡是被国家信息安全漏洞库(CNNVD)收录的漏洞,均适用此分级规范,包括采集的公开漏洞以及收录的未公开漏洞,通用型漏洞及事件型漏洞。 二、术语和定义 (一)漏洞(vulnerability) 漏洞是计算机信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷。这些缺陷以不同的形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对计算机信息系统的安全造成损害,从而影响计算机信息系统的正常运行。 (二)脆弱性组件(vulnerable component) 脆弱性组件指包含漏洞的组件,通常是软件应用、软件模块、驱动、甚至硬件设备等。攻击者通过利用脆弱性组件中的漏洞来发动攻击。 (三)受影响组件(impacted component) 受影响组件指漏洞被成功利用后遭受危害的组件,如软件应用、硬件设备、网络资源等。受影响组件可以是脆弱性组件本身,可以是其他软件、硬件或网络组件。 (四)影响范围(impacted scope) 影响范围指漏洞被成功利用后遭受危害的资源的范围。若受漏洞影响的资源超出了脆弱性组件的范围,则受影响组件和脆弱性组件不同;若受漏洞影响的资源局限于脆弱性组件内部,则受影响组件和脆弱性组件相同。 若受影响组件和脆弱性组件不同,则影响范围发生变化;否则,影响范围不变。本标准不仅可以度量脆弱性组件和受影响组件相同的漏洞,而且还可以度量脆弱性组件和受影响组件不同的漏洞。 例1 假设某即时聊天工具中存在一个漏洞,攻击者利用该漏洞可造成主机系统中的部分信息(如用户的Word文档、管理员密码、系统配置)泄露。这个例子中,脆弱性组件是即时聊天工具,受影响组件是主机系统,脆弱性组件和受影响组件不同,漏洞的影响范围发生变化。 例2 假设某数据库管理系统中存在一个漏洞,攻击者利用该漏洞可窃取数据库中的全部数据。这个例子中,脆弱性组件是数据库管理系统,受影响组件还是数据库管理系统,脆弱性组件和受影响组件为相同组件,漏洞的影响范围不变。 三、漏洞评分指标 本标准使用两组指标对漏洞进行评分,分别是可利用性指标组和影响性指标组。可利用性指标组描述漏洞利用的方式和难易程度,反映脆弱性组件的特征,应依据脆弱性组件进行评分,影响性指标组描述漏洞被成功利用后给受影响组件造成的危害,应依据受影响组件进行评分。 (一)可利用性指标组 可利用性指标组刻画脆弱性组件(即包含漏洞的事物)的特征,反映漏洞利用的难易程度和技术要求等。可利用性指标组包含四个指标,分别是攻击途径、攻击复杂度、权限要求和用户交互。每一个指标的取值都应当根据脆弱性组件进行判断,并且在判断某个指标的取值时不考 虑其他指标。 1. 攻击途径 该指标反映攻击者利用漏洞的途径,指是否可通过网络、邻接、本地和物理接触等方式进行利用。 攻击途径的赋值如下: (1)网络:脆弱性组件是网络应用,攻击者可以通过互联网利用该漏洞。这类漏洞通常称为“可远程利用的”,攻击者可通过一个或多个网 络跳跃(跨路由器)利用该漏洞。 (2)邻接:脆弱性组件是网络应用,但攻击者不能通过互联网(即不能跨路由器)利用该漏洞,只能在共享的物理(如,蓝牙、IEEE 802.11)或逻辑(如,本地IP子网)网络内利用该漏洞。 (3)本地:脆弱性组件不是网络应用,攻击者通过读/写操作或运行应用程序/工具来利用该漏洞。有时,攻击者需要本地登录,或者需要用户执行恶意文件才可利用该漏洞。当漏洞利用时需要用户去下载或接受恶意内容(或者需要本地传递恶意内容)时,攻击途径取值为“本 地”。 (4)物理:攻击者必须物理接触/操作脆弱性组件才能发起攻击。物理交互可以是短暂的也可以是持续的。 例3假设攻击者以普通用户身份远程登录一台主机,然后在该主机上打开包含恶意内容的PDF文件,使得攻击者获得管理员权限。对于这种情况,攻击途径的取值是“本地”。这里不需要考虑这个恶意文件的获取方式,即使是攻击者通过网络下载到这台机器上的,攻击途径也是“本地”。 2. 攻击复杂度 该指标反映攻击者利用该漏洞实施攻击的复杂程度,描述攻击者利用漏洞时是否必须存在一些超出攻击者控制能力的软件、硬件或网络条件,如软件竞争条件、应用配置等。对于必须存在特定条件才能利用的漏洞,攻击者可能需要收集关于目标的更多信息。在评估该指标时,不考虑用户交互的任何要求。 攻击复杂度的赋值如下: (1)低:不存在专门的访问条件,攻击者可以期望重复利用漏洞。 (2)高:漏洞的成功利用依赖于某些攻击者不能控制的条件。即,攻击者不能任意发动攻击,在预期成功发动攻击前,攻击者需要对脆 弱性组件投入一定数量的准备工作。包括如下一些情况:
3. 权限要求 该指标反映攻击者成功利用漏洞需要具备的权限层级,即利用漏洞时是否需要拥有对该组件操作的权限(如管理员权限、guest权限)。 权限要求的赋值如下: (1)无:攻击者在发动攻击前不需要授权,执行攻击时不需要访问任何设置或文件。 (2)低:攻击者需要取得普通用户权限,该类权限对脆弱性组件有一定的控制能力,具有部分(非全部)功能的使用或管理权限,通常 需要口令等方式进行身份认证,例如,操作系统的普通用户权限、Web等应用的注册用户权限。 (3)高:攻击者需要取得对脆弱性组件的完全控制权限。通常,该类权限对于脆弱性组件具有绝对的控制能力,例如,操作系统的管理员权限,Web等应用的后台管理权限。 例4 正常情况下,具有普通用户权限只能对该用户拥有的设置和文件进行操作。假设具有普通用户权限的攻击者通过利用漏洞获得权限提升,能够在目标系统上执行任意命令。对于这种情况,权限要求为“低”,至于权限提升后造成的危害,会在影响性指标组中体现。 4. 用户交互 该指标反映成功利用漏洞是否需要用户(而不是攻击者)的参与,该指标识别攻击者是否可以根据其意愿单独利用漏洞,或者要求其他用 户以某种方式参与。 用户交互的赋值如下: (1)不需要:无需任何用户交互即可利用漏洞。 (2)需要:漏洞的成功利用需要其他用户在漏洞被利用之前执行一些操作(打开某个文件、点击某个链接、访问特定的网页等)。 例5 假设某个漏洞只能在系统管理员安装应用程序期间才可能被利用。对于这种情况,用户交互是“需要”。 (二)影响性指标组 影响性指标组反映漏洞成功利用后所带来的危害。漏洞的成功利用可能危害一个或多个组件,影响性指标组的分值应当根据遭受最大危害 的组件进行评定。 影响性指标组包括三个指标,分别是机密性影响、完整性影响和可用性影响。 1. 机密性影响 这个指标度量漏洞的成功利用对信息资源的机密性的影响。机密性指只有授权用户才能访问受保护的信息资源,限制向未授权用户披露受 保护信息。机密性影响是指对受影响服务所使用的数据的影响,例如,系统文件丢失、信息暴露等。 2. 完整性影响 这个指标度量漏洞的成功利用给完整性造成的影响。完整性指信息的可信性与真实性,如果攻击者能够修改被攻击对象中的文件,则完整 性受到影响。完整性是指对受影响服务所使用的数据的影响。例如,Web内容被恶意修改,攻击者可以修改/替换文件等。 3. 可用性影响 这个指标度量漏洞的成功利用给受影响组件的性能带来的影响。机密性影响和完整性影响反映漏洞的成功利用对受影响组件数据的影响。 例如,网络内容被恶意修改(完整性受影响),或系统文件被窃(机密性受影响)。可用性影响反映漏洞的成功利用对受影响组件操作的影 响。 |
