信息安全技术 网络安全漏洞分类分级指南.docx
《信息安全技术 网络安全漏洞分类分级指南.docx》由会员分享,可在线阅读,更多相关《信息安全技术 网络安全漏洞分类分级指南.docx(22页珍藏版)》请在三一办公上搜索。
1、国家标准信息安全技术网络安全漏洞分类分级规范(草案)编制说明一、工作简况1.1任务来源根据国家标准化委员会于2018年下达的国家标准修订计划,信息安全技 术网络安全漏洞分类分级指南由中国信息安全测评中心作为承担单位。该标 准由全国信息安全标准化技术委员会归口管理。1.2主要起草单位和工作组成员本标准由中国信息安全测评中心(以下简称“国测”)牵头,国家信息技术 安全研究中心、国家计算机网络应急技术处理协调中心、中国电子技术标准化研 究院等多家单位共同参与编制。1.3主要工作过程(1) 2018年5月,组织参与本标准编写的相关单位召开项目启动会,成立规 范编制小组,确立各自分工,进行初步设计,并听
2、取各协作单位的相关意见。(2) 2018年6月,编制组通过问卷调查的方式,向安全公司、专家收集关于 分类分级国标的修订意见,整理相关意见形成了信息安全漏洞分类分级修订建 议调查情况。编制组同时对国内外漏洞分类分级的现状做了调研,整理出信 息安全漏洞分类分级修订相关情况调研与分析报告,进一步佐证了标准修订的 必要性以及提供了标准修订的依据。(3) 2018年7月,编制组结合充分的调研结果,参考CWE、CVSS等国际 通用漏洞分类分级方法,提出详细的标准修订计划,形成标准草案第一稿。(4) 2018年8月,编制组召开组内研讨会,基于前期成果,经多次内部讨论 研究,组织完善草案内容,形成草案第二稿。
3、2018年9月,编制组继续研究讨论,并与国内其他漏洞平台运营单位进行交流,吸收各位专家的意见,反复修订完善草案,形成草案第三稿。(6) 2018年10月8日,编制组召开针对草案第三稿的讨论会,会上各参与 单位的代表对漏洞分类分级的具体内容进行了深入讨论。根据讨论结果,编制组 对草案进行进一步修改,形成草案第四稿。(7) 2018年10月15日,安标委组织WG5组相关专家召开评审会,对项目 进行评审,审阅了标准草案文本、编制说明、意见汇总表等项目相关文档,质询 了有关问题,提出增加网络安全漏洞分类分级概述说明、细化编制说明、增加实 验验证和使用情况说明、简化分级评价指标等意见。根据专家意见,编制
4、组对草 案进行进一步修改,形成草案第五稿。(8) 2018年10月19日,中国电子技术标准化研究院组织本标准、“信息 安全技术网络安全漏洞管理规范”和“信息安全技术 网络安全漏洞标识与描 述规范”等三个编制组召开研讨会,明确规范三个标准采用的定义和术语等内容, 进一步加强了标准的关联性和准确性。(9) 2018年10月24日,在2018年第二次全体会议WG5组工作会议上,编制组将草案编制情况向WG5组成员单位进行了介绍,并对成员单位意见进行 应答;通过草案评审,根据专家和成员单位意见对草案进行进一步修改,形成征 求意见稿。(10) 2018年11月21日,安标委组织本标准的专家审查会,着重对1
5、0 月24日会议专家意见的应答修改情况进行核查,并对标准文本、编制说明等材 料进行总体审查,提出进一步的修改意见。编制组对专家意见进行应答,并根据 采纳和部分采纳的专家意见内容,对标准文本和编制说明进行修改,更新专家意 见汇总表。二、标准编制原则和确定主要内容的论据及解决的主要问题2.1编制原则本标准的研究与编制工作遵循以下原则:(1) 通用性原则本标准在原国标GB-T 33561-2017信息安全技术 安全漏洞分类的基础 上,结合国内外漏洞分类分级相关领域的最新成果,如国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD)等国家级漏洞库的实践标 准,以及MITRE公司推出的通
6、用缺陷枚举(CWE)、通用漏洞评价系统(CVSS 3.0)等,既保证标准编制内容的科学性,又使得标准内容更加符合我国国情。(2) 符合性原则遵循国家现有漏洞相关标准,符合国家有关法律法规和已编制标准规范的相 关要求,符合国家漏洞管理主管部门的要求。(3) 实用性原则本标准规范是对实际工作成果的总结与提升,对原国标漏洞分类、分级的结 构、形式、规则等进行筛选提炼,保持整体结构合理且维持原意和功能不变,兼 容国家级漏洞库,针对不同的用户群体,做到可操作、可用与实用。(4) 完备性原则本标准的完备性原则主要体现在两个方面:其一充分分析了 CWE的漏洞分 类情况,制定了与之兼容的漏洞分类类型;其二考虑
7、到漏洞分级中涉及的漏洞 分级指标,基于原漏洞分级维度的基础上进行分级指标的扩展。因此本标准作为 通用性的漏洞分类分级要求,可适用于大多数漏洞。2.2修订依据随着近年人工智能、物联网、区块链等计算机技术的快速发展,网络安全漏 洞相关研究工作也相应发生了巨大的变化,目前国家标准GB/T 30279-2013信 息安全技术安全漏洞等级划分指南、GB/T 33561-2017信息安全技术安全 漏洞分类已经不能完全满足现阶段漏洞分类分级的技术要求。国家网络安全相 关部门、网络安全研究机构、网络安全漏洞研究人员等对漏洞分类分级的认识、 理解得到进一步发展,相应的产生了许多新的需求和应用。急需结合当前的新技
8、 术、新经验以及相关标准法规等,对上述标准进行内容修订。此外,漏洞的分类和分级是描述漏洞本质和情况的两个重要方面,因此,建 议将GB/T 30279-2013信息安全技术 安全漏洞等级划分指南和 GB/T 33561-2017信息安全技术安全漏洞分类进行合并修订。为满足标准修订的现实需要,编制组通过问卷调查的方式,向18家安全公 司收集关于分类分级国标的修订意见,整理相关意见形成了信息安全漏洞分类 分级修订建议调查情况,主要意见包括如下几个方面:(1) 漏洞分类方面1) 随着近年人工智能、物联网、区块链等计算机技术的快速发展, 需要增加新的漏洞类型;2) 标准需要与中华人民共和国网络安全法等相
9、关法律法规的相 关要求保持一致;3) 标准需要进一步与主流应用场景,如web、主机、终端、工控等 应用相适应;(2) 漏洞分级方面1) 需要参考增加环境因素的危害评估指标。2) 兼容现有CNNVD及CNVD等国家级漏洞库漏洞分级方法。3) 兼容CVSS3.0评分标准。在需求调研的基础上,编制组组织国内网络安全漏洞标准研究机构,围绕国 内外漏洞分类分级的相关标准和研究情况开展了相关的技术调研,形成了信息 安全漏洞分类分级修订相关情况调研与分析报告。在漏洞分类分级标准方面,编制组充分调研国内外漏洞分级的相关标准和研 究情况。对我国国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD
10、)等机构以及补天漏洞响应平台、漏洞盒子、360企业安全、启明星辰、华顺信安等国内安全厂商使用的网络安全漏洞分类、分级实践标准;以及美国、 俄罗斯、日本、法国等国际上主要国家级漏洞库相关标准以及旧M、微软(Microsoft) Secunia、赛门铁克(Symantec)、思科(Cisco)、甲骨文(Oracle) 等多家国际厂商使用的网络安全漏洞分类分级标准进行调研分析。对相关的漏洞分类分级的研究成果和文献进行了整理总结,重点对国家信息 安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD)的实践标准, 以及国际上应用较为规范的Common Vulnerability Scoring
11、System(CVSS)分级 标准和 Common Vulnerabilities and Exposures (CVE)漏洞分类标准进行了深入 技术调研和分析。(1) 国家信息安全漏洞库(CNNVD)漏洞分类分级情况在漏洞分类方面,CNNVD将信息安全漏洞划分为26种类型,分别是:配 置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、 缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、注 入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任 管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、 访问控制错误、资料不
12、足。在漏洞分级方面,CNNVD使用两组指标对漏洞进行评分,分别是可利用性 指标组和影响性指标组,并依据该评估结果对漏洞划分为超危、高危、中危、低 危共四个危害等级。其中,可利用性指标组描述漏洞利用的方式和难易程度,反 映脆弱性组件的特征,应依据脆弱性组件进行评分,影响性指标组描述漏洞被成 功利用后给受影响组件造成的危害,应依据受影响组件进行评分。(2) 国家信息安全漏洞共享平台(CNVD)漏洞分类分级情况在漏洞分类方面,CNVD根据漏洞产生原因,将漏洞分为11种类型:输入 验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错 误、竞争条件、环境错误、设计错误、缓冲区错误、其他
13、错误、未知错误。此外, CNVD还进行了部分业务的划分,主要分为行业漏洞和应用漏洞,行业漏洞包括:电信、移动互联网、工控系统;应用漏洞包括web应用、安全产品、应用程序、 操作系统、数据库、网络设备等。在漏洞分级方面,使用自己内部分级标准,将网络安全漏洞划分为高、中、 低三种危害级别。(3) 通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)是由 美国国家基础设施顾问委员会(NIAC)开发、事件响应与安全组织论坛(FIRST) 维护的一个开放的计
14、算机系统安全漏洞评估框架。CVSS是一个开放并且能够被 产品厂商免费采用的标准,其存在的主要目的是协助安全从业人员使用标准化、 规范化、统一化的语言对计算机系统安全漏洞的严重性进行评估。NIAC于2004 年提出了 CVSS v1.0,此版本经使用后发现存在很大问题,为解决存在问题并 增加CVSS的准确性,由CVSS-SIG发起修正案并进行修订。在2007年6月, FIRST公开发布了 CVSS v2.0。目前,CVSS的最新版本是v3.0,发布于2015 年6月10日。(4) 通用缺陷枚举(Common Weakness Enumeration,CWE)通用缺陷枚举(Common Weakn
15、ess Enumeration,CWE)是由美国 MITRE 公司开发的一个描述在软件架构、设计以及编码等环节中存在的安全缺陷与漏洞 的通用规范,目前CWE共包含1040个条目,其中视图32个、类别247个、 缺陷与漏洞709个、合成元素7个,弃用45个。2.4修订内容本标准修订包括网络安全漏洞分类和分级两个方面。(1)网络安全漏洞分类修订内容1)现行漏洞分类标准介绍现行漏洞分类标准(GB/T 33561-2017信息安全技术安全漏洞分类)根据漏洞的形成原因、所处空间和时间对其进行分类。如图1所示,根据漏洞的 形成原因可分为:边界条件错误、数据验证错误、访问验证错误、处理逻辑错误、 同步错误、
16、意外处理错误、对象验证错误、配置错误、设计缺陷、环境错误或其 他等。根据漏洞在计算机信息系统所处的位置可分为:应用层漏洞、系统层漏洞 和网络层漏洞。根据漏洞在软件生命周期的时间关系可分为:生成阶段漏洞、发2) “按成因分类”内容修订调整了按照成因分类的框架和指标。参考CWE标准和国内漏洞分类的实践 经验及特点,兼顾现有漏洞分类的使用场景和使用习惯,由于当前漏洞分类方法 缺少完备的理论支撑,所以将现行标准采用的线性分类框架调整为树形分类框 架,并将现行漏洞分类标准11类同步修订为32类,保留“其他”类别。如图2 所示:图2修订后的“按成因分类”导图采用树形分类导图对漏洞进行分类,首先从根节点开始
17、,根据漏洞成因将漏 洞归入某个具体的类型,如果该类型节点有子类型节点,且漏洞可以归入该子类 型,则将漏洞划分为该子类型,如此递归,直到漏洞归入的类型无子类型节点或 漏洞不能归入子类型。3) “按空间分类”内容修订将该分类名称修订为“按位置分类”,同时考虑近年目前区块链漏洞、CPU 漏洞、供应链安全等相关网络安全技术的发展,按照现行标准的分类框架,将现 行标准的3类修订为5类:在最底层和最顶层分别增加硬件层、协同层。其中 “硬件层”定义为:硬件层漏洞影响最基本的信息处理、表示、存储等硬件,位 于信息系统最底层的实现部分,如:芯片漏洞、电路漏洞、漏洞等类似受影响实 体的漏洞。“协同层”定义为:协同
18、层漏洞影响依靠网络构成的实现复杂应用的 协同信息系统,位于信息系统协同层面的部分,如:分布式业务系统、云计算系 统、传感器网络、区块链系统、工控系统等类似受影响实体的漏洞。调整后的“按 位置分类”漏洞类型如图3所示:图3修订后的“按位置分类”导图4)按“时间分类”内容修订考虑漏洞的时间分类更多属于漏洞的管理属性而非漏洞的本质属性,故删除 该分类。(2)网络安全漏洞分级修订内容1)现行网络安全漏洞分级标准介绍现行网络安全漏洞分级标准(GB/T 30279-2013信息安全技术安全漏洞 等级划分指南)对计算机信息系统安全漏洞等级划分指标和危害程度级别进行 了定义。此标准给出了安全漏洞等级划分方法,
19、规定安全漏洞等级划分指标包括 访问路径、利用复杂度和影响程度三个方面。访问路径的赋值包括本地、邻接和 远程,通常可被远程利用的漏洞危害程度高于可被邻接利用的漏洞,可被本地利用 的漏洞次之。利用复杂度的赋值包括简单和复杂,通常利用复杂度简单的漏洞危 害程度高。影响程度的赋值包括完全、部分、轻微和无,通常影响程度越大的漏 洞的危害程度越高。安全漏洞的危害程度从低至高依次为低危、中危、高危和超 危,具体的危害等级由三个指标的不同取值共同决定。表1现行标准分级等级划分指标及赋值情况等级划分指标指标子项赋值情况访问路径本地邻接远程利用复杂度简单复杂影响程度保密性完全完整性部分可用性无2)网络安全漏洞分级
20、修订在现行标准的基础上,调整网络安全漏洞分级框架,以更好地适用于当前漏 洞分级实践需要。为更好地兼容国内现行标准,编制组主要调研、参考CNNVD 和CNVD两个机构所使用的实践标准;同时,由于CVSS在美国、俄罗斯、欧 洲、法国、德国、日本等国家级漏洞库以及旧M、微软(Microsoft). Secunia、 赛门铁克(Symantec)、思科(Cisco)、甲骨文(Oracle)等许多国外大型软件和安全 安全厂商中使用,编制组对CVSS漏洞分级标准的情况也进行了较为深入的研 究,并对其进行兼容。将本标准漏洞分级框架(修订)调整如下所示:表2本标准漏洞分级框架(修订)漏洞分级漏洞指标指标级别指
21、标子项子项赋值综合分级技术分级被利用性1级-9级访问路径网络、邻接、本地、物理触发要求低、高权限需求无、低、高交互条件无、有影响程度1级-9级保密性严重、一般和无完整性严重、一般和无可用性严重、一般和无环境因素1级-9级利用成本低、中、高修复难度高、中、低环境影响高、中、低、无主要修订内容包括:参考CNNVD、CNVD现行实践标准以及CVSS3.0漏洞分级框架,增加了“被利用性”指标类,将“访问路径”及“利用复杂度”调整为该划分指标的子 项;同时将“利用复杂度”拆分为“触发要求”、“权限需求”、“交互条件” 等三个子项。如下表所示:表3标准(修订)与CVSS3.0对比表指标类CVSS3.0标准
22、(修订)CVSS3.0 赋值标准(修订)赋值被利用性Attack Vector(AV)访问路径Network (N)网络Adjacent (A)邻接Local (L)本地Physical (P)物理Attack Complexity(AC)触发要求Low (L)低High (H)高PrivilegesRequired (PR)权限需求None(N)无Low (L)低High (H)高User Interaction(UI)交互条件None(N)无Required (R)有影响程度Confidentiality (C)保密性High (H)严重Low (L)一般None(N)无Integrity
23、 完整性High (H)严重Low (L)一般None(N)无Availability (A)可用性High (H)严重Low (L)一般None(N)无将“影响程度”指标类下的“保密性”、“完整性”、“可用性”指标赋值 调整为“严重”、“一般”、“无”。CVSS3.0标准中包括“Scope”指标, 本标准考虑“Scope”指标的复杂性,未使用该指标。由于“Scope”指标与漏 洞受影响对象的版本、运行环境等相关,与影响程度指标类、触发要求指标相关, 所以,本标准通过影响程度指标类、触发要求等来反映该指标。考虑漏洞在具体环境因素下的评级,参考CVSS3.0标准,新增“环境因素” 指标类及其“利
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全技术 网络安全漏洞分类分级指南 信息 安全技术 网络安全 漏洞 分类 分级 指南
链接地址:https://www.31ppt.com/p-5012489.html