




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
团体标准StandardforCommonCentralProcessingUnitIntVulnerabilityClassificationandRati中国互联网协会发布 3.1通用处理器GeneralCentralProce 3.2硬件漏洞Hardw 3.3知识产权核I A.1骑士漏洞评分示例 A.1.1漏洞分级指标赋值 A.1.2漏洞指标评级 A.1.3漏洞危害分级 本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定——V效评价不同漏洞的攻击复杂度及危害性,从而对处理器芯片硬件漏洞的风险有更准确的评少,因此主要采纳领域内专家意见,对指标量化赋分进1通用处理器芯片硬件漏洞分类分级标准GB/T25069、GB/T20984、GB/T30276和GB/T30279中界定的以通用处理器GeneralCentralProcessing采用冯诺依曼体系结构的现代处理器,包括运算器、控制器、存储器等基本处理器结构硬件漏洞HardwareVulnerab2芯片设计中可以重复使用,具有知识产权的集成电指令集架构的具体实现,它包括了中央处理CPU中央处理器(CentralProcesIP知识产权(IntellectualPropSMM系统管理模式(SystemManageme5通用处理器芯片硬件漏洞分类5.1概述集成电路设计、微架构设计和芯片I/O接口上,这类此类漏洞指处理器芯片设计代码开发过程中,因可以访问其他电路中的私密信息,或恶意修改电路中35.3微架构设计缺陷处理器安全流程设计瑕疵导致的缺陷,例如没有启动访问控制前,过早启用DMA、启动过程缺乏认处理器的某些指令序列导致处理器执行后出45.4.2非预期的寄存器配置行为寄存器的配置行为与其预期行为不符,如电源状态转换后处理器未正确地清除配置状态,从而导致不5.4.4不安全的权限管理和访问控制5.5.2未实现密码算法中所需的所有步骤5.5.6未采用侧信道防护机制密码模块缺乏物理或逻辑侧信道防护机制,导致加密运算侧效应可观测和敏感信息泄5通用处理器芯片硬件漏洞分级根据场景不同,分为危害分级和修复必要性分级两种分级方式。技术特点对其危害程度进行等级划分,主要面向漏洞分析人员、产品考虑特定应用需求情况下,对漏洞修复的必中漏洞指标类评级方法是对上述三类指标进行评级的方法,是漏洞技术分级和综合分级的重要表1攻击途径赋值说明表1攻击者需要利用处理器芯片的物理接口或物理信息才攻击确定性指实现攻击的确定性,描述处理器逻辑设计导致攻击的确表2攻击确定性赋值说明表高漏洞触发原理清楚,按照一定流程触发则攻击成功概率可达1中漏洞触发原理清楚,但触发条件达到需要随机测试,测试成功概低漏洞触发原理不清楚,或漏洞触发原理清楚,但触发条件达到需6表3权限需求赋值说明表无1低高表4交互条件赋值说明表攻击过程中,不需要攻击者以外的其他用户或系统配1攻击过程中,需要攻击者以外的其他用户或系统配合、参与利用代码成熟度反映攻击者是否可以获取可用的漏洞利表5利用代码成熟度赋值说明表高1中攻击者可获取漏洞利用代码,但需要进行修改后低修复难度反映处理器厂商或操作系统厂商对该漏洞进行修复的修复难度指标赋值包括高、中、低。通常修复难度越高,漏洞危害越大。见表7表6补丁水平赋值说明表高1中低造成的损害程度。性能影响描述评价漏洞修复对性能的影响机密性、完整性和可用性指标赋值均包括高、中、低、无。见表表7机密性、完整性、可用性指标赋值说明表高严重影响处理器芯片存储的信息资源的安全属性,造中低无表8权限正确性赋值说明表008123456781表9性能影响赋值情况表高1中低表10被利用成本指标赋值低19中设备连接到互联网,安全防护充分,有较完善的高设备未连接到互联网,安全防护充分,有完善的表11影响范围指标赋值高产造成影响,或者受到影响的实体在环境中处于重要位置,有重要1中触发漏洞会对系统、资产等造成中等程度影响。例如对环境中的低的资产造成影响,或者受到影响的实体在环境中处于不重要位置,无性能要求的指标赋值包括:高、中、低,见表12性能要求指标赋值高该环境对处理器芯片运行性能要求高,性能重要性中该环境对处理器芯片运行性能有中等程度要求,安全性与性能同等低该环境对处理器芯片运行性能有较低要求,安全重要危害分级均包括超危、高危、中危和低危四个等级,表13处理器芯片漏洞危害分级赋值说明漏洞可以非常容易对处理器芯片内存储的数据信息造成特别严重的漏洞容易对处理器芯片内存储的数据信息造成特别严重的修复必要性分级包括高、中、低三个等级,表14修复必要性分级赋值说明高在当前环境下,漏洞修复必要性很高,应立即中在当前环境下,漏洞修复必要性中等,可择期低在当前环境下,漏洞修复必要性较低,可暂时不进行被利用性=攻击途径╳攻击确定性╳权限需求╳交互条件╳利用代码成熟度╳根据被利用性的评分,对被利用性进行整体评级。评分与等级对应关系见表15被利用性评级表被利用性评分被利用性等级低中高影响程度=(1-(1-机密性)╳(1-可用性)╳(1-完整性╳权限正确性╳1.1根据影响程度的评分,对影响程度进行整体评级。评分与等级对应关系见表16影响范围评级表影响程度评分影响程度等级低中高据被利用性和环境因素指标组中各指标的量化评分进行计算。计算方法如修正被利用性=攻击途径╳攻击确定性╳权限需求╳交互条件╳利用代码成熟度╳修复难度╳被利根据修正被利用性的评分,对修正被利用性进行整体评级。评分与等级对应关系见表表17修正被利用性评级表修正被利用性评分修正被利用性评级低中高影响程度=(机密性要求╳机密性+完整性要求╳完整性+可用性要求╳可用性)╳权限正确性╳影表18修正影响程度评级修正影响程度评分修正影响程度评级低中高性和影响程度的评级。根据被利用性和影响程度评级结果,计算得到漏洞危害分级,见表表19漏洞危害评级表低中高得到修正被利用性和修正影响程度的评级。根据修正被利用性和修正影响程度评级结果,见表表20漏洞修复必要性分级评级表修正影响程度低低低中低低中中低中中高中中高•——A.1骑士漏洞评分示例被利用性1高1高1利用代码成低高1影响程度中中中被利用性评级=1*1*0.7*
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 房地产项目前期策划服务合同书
- 广告公司品牌推广策略预案
- 三农产品物流运输优化方案
- 环保行业环保项目投资情况表
- 农业产值增长分析表
- 公司季度市场调研报告详解
- 贵州国企招聘2024都匀市中小企业融资担保有限责任公司招聘笔试参考题库附带答案详解
- 三农产品流通渠道与供应链管理方案
- 基于物联网的智能仓储与配送设备选型与采购方案
- 工作进度跟踪表格:项目进度跟踪表(时间序列)
- 记录食品安全事故处置等保证食品安全的规章制度
- 2024年陕西省高中学业水平合格性考试化学模拟试卷(含答案解析)
- “江格尔”的数字化保护与再生研究的开题报告
- 2024年公安信息化项目可行性研究报告书
- (2024年)尊老爱幼ppt全新
- 《制作酸奶的方法》课件
- 设计方案新能源汽车充电桩设计
- (高清版)DZT 0432-2023 煤炭与煤层气矿产综合勘查规范
- 武汉中考理化生实验备考试题库(含答案)
- 酒店客房方案
- 学校食堂食品安全日管控、周排查、月调度制度(含记录)
评论
0/150
提交评论