2022移动智能终端漏洞威胁评价方法_第1页
2022移动智能终端漏洞威胁评价方法_第2页
2022移动智能终端漏洞威胁评价方法_第3页
2022移动智能终端漏洞威胁评价方法_第4页
2022移动智能终端漏洞威胁评价方法_第5页
免费预览已结束,剩余2页可下载查看

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

移动智能终端漏洞威胁评价方法11目 次前言 II引言 III1范引文件 1语定和略语 1术和义 1动能端 Smart Mobile 1缩语 1价容框架 1洞急数 1评要素 2要赋值 2态正分 2态正分 2漏紧指计理 2洞胁级 3品全数 3评要素 3要赋值 3产安指计理 3品全级 4附录A(料附) 漏洞胁价例 5附录B(料附) 产品全价例 6移动智能终端漏洞威胁评价方法范围本标准适用于各种移动智能终端相关漏洞,各种制式的移动智能终端产品。SmartMobileTerminal缩略语下列缩略语适用于本文件CVECommonVulnerabilitiesandExposures公共漏洞和暴露CVSSCommonVulnerabilityScoringSystem通用漏洞评分系统本标准所针对的目标产品为搭载移动智能操作系统的移动智能终端产品,漏洞评价所针对具有CVE编号的漏洞,其中各评价内容关系如图1所示:图1 漏洞价容关系图122CVSSv3BaseScores;CVSSV3d.出现了利用该漏洞的恶意软件。此外漏洞的ROOT能力也对动态修正有一些影响。要素定义条件赋值引用数量根据漏洞被、公开文档引用的次数进行修正00(0,10]0.1(10,20]0.2(20,30]0.4(30,40]0.6(40,50]0.8大于501厂商评级根据系统厂商的漏洞评级进行修正CRITICAL1HIGH0.5MEDIUM0.2LOW0.1要素定义条件赋值漏洞利用漏洞从披露到产生实际攻击的过程的不同阶段,再赋予不同的权值未出现任何利用迹象0出现了公开的PoC0.3出现了Exploit0.70.8(是ROOT漏洞)集成到利用工具0.951(是ROOT漏洞出现了相关恶意软件133静态修正分=引用数量+厂商评级动态修正分=漏洞利用静态修正结果=(基础分+静态修正分)*0.75漏洞紧急指数=静态修正结果+(12-静态修正结果)*动态修正分漏洞紧急指数的值在[0,12]之间,根据漏洞紧急指数将漏洞划分为高中低三个等级,如下所述:——高危漏洞:9-12分5-80-4要素定义条件赋值漏洞修复延迟影响指数漏洞的修复延迟是当前时间与每个漏洞的操作系统供应商披露时间的差值,以月为单位。以每个修正漏洞的修复延迟单独修正。低危漏洞延迟月数/12中危漏洞延迟月数/10高危漏洞延迟月数/8要素定义条件赋值漏洞影响系数单一漏洞对终端产品的影响低危漏洞(漏洞紧急指数/12)+漏洞修复延迟影响指数中危漏洞高危漏洞44其中: 示危洞响系数中漏响系,表示危洞响数, 分别示危中和危漏数。根据产品安全指数将产品划分为高中低三个等级,如下所述:806080低:产品安全指数小于55附 录 A()本附录根据标准第7章产品安全指数计算方法,模拟终端漏洞紧急指数和漏洞数量,以示例的形式展现产品安全指数计算过程,以及取值范围。注:横坐标为产品漏洞数量,纵坐

人人文库> 全部分类> 专业文献 > 工程机械

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论