《信息安全技术 网络安全漏洞分类分级指南-编制说明》_第1页
《信息安全技术 网络安全漏洞分类分级指南-编制说明》_第2页
《信息安全技术 网络安全漏洞分类分级指南-编制说明》_第3页
《信息安全技术 网络安全漏洞分类分级指南-编制说明》_第4页
《信息安全技术 网络安全漏洞分类分级指南-编制说明》_第5页
已阅读5页,还剩17页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

一、工作简况

1.1任务来源

根据国家标准化委员会于2018年下达的国家标准修订计划,《信息安全技

术网络安全漏洞分类分级指南》由中国信息安全测评中心作为承担单位。该标

准由全国信息安全标准化技术委员会归口管理。

1.2主要起草单位和工作组成员

本标准由中国信息安全测评中心(以下简称“国测”)牵头,国家信息技术

安全研究中心、国家计算机网络应急技术处理协调中心、中国电子技术标准化研

究院等多家单位共同参与编制。

1.3主要工作过程

(1)2018年5月,组织参与本标准编写的相关单位召开项目启动会,成立规

范编制小组,确立各自分工,进行初步设计,并听取各协作单位的相关意见。

(2)2018年6月,编制组通过问卷调查的方式,向安全公司、专家收集关于

分类分级国标的修订意见,整理相关意见形成了《信息安全漏洞分类分级修订建

议调查情况》。编制组同时对国内外漏洞分类分级的现状做了调研,整理出《信

息安全漏洞分类分级修订相关情况调研与分析》报告,进一步佐证了标准修订的

必要性以及提供了标准修订的依据。

(3)2018年7月,编制组结合充分的调研结果,参考CWE、CVSS等国际

通用漏洞分类分级方法,提出详细的标准修订计划,形成标准草案第一稿。

(4)2018年8月,编制组召开组内研讨会,基于前期成果,经多次内部讨论

研究,组织完善草案内容,形成草案第二稿。

(5)2018年9月,编制组继续研究讨论,并与国内其他漏洞平台运营单位进

行交流,吸收各位专家的意见,反复修订完善草案,形成草案第三稿。

(6)2018年10月8日,编制组召开针对草案第三稿的讨论会,会上各参与

1

单位的代表对漏洞分类分级的具体内容进行了深入讨论。根据讨论结果,编制组

对草案进行进一步修改,形成草案第四稿。

(7)2018年10月15日,安标委组织WG5组相关专家召开评审会,对项目

进行评审,审阅了标准草案文本、编制说明、意见汇总表等项目相关文档,质询

了有关问题,提出增加网络安全漏洞分类分级概述说明、细化编制说明、增加实

验验证和使用情况说明、简化分级评价指标等意见。根据专家意见,编制组对草

案进行进一步修改,形成草案第五稿。

(8)2018年10月19日,中国电子技术标准化研究院组织本标准、“信息

安全技术网络安全漏洞管理规范”和“信息安全技术网络安全漏洞标识与描

述规范”等三个编制组召开研讨会,明确规范三个标准采用的定义和术语等内容,

进一步加强了标准的关联性和准确性。

(9)2018年10月24日,在2018年第二次全体会议WG5组工作会议上,

编制组将草案编制情况向WG5组成员单位进行了介绍,并对成员单位意见进行

应答;通过草案评审,根据专家和成员单位意见对草案进行进一步修改,形成征

求意见稿。

(10)2018年11月21日,安标委组织本标准的专家审查会,着重对10

月24日会议专家意见的应答修改情况进行核查,并对标准文本、编制说明等材

料进行总体审查,提出进一步的修改意见。编制组对专家意见进行应答,并根据

采纳和部分采纳的专家意见内容,对标准文本和编制说明进行修改,更新专家意

见汇总表。

二、标准编制原则和确定主要内容的论据及解决的主要问题

2.1编制原则

本标准的研究与编制工作遵循以下原则:

(1)通用性原则

本标准在原国标GB-T33561-2017《信息安全技术安全漏洞分类》的基础

2

上,结合国内外漏洞分类分级相关领域的最新成果,如国家信息安全漏洞库

(CNNVD)、国家信息安全漏洞共享平台(CNVD)等国家级漏洞库的实践标

准,以及MITRE公司推出的通用缺陷枚举(CWE)、通用漏洞评价系统(CVSS

3.0)等,既保证标准编制内容的科学性,又使得标准内容更加符合我国国情。

(2)符合性原则

遵循国家现有漏洞相关标准,符合国家有关法律法规和已编制标准规范的相

关要求,符合国家漏洞管理主管部门的要求。

(3)实用性原则

本标准规范是对实际工作成果的总结与提升,对原国标漏洞分类、分级的结

构、形式、规则等进行筛选提炼,保持整体结构合理且维持原意和功能不变,兼

容国家级漏洞库,针对不同的用户群体,做到可操作、可用与实用。

(4)完备性原则

本标准的完备性原则主要体现在两个方面:其一充分分析了CWE的漏洞分

类情况,制定了与之兼容的漏洞分类类型;其二考虑到漏洞分级中涉及的漏洞

分级指标,基于原漏洞分级维度的基础上进行分级指标的扩展。因此本标准作为

通用性的漏洞分类分级要求,可适用于大多数漏洞。

2.2修订依据

随着近年人工智能、物联网、区块链等计算机技术的快速发展,网络安全漏

洞相关研究工作也相应发生了巨大的变化,目前国家标准GB/T30279-2013《信

息安全技术安全漏洞等级划分指南》、GB/T33561-2017《信息安全技术安全

漏洞分类》已经不能完全满足现阶段漏洞分类分级的技术要求。国家网络安全相

关部门、网络安全研究机构、网络安全漏洞研究人员等对漏洞分类分级的认识、

理解得到进一步发展,相应的产生了许多新的需求和应用。急需结合当前的新技

术、新经验以及相关标准法规等,对上述标准进行内容修订。

此外,漏洞的分类和分级是描述漏洞本质和情况的两个重要方面,因此,建

议将GB/T30279-2013《信息安全技术安全漏洞等级划分指南》和GB/T

3

33561-2017《信息安全技术安全漏洞分类》进行合并修订。

为满足标准修订的现实需要,编制组通过问卷调查的方式,向18家安全公

司收集关于分类分级国标的修订意见,整理相关意见形成了《信息安全漏洞分类

分级修订建议调查情况》,主要意见包括如下几个方面:

(1)漏洞分类方面

1)随着近年人工智能、物联网、区块链等计算机技术的快速发展,

需要增加新的漏洞类型;

2)标准需要与《中华人民共和国网络安全法》等相关法律法规的相

关要求保持一致;

3)标准需要进一步与主流应用场景,如web、主机、终端、工控等

应用相适应;

(2)漏洞分级方面

1)需要参考增加环境因素的危害评估指标。

2)兼容现有CNNVD及CNVD等国家级漏洞库漏洞分级方法。

3)兼容CVSS3.0评分标准。

在需求调研的基础上,编制组组织国内网络安全漏洞标准研究机构,围绕国

内外漏洞分类分级的相关标准和研究情况开展了相关的技术调研,形成了《信息

安全漏洞分类分级修订相关情况调研与分析》报告。

在漏洞分类分级标准方面,编制组充分调研国内外漏洞分级的相关标准和研

究情况。对我国国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台

(CNVD)等机构以及补天漏洞响应平台、漏洞盒子、360企业安全、启明星辰、

华顺信安等国内安全厂商使用的网络安全漏洞分类、分级实践标准;以及美国、

俄罗斯、日本、法国等国际上主要国家级漏洞库相关标准以及IBM、微软

(Microsoft)、Secunia、赛门铁克(Symantec)、思科(Cisco)、甲骨文(Oracle)

等多家国际厂商使用的网络安全漏洞分类分级标准进行调研分析。

4

对相关的漏洞分类分级的研究成果和文献进行了整理总结,重点对国家信息

安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD)的实践标准,

以及国际上应用较为规范的CommonVulnerabilityScoringSystem(CVSS)分级

标准和CommonVulnerabilitiesandExposures(CVE)漏洞分类标准进行了深入

技术调研和分析。

(1)国家信息安全漏洞库(CNNVD)漏洞分类分级情况

在漏洞分类方面,CNNVD将信息安全漏洞划分为26种类型,分别是:配

置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、

缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、注

入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任

管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、

访问控制错误、资料不足。

在漏洞分级方面,CNNVD使用两组指标对漏洞进行评分,分别是可利用性

指标组和影响性指标组,并依据该评估结果对漏洞划分为超危、高危、中危、低

危共四个危害等级。其中,可利用性指标组描述漏洞利用的方式和难易程度,反

映脆弱性组件的特征,应依据脆弱性组件进行评分,影响性指标组描述漏洞被成

功利用后给受影响组件造成的危害,应依据受影响组件进行评分。

(2)国家信息安全漏洞共享平台(CNVD)漏洞分类分级情况

在漏洞分类方面,CNVD根据漏洞产生原因,将漏洞分为11种类型:输入

验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错

误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误。此外,

CNVD还进行了部分业务的划分,主要分为行业漏洞和应用漏洞,行业漏洞包括:

电信、移动互联网、工控系统;应用漏洞包括web应用、安全产品、应用程序、

操作系统、数据库、网络设备等。

在漏洞分级方面,使用自己内部分级标准,将网络安全漏洞划分为高、中、

低三种危害级别。

5

(3)通用漏洞评分系统(CommonVulnerabilityScoringSystem,CVSS)

通用漏洞评分系统(CommonVulnerabilityScoringSystem,CVSS)是由

美国国家基础设施顾问委员会(NIAC)开发、事件响应与安全组织论坛(FIRST)

维护的一个开放的计算机系统安全漏洞评估框架。CVSS是一个开放并且能够被

产品厂商免费采用的标准,其存在的主要目的是协助安全从业人员使用标准化、

规范化、统一化的语言对计算机系统安全漏洞的严重性进行评估。NIAC于2004

年提出了CVSSv1.0,此版本经使用后发现存在很大问题,为解决存在问题并

增加CVSS的准确性,由CVSS-SIG发起修正案并进行修订。在2007年6月,

FIRST公开发布了CVSSv2.0。目前,CVSS的最新版本是v3.0,发布于2015

年6月10日。

(4)通用缺陷枚举(CommonWeaknessEnumeration,CWE)

通用缺陷枚举(CommonWeaknessEnumeration,CWE)是由美国MITRE

公司开发的一个描述在软件架构、设计以及编码等环节中存在的安全缺陷与漏洞

的通用规范,目前CWE共包含1040个条目,其中视图32个、类别247个、

缺陷与漏洞709个、合成元素7个,弃用45个。

2.4修订内容

本标准修订包括网络安全漏洞分类和分级两个方面。

(1)网络安全漏洞分类修订内容

1)现行漏洞分类标准介绍

现行漏洞分类标准(GB/T33561-2017《信息安全技术安全漏洞分类》)

根据漏洞的形成原因、所处空间和时间对其进行分类。如图1所示,根据漏洞的

形成原因可分为:边界条件错误、数据验证错误、访问验证错误、处理逻辑错误、

同步错误、意外处理错误、对象验证错误、配置错误、设计缺陷、环境错误或其

6

他等。根据漏洞在计算机信息系统所处的位置可分为:应用层漏洞、系统层漏洞

和网络层漏洞。根据漏洞在软件生命周期的时间关系可分为:生成阶段漏洞、发

现阶段漏洞、利用阶段漏洞和修补阶段漏洞。

图1现行标准安全漏洞分类导图

2)“按成因分类”内容修订

调整了按照成因分类的框架和指标。参考CWE标准和国内漏洞分类的实践

经验及特点,兼顾现有漏洞分类的使用场景和使用习惯,由于当前漏洞分类方法

缺少完备的理论支撑,所以将现行标准采用的线性分类框架调整为树形分类框

架,并将现行漏洞分类标准11类同步修订为32类,保留“其他”类别。如图2

所示:

7

图2修订后的“按成因分类”导图

采用树形分类导图对漏洞进行分类,首先从根节点开始,根据漏洞成因将漏

洞归入某个具体的类型,如果该类型节点有子类型节点,且漏洞可以归入该子类

型,则将漏洞划分为该子类型,如此递归,直到漏洞归入的类型无子类型节点或

漏洞不能归入子类型。

3)“按空间分类”内容修订

将该分类名称修订为“按位置分类”,同时考虑近年目前区块链漏洞、CPU

漏洞、供应链安全等相关网络安全技术的发展,按照现行标准的分类框架,将现

行标准的3类修订为5类:在最底层和最顶层分别增加硬件层、协同层。其中

“硬件层”定义为:硬件层漏洞影响最基本的信息处理、表示、存储等硬件,位

于信息系统最底层的实现部分,如:芯片漏洞、电路漏洞、漏洞等类似受影响实

体的漏洞。“协同层”定义为:协同层漏洞影响依靠网络构成的实现复杂应用的

协同信息系统,位于信息系统协同层面的部分,如:分布式业务系统、云计算系

统、传感器网络、区块链系统、工控系统等类似受影响实体的漏洞。调整后的“按

位置分类”漏洞类型如图3所示:

8

图3修订后的“按位置分类”导图

4)按“时间分类”内容修订

考虑漏洞的时间分类更多属于漏洞的管理属性而非漏洞的本质属性,故删除

该分类。

(2)网络安全漏洞分级修订内容

1)现行网络安全漏洞分级标准介绍

现行网络安全漏洞分级标准(GB/T30279-2013《信息安全技术安全漏洞

等级划分指南》)对计算机信息系统安全漏洞等级划分指标和危害程度级别进行

了定义。此标准给出了安全漏洞等级划分方法,规定安全漏洞等级划分指标包括

访问路径、利用复杂度和影响程度三个方面。访问路径的赋值包括本地、邻接和

远程,通常可被远程利用的漏洞危害程度高于可被邻接利用的漏洞,可被本地利用

的漏洞次之。利用复杂度的赋值包括简单和复杂,通常利用复杂度简单的漏洞危

害程度高。影响程度的赋值包括完全、部分、轻微和无,通常影响程度越大的漏

洞的危害程度越高。安全漏洞的危害程度从低至高依次为低危、中危、高危和超

危,具体的危害等级由三个指标的不同取值共同决定。

表1现行标准分级等级划分指标及赋值情况

等级划分指标指标子项赋值情况

本地

访问路径-----

邻接

9

远程

简单

利用复杂度-----

复杂

保密性完全

影响程度完整性部分

可用性无

2)网络安全漏洞分级修订

在现行标准的基础上,调整网络安全漏洞分级框架,以更好地适用于当前漏

洞分级实践需要。为更好地兼容国内现行标准,编制组主要调研、参考CNNVD

和CNVD两个机构所使用的实践标准;同时,由于CVSS在美国、俄罗斯、欧

洲、法国、德国、日本等国家级漏洞库以及IBM、微软(Microsoft)、Secunia、

赛门铁克(Symantec)、思科(Cisco)、甲骨文(Oracle)等许多国外大型软件和安全

安全厂商中使用,编制组对CVSS漏洞分级标准的情况也进行了较为深入的研

究,并对其进行兼容。将本标准漏洞分级框架(修订)调整如下所示:

表2本标准漏洞分级框架(修订)

漏洞分级漏洞指标指标级别指标子项子项赋值

访问路径网络、邻接、本地、物理

触发要求低、高

技被利用性1级-9级

权限需求无、低、高

综术

交互条件无、有

合分

保密性严重、一般和无

分级

影响程度1级-9级完整性严重、一般和无

可用性严重、一般和无

利用成本低、中、高

—环境因素1级-9级

修复难度高、中、低

10

环境影响高、中、低、无

主要修订内容包括:

参考CNNVD、CNVD现行实践标准以及CVSS3.0漏洞分级框架,增加了

“被利用性”指标类,将“访问路径”及“利用复杂度”调整为该划分指标的子

项;同时将“利用复杂度”拆分为“触发要求”、“权限需求”、“交互条件”

等三个子项。如下表所示:

表3标准(修订)与CVSS3.0对比表

标准(修订)

指标类CVSS3.0标准(修订)CVSS3.0赋值

赋值

Network(N)网络

AttackVectorAdjacent(A)邻接

访问路径

(AV)Local(L)本地

Physical(P)物理

AttackComplexityLow(L)低

触发要求

被利用性(AC)High(H)高

None(N)无

Privileges

权限需求Low(L)低

Required(PR)

High(H)高

UserInteractionNone(N)无

交互条件

(UI)Required(R)有

High(H)严重

影响程度Confidentiality(C)保密性Low(L)一般

None(N)无

11

High(H)严重

Integrity(I)完整性Low(L)一般

None(N)无

High(H)严重

Availability(A)可用性Low(L)一般

None(N)无

将“影响程度”指标类下的“保密性”、“完整性”、“可用性”指标赋值

调整为“严重”、“一般”、“无”。CVSS3.0标准中包括“Scope”指标,

本标准考虑“Scope”指标的复杂性,未使用该指标。由于“Scope”指标与漏

洞受影响对象的版本、运行环境等相关,与影响程度指标类、触发要求指标相关,

所以,本标准通过影响程度指标类、触发要求等来反映该指标。

考虑漏洞在具体环境因素下的评级,参考CVSS3.0标准,新增“环境因素”

指标类及其“利用成本”、“修复难度”、“影响范围”等子项。其中,“利用

成本”反映漏洞实际被利用的难度;“修复难度”反映漏洞修复的难度;“影响

范围”反映漏洞受影响对象在参考环境中的数量和价值等,补充“影响程度”的

局限。

技术分级用于从技术层面对漏洞进行分级,采用被利用性指标类和影响程度

指标类;综合分级用于在参考环境下对漏洞进行分级,采用被利用性指标类、影

响程度指标类和环境因素指标类。此外,在进行网络安全漏洞综合评级过程中,

可根据实际情况对“影响程度评级表”进行调整。

2.5解决问题

通过对本标准的修订,主要解决了现行标准的适用性问题,具体内容包括:

(1)在漏洞分类方面,解决现行漏洞分类标准对多种漏洞类型和漏洞所处的

各类复杂的环境及场景的适用性、灵活性问题,提高标准的可操作性。

12

(2)在漏洞分级方面,进一步优化漏洞分级框架,扩展分级指标,提高了漏

洞分级的准确性、兼容性。

2.6本标准与GB/T28458和GB/T30276的关系

GB/T28458《信息安全技术安全漏洞标识与描述规范》规定了信息与控制

系统安全漏洞的标识与描述规范。本标准为GB/T28458《漏洞标识与描述规范》

中漏洞类别和等级的内容提供依据。

GB/T30276《信息安全技术安全漏洞管理规范》描述了在安全漏洞发现与

报告的过程中,漏洞应急组织、漏洞收录组织、漏洞关联厂商、信息系统管理者

等的管理原则、管理职责和工作要求,以及漏洞发现与报告处理流程。本标准适

用于漏洞应急组织、漏洞收录组织、漏洞关联厂商、信息系统管理者等的漏洞发

现与报告管理活动,包括漏洞的接收、验证、处置和发布等环节,为漏洞及时发

现、有效处置的工作提供参考。本标准为GB/T30276《信息安全技术安全漏

洞管理规范》的网络安全漏洞分类的内容提供依据。

三、主要验证情况分析

在修订过程中,中国信息安全测评中心采用CNNVD、CNVD以及NVD等

多家机构的漏洞数据对本标准进行了验证。

3.1漏洞分类验证情况

修订后的漏洞类型能够基本覆盖CNNVD、CNVD和NVD等国内外重要漏

洞平台的漏洞类型。根据目前情况,CNNVD共划分26种漏洞类型,CNVD共

10种漏洞类型,NVD共124种漏洞类型,其中除CNVD之外CNNVD与NVD

均按照细化程度使用树形图结构对漏洞类型进行层次划分。为此,对于以上漏洞

分类标准的不同维度和细化程度,现修订标准可通过层级包含的关系对其现有各

类漏洞类型进行兼容和映射。相关对应关系如下表所示:

13

表4标准分类对应关系

序国标(修订)CNNVDCNVD漏

NVD漏洞类型

号漏洞类型漏洞类型洞类型

1配置错误配置错误Configuration(CWE-16)配置错误

Code(CWE-17)、空指针逆向引用NULL

PointerDereference(CWE-476)、不可信

的搜索路径UntrustedSearch

Path(CWE-426)、数据处理Data

Handling(CWE-19)、XML外部实体引用

(‘XXE’)限制不当ImproperRestriction

ofXMLExternalEntityReference

('XXE')(CWE-611)、未限制上传危险类型

的文件UnrestrictedUploadofFilewith

DangerousType(CWE-434)、反序列化不

可信的数据DeserializationofUntrusted

Data(CWE-502)、服务器端请求伪造

(SSRF)Server-SideRequestForgery

(SSRF)(CWE-918)、类型转换或强制类型

转换错误IncorrectTypeConversionor

2代码问题代码问题Cast(CWE-704)、不受控制的搜索路径元设计错误

素UncontrolledSearchPath

Element(CWE-427)、错误处理机制Error

Handling(CWE-388)、对异常情况检查不

当ImproperCheckforUnusualor

ExceptionalConditions(CWE-754)、会话

过期处理不充分InsufficientSession

Expiration(CWE-613)、未加引号的搜索路

径或元素UnquotedSearchPathor

Element(CWE-428)、信道和路径错误

ChannelandPathErrors(CWE-417)、时

间和状态TimeandState(CWE-361)、对

可索引的资源访问不当(‘范围错误’)

IncorrectAccessofIndexableResource

('RangeError')(CWE-118)、释放后重用

(CWE-416)

14

ResourceManagementErrors

(CWE-399)、释放后重用(CWE-416)、

资源管理错资源管理不受控制的资源消耗(‘资源枯竭’)

3

误错误UncontrolledResourceConsumption

('ResourceExhaustion')(CWE-400)、双重

释放DoubleFree(CWE-415)

NumericErrors(CWE-189)、除零问题

(除零错误)DivideByZero(CWE-369)、

4数字错误数字错误

整数下溢(盘绕或回绕)IntegerUnderflow

(WraporWraparound)(CWE-191)

ImproperInputValidation(CWE-20)、

URL重定向至不可信的站点(‘开放重定

向’)URLRedirectiontoUntrustedSite

输入验证错('OpenRedirect')(CWE-601)、整数溢出或输入验证

5输入验证

误回绕IntegerOverflowor错误

Wraparound(CWE-190)、数组下标验证不

当ImproperValidationofArray

Index(CWE-129)

InformationExposure(CWE-200)、日志

6信息泄露信息泄露文件暴露信息InformationExposure

ThroughLogFiles(CWE-532)

SecurityFeatures(CWE-254)、对标准

的安全检查实现不当Improperly

ImplementedSecurityCheckfor

Standard(CWE-358)、熵池不足

安全特征问安全特征InsufficientEntropy(CWE-331)、使用不充

7

题问题分的随机数UseofInsufficiently

(CWE-330)、使用弱加密的伪随机数生成

器(PRNG)UseofCryptographically

WeakPseudo-RandomNumber

Generator(PRNG)(CWE-338)

竞争条件问

8竞争条件RaceCondition(CWE-362)竞争条件

BufferErrors(CWE-119)、越界读取

Out-of-boundsRead(CWE-125)、越界写

缓冲区错边界条件

9缓冲区错误入Out-of-boundsWrite(CWE-787)、访问

误错误

未初始化的指针AccessofUninitialized

Pointer(CWE-824)

15

格式化字符格式化字

10FormatStringVulnerability(CWE-134)

串错误符串

11跨站脚本跨站脚本Cross-siteScripting(CWE-79)

12路径遍历路径遍历PathTraversal(CWE-22)

13后置链接后置链接LinkFollowing(CWE-59)

、CRLF序列中和不当(‘CRLF注入’)

ImproperNeutralizationofCRLF

Sequences('CRLFInjection')(CWE-93)、

HTTP头中的CRLF序列中和不当(‘HTTP

响应拆分’)ImproperNeutralizationof

CRLFSequencesinHTTPHeaders

14注入注入

('HTTPResponseSplitting')(CWE-113)、

对LDAP查询语句中使用的特殊元素中和

不当(‘LDAP注入’)Improper

NeutralizationofSpecialElementsused

inanLDAPQuery('LDAP

Injection')(CWE-90)

15代码注入代码注入CodeInjection(CWE-94)

16命令注入命令注入CommandInjection(CWE-77)

17SQL注入SQL注入SQLInjection(CWE-89)

操作系统命操作系统

18OSCommandInjection(CWE-78)

令注入命令注入

ImproperAuthentication(CWE-287)、

权限问题PermissionIssues(CWE-275)、

授权不当Improper

Authorization(CWE-285)、会话固定

19授权问题授权问题

SessionFixation(CWE-384)、用于找回密

码的弱密码恢复机制WeakPassword

RecoveryMechanismforForgotten

Password(CWE-640)

CredentialsManagement(CWE-255)、

证书验证不当ImproperCertificate

信任管理问

20信任管理Validation(CWE-295)、使用硬编码的凭证

UseofHard-coded

Credentials(CWE-798)

16

CryptographicIssues(CWE-310)、加密

强度不足InadequateEncryption

Strength(CWE-326)、密钥管理错误Key

21加密问题加密问题ManagementErrors(CWE-320)、使用受损

或有风险的加密算法UseofaBrokenor

RiskyCryptographic

Algorithm(CWE-327)

InsufficientVerificationofData

未充分验

数据伪造问Authenticity(CWE-345)、加密签名验证

22证数据可

题不当ImproperVerificationof

靠性

CryptographicSignature(CWE-347)

跨站请求伪跨站请求

23Cross-SiteRequestForgery(CWE-352)

造伪造

权限许可和权限许可

Permissions,Privileges,andAccess访问验证

24访问控制问和访问控

Controls(CWE-264)错误

题制

ImproperAccessControl(CWE-284)、

缺乏对关键功能的身份验证Missing

访问控制错访问控制

25AuthenticationforCritical

误错误

Function(CWE-306)、源验证错误Origin

ValidationError(CWE-346)

其他错

26其他资料不足Other(NVD-CWE-Other)误、未知

错误

处理逻辑错意外情况

27

误处理错误

默认配置问

28配置错误Configuration(CWE-16)

Environment(CWE-2)、对HTTP请求

的解释不一致(‘HTTP请求走私’)

29环境问题InconsistentInterpretationofHTTP环境错误

Requests('HTTPRequest

Smuggling')(CWE-444)

ArgumentInjectionorModification

30参数注入命令注入

(CWE-88)

17

日志信息泄日志文件暴露信息InformationExposure

31信息泄露

露ThroughLogFiles(CWE-532)

调试信息泄调试文件暴露信息InformationExposure

32信息泄露

露ThroughDebugLogFiles(CWE-534)

采集2016至2017年漏洞数据对本标准覆盖的漏洞分类情况进行了统计验

证。如下图所示。

图42016年-2017年漏洞类型分布统计图

上述验证数据显示,2016年至2017年漏洞数据共计22554个,其中“其

他”类型为1630条,数量占比6.42%。在上述“其他”类型中,有1190条数

据NVD所提供的类型也为“其他”,剩余440条数据归属于极个别类型,此类

型漏洞出现情况极少,故不提取类型纳入本标准中。

因此,本标准按成因划分的32种漏洞类型基本覆盖所有漏洞种类,同时针

对出现极少数情况的漏洞类型由“其他”类型作为包容项纳入本标准,确保了漏

洞类型的完备性,基本满足漏洞分类的使用需求。

本标准经过与CNNVD、CNVD、NVD等当前国内常用的漏洞分类标准的对

比表明:

(1)与CNNVD、CNVD的漏洞分类标准比较,本标准按照成因分类涵盖的

漏洞类型范围更广泛。

(2)与NVD的漏洞分类标准比较,在综合考虑当前漏洞类别数量和标准易

18

用性的基础上,本标准从漏洞成因和漏洞位置两个角度进行分类,并且,

按照成因分类虽然采用了更少的漏洞类别描述,更易于工程应用,更适

合国内漏洞分类的需要。

3.2漏洞分级验证情况

选取CNNVD、CNVD、NVD2016年-2018年,超危、高危、中危、低危

的漏洞数据进行验证。具体方法如下:

(1)从CNNVD/CNVD/NVD的公开数据中,分别选取一定数量的超危、高危、

中危、低危漏洞。

(2)从步骤1中选取一条具体漏洞。

(3)使用本标准修订后的分级评价方法,对步骤2中的漏洞进行漏洞评级,

得出具体结果。

(4)将步骤3的结果与CNNVD/CNVD/NVD评定的结果进行比对。如果两

个结果一致,则判定为“符合”;如果两个结果不一致,则判定为“不

符合”。

(5)重复步骤2-步骤4,直至所有数据评定、比对完毕

(6)统计所有数据的比对结果,最终得出“符合比例”。

具体验证如下所示:

表5与CNNVD、CNVD、NVD漏洞分级数据对比验证情况

数据源CNNVDCNVDNVD

等级漏洞数量符合比例漏洞数量符合比例漏洞数量

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论