PAGE《信息安全技術(shù)安全漏洞等級劃分指南》編制說明中國信息安全測評中心中國科學(xué)院研究生院國家計算機(jī)網(wǎng)絡(luò)入侵防范中心2013.01.06《信息安全技術(shù)安全漏洞等級劃分指南》（征求意見稿）編制說明一、工作簡況1.1任務(wù)來源2008年，經(jīng)國標(biāo)委批準(zhǔn)，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）主任辦公會討論通過，研究制定《信息安全技術(shù)安全漏洞等級劃分指南》國家標(biāo)準(zhǔn),國標(biāo)計劃號：20111600－T-469。該項目由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口，由中國信息安全測評中心和中國科學(xué)院研究生院國家計算機(jī)網(wǎng)絡(luò)入侵防范中心聯(lián)合編制?！缎畔踩夹g(shù)安全漏洞等級劃分指南》是安標(biāo)委2006年《漏洞等級劃分標(biāo)準(zhǔn)基礎(chǔ)研究》項目的延續(xù)。1.2.1 預(yù)研立項2006年《國家信息安全戰(zhàn)略研究與標(biāo)準(zhǔn)制定工作專項》課題《安全漏洞危害等級劃分標(biāo)準(zhǔn)》基礎(chǔ)研究，研究國際和國內(nèi)漏洞危害等級的評定現(xiàn)狀，通過對漏洞利用造成的后果、對系統(tǒng)安全屬性的危害、漏洞可利用的難易程度等方面的分析，總結(jié)影響漏洞安全危害等級的特征屬性選取、特征屬性的定性和定量分析、安全危害等級的綜合評價方法等內(nèi)容。1.2.2 預(yù)研結(jié)題2008年完成《漏洞等級劃分標(biāo)準(zhǔn)基礎(chǔ)研究》課題。本課題，通過對國內(nèi)外漏洞等級劃分方法進(jìn)行深入分析和研究，不僅能夠提高我國軟件與系統(tǒng)的安全性，同時對保障計算機(jī)軟件與系統(tǒng)安全，優(yōu)化我國網(wǎng)絡(luò)安全環(huán)境，構(gòu)筑我國網(wǎng)絡(luò)安全防御體系具有重要意義。1.2.3 標(biāo)準(zhǔn)立項2008年12月，《信息安全技術(shù)安全漏洞等級劃分指南》被全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會正式立項，定性為國家推薦性標(biāo)準(zhǔn)。中國信息安全測評中心和中國科學(xué)院研究生院國家計算機(jī)網(wǎng)絡(luò)入侵防范中心成立標(biāo)準(zhǔn)編制組，并于2008年12月召開第一次課題組會議，明確兩家單位分工并制定標(biāo)準(zhǔn)編制計劃。1.2主要工作過程《安全漏洞等級劃分指南》制定過程包括前期的預(yù)研、標(biāo)準(zhǔn)立項、草案擬定、征求意見、專家評審、修改草案、形成征求意見稿、形成送審稿、形成報批稿等過程。其中“評審-修改”過程為反復(fù)執(zhí)行過程，目前經(jīng)歷過8次評審、征求意見和修改的過程，如圖1所示。圖1工作過程流程圖8次評審或征求意見共征集到90多條意見和建議，我們逐條針對每條意見、建議做了應(yīng)答和處理，廣納建議，更好的完善了我們的標(biāo)準(zhǔn)編制工作。具體意見處理情況參見歷次專家意見反饋表。1.3主要起草人及其所做工作編制單位共兩家，分別為：中國信息安全測評中心和中國科學(xué)院研究生院國家計算機(jī)網(wǎng)絡(luò)入侵防范中心。中國信息安全測評中心主要起草人有張翀斌、張寶峰等人，中國科學(xué)院研究生院國家計算機(jī)網(wǎng)絡(luò)入侵防范中心主要起草人有張玉清和劉奇旭等人。其中，張翀斌與張玉清負(fù)責(zé)編制思路討論、制定，調(diào)研國內(nèi)國際情況以及項目總體進(jìn)度的把握；張寶峰負(fù)責(zé)標(biāo)準(zhǔn)中漏洞等級劃分元素選取與對比分析；劉奇旭負(fù)責(zé)漏洞等級劃分的方法，負(fù)責(zé)使用層次分析法分析、論證等級劃分結(jié)果等。其他參與人員負(fù)責(zé)從國家信息安全漏洞庫隨機(jī)選取上百個漏洞，進(jìn)行實驗驗證。根據(jù)實驗驗證結(jié)果調(diào)整漏洞等級劃分方法。二、編制原則及標(biāo)準(zhǔn)主要內(nèi)容2.1編制原則之所以有眾多的安全漏洞評級方法，是因為不同的研究者在不同的層次使用了不同的觀察角度。但所有研究者的共同目標(biāo)是研究一個科學(xué)、合理、易于數(shù)據(jù)組織、便于相互交流并能直接應(yīng)用于脆弱性評估工具的安全漏洞評級方法和標(biāo)準(zhǔn)。一個安全漏洞評級方法應(yīng)該滿足以下原則：一致性：所用術(shù)語與已有的安全術(shù)語保持一致；開放性：必須是免費(fèi)可利用可采納的，對任何人都開放使用。一個封閉的標(biāo)準(zhǔn)將不會被廣泛地實施，并且將不會幸存；廣泛性：必須能夠評價任何信息系統(tǒng)類型中的所有可能的脆弱性，即適用于不同的需要和不同的系統(tǒng)；互操作性：應(yīng)該能與現(xiàn)有的技術(shù)和基礎(chǔ)設(shè)施配合運(yùn)作，并且不依賴專用技術(shù)或形式；靈活性：應(yīng)該能夠針對不同的運(yùn)行環(huán)境來定制不同的風(fēng)險；簡易性：必須能夠簡單直接地理解、實現(xiàn)和使用；完備性：應(yīng)該包括任何對安全漏洞有影響的因素；客觀性：要素的屬性值必須是從已知對象中獲得，并且能明確地觀測到；可重復(fù)性：不同的人對特定目標(biāo)獨(dú)立地提取相同的屬性，其結(jié)果應(yīng)當(dāng)是一致的(也和客觀性相關(guān))；可理解性：各要素易于被安全知識和安全經(jīng)驗不足的用戶和管理員理解；可接受性：評級科學(xué)、合理、準(zhǔn)確，能夠被行業(yè)廣泛接受。2.2主要內(nèi)容《信息安全技術(shù)安全漏洞等級劃分指南》旨在通過對安全漏洞利用造成的后果、對系統(tǒng)安全屬性的危害、安全漏洞可利用的難易程度等方面的分析和研究，提出一套科學(xué)的、合理的信息安全漏洞安全危害等級評定標(biāo)準(zhǔn)，用于安全漏洞處理、風(fēng)險評估和風(fēng)險減緩等方面工作的參考?！缎畔踩夹g(shù)安全漏洞等級劃分指南》預(yù)計將成為我國重要的信息安全技術(shù)標(biāo)準(zhǔn)，并為國家信息安全保障提供強(qiáng)有力的技術(shù)支撐。三、分析論證過程及有關(guān)實驗3.1草案第一版2008年12月-2009年11月，課題組研究、分析CVSS等相關(guān)國內(nèi)外標(biāo)準(zhǔn)及動態(tài)。調(diào)查分析包括美國國家漏洞庫NVD在內(nèi)的多家國外漏洞庫，研究其安全漏洞等級劃分情況，調(diào)研收集資料，編制標(biāo)準(zhǔn)草案。2009年11月，課題組召開第二次會議，準(zhǔn)備12月份的階段檢查工作，形成《安全漏洞等級劃分指南》草案（第一版）。標(biāo)準(zhǔn)大綱包括：1范圍2術(shù)語和定義3安全漏洞等級劃分方法3.1等級劃分原則3.2等級劃分要素3.3等級劃分在漏洞等級劃分體系中，包括以下四方面的要素：VectorsofAttack(攻擊向量)NewVectorofAttack(新的攻擊向量)UniqueDataDestruction(獨(dú)特數(shù)據(jù)的破壞)SignificantServiceDisruption(重要服務(wù)的拒絕)3.2專家評審2009年12月16日，在北京應(yīng)物會議中心向?qū)＜覅R報階段工作。仔細(xì)聽取專家提出修改建議。專家建議及修改方案，請參看【專家意見匯總表-2009.12.16】3.3草案第二版2009年12月18日，課題組于中國信息安全測評中心召開第三次會議，討論專家評審意見修改事宜。課題組全體成員仔細(xì)閱讀標(biāo)準(zhǔn)文稿，針對專家的每一條建議對其加以修改：經(jīng)過了解，已有專門的國標(biāo)制定項目，擬直接引用。漏洞是信息技術(shù)、信息產(chǎn)品、信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、運(yùn)行等過程中，有意或無意產(chǎn)生的脆弱性，這些脆弱性以不同形式存在于信息系統(tǒng)的各個層次和環(huán)節(jié)之中，可以被惡意主體所利用，從而對信息系統(tǒng)的安全造成損害，影響構(gòu)建于信息系統(tǒng)之上正常服務(wù)的運(yùn)行，危害信息系統(tǒng)及信息的安全屬性。由第一版的“攻擊向量”、“新的攻擊向量”、“獨(dú)特數(shù)據(jù)的破壞”和“重要服務(wù)的拒絕”四個方面的屬性，調(diào)整為“攻擊范圍”、“攻擊復(fù)雜度”和“攻擊影響”三個方面的屬性，其中“攻擊影響”包括“機(jī)密性”、“完整性”和“可用性”三個屬性。由于漏洞的不可預(yù)測性，沒有辦法證明屬性是否完備。課題組采取了廣泛調(diào)研、最佳實踐的方法最終選擇5個屬性。能夠基本涵蓋當(dāng)前國際主流的等級劃分標(biāo)準(zhǔn)以及滿足實際工作需要。課題組將安全漏洞級別劃分為“緊急、高、中、低”四個級別。完成《安全漏洞等級劃分指南》草案（第二版）下面重點介紹一下四個級別選取的方法。課題組對7家國際主流漏洞等級評定組織和機(jī)構(gòu)所考慮的漏洞屬性進(jìn)行了統(tǒng)計，結(jié)果如表1所示。課題組認(rèn)為，低中高三個等級簡單易懂，但各等級涵蓋幅度較寬，未考慮主要矛盾（最嚴(yán)重的少部分漏洞）。四個等級符合工作實際。在原來低中高等級的基礎(chǔ)上，把高等級中那些最嚴(yán)重的漏洞再劃分為一個等級，予以重點關(guān)注。因為極其嚴(yán)重的漏洞往往需要我們重點采取消控措施。根據(jù)實踐工作，當(dāng)前CNNVD漏洞庫采用四個劃分等級，與課題組研究結(jié)論相符。因此，課題組選擇四個等級，即安全漏洞被分為緊急、高、中、低4個級別。表1國際主流安全漏洞等級評定結(jié)果名稱漏洞等級劃分級別具體內(nèi)容優(yōu)點缺點NVD3低、中、高清晰，易理解劃分范圍較寬，未體現(xiàn)高危漏洞X-Force3低、中、高清晰，易理解沒有客觀打分的細(xì)節(jié)，劃分范圍較寬，未體現(xiàn)高危漏洞FrSIRT4低、中、高、緊急清晰，層次合理考慮因素較少微軟4不適用、中等、重要、嚴(yán)重考慮因素較詳細(xì)分類不明確，考慮因素較少Secunia5低、低危、中危、高危、極度嚴(yán)重劃分較詳細(xì)考慮因素較少，分界模糊3.4專家評審2010年5月10日，在北京應(yīng)物會議中心向?qū)＜覅R報階段工作。仔細(xì)聽取專家提出修改建議。專家建議及修改方案，請參看【專家意見匯總表-2010.05.10】3.5草案第三版2010年5月11日，課題組于中國信息安全測評中心召開第四次會議，討論專家評審意見修改事宜。課題組全體成員仔細(xì)閱讀標(biāo)準(zhǔn)文稿，針對專家的每一條建議對其加以修改：目前沒有一個標(biāo)準(zhǔn)來識別哪些機(jī)構(gòu)或單位的資產(chǎn)是以機(jī)密性為主還是完整性為主。國外也沒有對保密性、完整性和機(jī)密性進(jìn)行賦予權(quán)值來劃分安全漏洞的做法。使用GB1.1的標(biāo)準(zhǔn)格式，對文字的描述語言進(jìn)行精煉。同意使用定性的評定方法，增加語言描述，使得指標(biāo)盡量具有可操作性。盡量避免“廣泛”、“少量”等不好衡量的詞語。將攻擊影響的高、中、低修改為：完全、部分、輕微、N/A。將安全漏洞危害程度有原來的“緊急、高、中、低”變?yōu)椤俺?、高危、中危、低?！?個等級完成《安全漏洞等級劃分指南》草案（第三版）安全漏洞等級劃分要素選取過程如下：課題組對7家國際主流漏洞等級評定組織和機(jī)構(gòu)所考慮的漏洞屬性進(jìn)行了統(tǒng)計，結(jié)果如表2所示。表2中的12個漏洞屬性中，“報告可信度、攻擊代碼可利用性、修補(bǔ)情況、分布潛能、間接破壞風(fēng)險”等5個屬性都受外在因素影響?！靶碌墓粝蛄俊笔俏④泦为?dú)提出，也隨著時間變化而發(fā)生變化。另外6個屬性分別為：訪問向量、訪問復(fù)雜度、授權(quán)、完整性、可用性和保密性，不會隨著時間和環(huán)境的變化而變化。通過統(tǒng)計得出，在7個組織機(jī)構(gòu)所定義的共12中基本屬性中，出現(xiàn)幾率70%以上的因素為6個，分別為訪問向量、訪問復(fù)雜度、授權(quán)、完整性、可用性和保密性，這也側(cè)面說明了這6個屬性的代表性，其他因素都低于60%。同時，認(rèn)為“訪問復(fù)雜度”和“授權(quán)”均屬于“攻擊復(fù)雜度”，因此二者合二為一；認(rèn)為“機(jī)密性”、“完整性”和“可用性”均反映的攻擊影響效果，因此將三者統(tǒng)稱為“攻擊影響”。因此，課題組最終確定采用“攻擊范圍”、“攻擊復(fù)雜度”、“攻擊影響”三個方面，共計五個屬性（攻擊影響包括三個屬性）來評估安全漏洞。表2安全漏洞屬性統(tǒng)計漏洞評價要素機(jī)構(gòu)、組織名稱訪問向量新的訪問向量訪問復(fù)雜度授權(quán)對完整性的影響對可用性的影響對保密性的影響報告可信度攻擊代碼可利用性修補(bǔ)情況分布潛能間接破壞風(fēng)險NVD√√√√√√√√√√√微軟√√√√√√FrSIRT√√√√√√US-CERT√√√√√√√√√√SANS√√√√√√√√Secunia√√√√√X-Force√√√√√√出現(xiàn)次數(shù)716555644342出現(xiàn)幾率（%）10014.2985.7171.4371.4371.4385.7157.1457.1442.8657.1428.573.6專家評審2011年6月10日，在中國信息安全測評中心向?qū)＜覅R報階段工作。仔細(xì)聽取專家提出修改建議。專家建議及修改方案，請參看【專家意見匯總表-2011.06.10】3.7草案第四版2011年6月13日，課題組于中國信息安全測評中心召開第五次會議，討論專家評審意見修改事宜。課題組全體成員仔細(xì)閱讀標(biāo)準(zhǔn)文稿，針對專家的每一條建議對其加以修改：采用層次分析法（AHP）進(jìn)行分析推導(dǎo)，進(jìn)而得出等級劃分結(jié)論。統(tǒng)一使用危害等級的描述安全漏洞的風(fēng)險。對標(biāo)準(zhǔn)文本的“范圍”和“原則”部分進(jìn)行了精簡操作。標(biāo)準(zhǔn)文本中使用“低危、中危、高危、超?！?個等級。去掉參考文獻(xiàn)部分。完成《安全漏洞等級劃分指南》草案（第四版）3.7.1層次分析法介紹美國運(yùn)籌學(xué)家，T.L.Saaty等人在九十年代提出了一種能有效處理決策問題的實用方法，稱之為TheAnalyticHierarchyProcess(AHP)，將決策問題分為3個層次：目標(biāo)層，準(zhǔn)則層，措施層；每層有若干元素，各層元素間的關(guān)系用相連的直線表示。通過相互比較確定各準(zhǔn)則對目標(biāo)的權(quán)重，及各方案對每一準(zhǔn)則的權(quán)重。將上述兩組權(quán)重進(jìn)行綜合，確定各方案對目標(biāo)的權(quán)重。設(shè)現(xiàn)在要比較個因子對某因素的影響大小，怎樣比較才能提供可信的數(shù)據(jù)呢？Saaty等人建議可以采取對因子進(jìn)行兩兩比較建立成對比較矩陣的辦法。即每次取兩個因子和，以表示和對的影響大小之比，全部比較結(jié)果用矩陣表示，稱為之間的成對比較判斷矩陣（簡稱判斷矩陣）。容易看出，若與對的影響之比為，則與對的影響之比應(yīng)為。定義1若矩陣滿足（=1\*romani），（=2\*romanii）（）則稱之為正互反矩陣(易見，)。關(guān)于如何確定的值，Saaty等建議引用數(shù)字1~9及其倒數(shù)作為標(biāo)度。表3列出了1~9標(biāo)度的含義：表3比較判斷矩陣元素取值方法標(biāo)度含義1表示兩個因素相比，具有相同重要性3表示兩個因素相比，前者比后者稍重要5表示兩個因素相比，前者比后者明顯重要7表示兩個因素相比，前者比后者強(qiáng)烈重要9表示兩個因素相比，前者比后者極端重要2,4,6,8表示上述相鄰判斷的中間值倒數(shù)若因素與因素的重要性之比為，那么因素與因素重要性之比為。從心理學(xué)觀點來看，分級太多會超越人們的判斷能力，既增加了作判斷的難度，又容易因此而提供虛假數(shù)據(jù)。Saaty等人還用實驗方法比較了在各種不同標(biāo)度下人們判斷結(jié)果的正確性，實驗結(jié)果也表明，采用1~9標(biāo)度最為合適。判斷矩陣對應(yīng)于最大特征值的特征向量，經(jīng)歸一化后即為同一層次相應(yīng)因素對于上一層次某因素相對重要性的排序權(quán)值，這一過程稱為層次單排序。對決策者提供的判斷矩陣有必要作一次一致性檢驗，以決定是否能接受它。對判斷矩陣的一致性檢驗的步驟如下：（=1\*romani）計算一致性指標(biāo)（=2\*romanii）查找相應(yīng)的平均隨機(jī)一致性指標(biāo)。的值，如表4所示：表4一致性指數(shù)表123456789…1819000.580.901.121.241.321.411.45…1.62641.6327（ⅲ）計算一致性比例當(dāng)時，認(rèn)為判斷矩陣的一致性是可以接受的，否則應(yīng)對判斷矩陣作適當(dāng)修正。3.7.2層次分析法應(yīng)用由于不存在定量的指標(biāo)，單憑個人的主觀判斷雖然可以比較兩個因素的相對優(yōu)劣，但往往很難給出一個比較客觀的多因素優(yōu)劣次序。能不能把復(fù)雜的多因素綜合比較問題轉(zhuǎn)化為簡單的兩因素相對比較問題？為了解決這個問題，我們利用層次化分析方法。在決策時需要考慮的因素主要有：攻擊范圍[遠(yuǎn)程/鄰接/本地]攻擊復(fù)雜度[簡單/復(fù)雜]攻擊影響[完全/部分/輕微]三個要素的排列組合如表5所示。表5要素取值組合組合序號B1攻擊范圍B2攻擊復(fù)雜度B3攻擊影響C1遠(yuǎn)程簡單完全C2遠(yuǎn)程簡單部分C3遠(yuǎn)程簡單輕微C4遠(yuǎn)程復(fù)雜完全C5遠(yuǎn)程復(fù)雜部分C6遠(yuǎn)程復(fù)雜輕微C7鄰接簡單完全C8鄰接簡單部分C9鄰接簡單輕微C10鄰接復(fù)雜完全C11鄰接復(fù)雜部分C12鄰接復(fù)雜輕微C13本地簡單完全C14本地簡單部分C15本地簡單輕微C16本地復(fù)雜完全C17本地復(fù)雜部分C18本地復(fù)雜輕微首先找出所有兩兩比較的結(jié)果，并且把它們定量化；然后再運(yùn)用適當(dāng)?shù)臄?shù)學(xué)方法從所有兩兩相對比較的結(jié)果之中求出多因素綜合比較的結(jié)果。具體的操作模型如圖2所示，操作步驟如下：圖2等級劃分AHP模型步驟一：進(jìn)行兩兩相對比較，并把比較的結(jié)果定量化。首先我們把各個因素標(biāo)記為B1：攻擊范圍；B2：攻擊復(fù)雜度；B3：攻擊影響。不同準(zhǔn)則對目標(biāo)的成對比較矩陣如下：其全向量為W為：[0.25000.25000.5000]TCR=0<0.1一致性可接受步驟二：不同措施對攻擊范圍B1的影響的成對比較矩陣：其權(quán)重向量W1為：[0.11160.11160.11160.11160.11160.11160.04040.04040.04040.04040.04040.04040.01470.01470.01470.01470.01470.0147]TCR=0.0015<0.1一致性可接受步驟三：不同措施對攻擊復(fù)雜度B2的影響的成對比較矩陣：其權(quán)重向量W2為：[0.08330.08330.08330.02780.02780.02780.08330.08330.08330.02780.02780.02780.08330.08330.08330.02780.02780.0278]TCR=0<0.1一致性可接受步驟四：不同措施對攻擊影響B(tài)3的影響的成對比較矩陣：其權(quán)重向量W3為：[0.10620.04300.01750.10620.04300.01750.10620.04300.01750.10620.04300.01750.10620.04300.01750.10620.04300.0175]TCR=0.0084<0.1一致性可接受由此，各個方案相對于目標(biāo)層的總排序結(jié)果如表6所示。表6AHP結(jié)果統(tǒng)計C層對B層的相對權(quán)值攻擊范圍攻擊復(fù)雜度攻擊影響B(tài)10.25B20.25B30.50C層總排序C1遠(yuǎn)程簡單完全0.11160.08330.10620.1018C2遠(yuǎn)程簡單部分0.11160.08330.04300.0702C3遠(yuǎn)程簡單輕微0.11160.08330.01750.0575C4遠(yuǎn)程復(fù)雜完全0.11160.02780.10620.0880C5遠(yuǎn)程復(fù)雜部分0.11160.02780.04300.0563C6遠(yuǎn)程復(fù)雜輕微0.11160.02780.01750.0436C7鄰接簡單完全0.04040.08330.10620.0840C8鄰接簡單部分0.04040.08330.04300.0524C9鄰接簡單輕微0.04040.08330.01750.0397C10鄰接復(fù)雜完全0.04040.02780.10620.0702C11鄰接復(fù)雜部分0.04040.02780.04300.0386C12鄰接復(fù)雜輕微0.04040.02780.01750.0258C13本地簡單完全0.01470.08330.10620.0776C14本地簡單部分0.01470.08330.04300.0460C15本地簡單輕微0.01470.08330.01750.0333C16本地復(fù)雜完全0.01470.02780.10620.0637C17本地復(fù)雜部分0.01470.02780.04300.0321C18本地復(fù)雜輕微0.01470.02780.01750.0194 根據(jù)C層總排序結(jié)果，并劃分評級結(jié)果如表7所示。表7C層總排序與評級結(jié)果對照表C層原始分四舍五入分評級結(jié)果C10.10180.1超危C40.0880.09高危C70.0840.08高危C130.07760.08高危C20.07020.07高危C100.07020.07高危C160.06370.06中危C30.05750.06中危C50.05630.06中危C80.05240.05中危C140.0460.05中危C60.04360.04低危C90.03970.04低危C110.03860.04低危C150.03330.03低危C170.03210.03低危C120.02580.03低危C180.01940.02低危最終得到安全漏洞等級與三個評估要素的映射關(guān)系如表8所示。表8安全漏洞等級劃分方法映射表攻擊范圍攻擊復(fù)雜度攻擊影響漏洞等級遠(yuǎn)程簡單完全超危遠(yuǎn)程簡單部分高危遠(yuǎn)程復(fù)雜完全高危鄰接簡單完全高危鄰接復(fù)雜完全高危本地簡單完全高危遠(yuǎn)程簡單不影響中危遠(yuǎn)程復(fù)雜部分中危鄰接簡單部分中危本地簡單部分中危本地復(fù)雜完全中危遠(yuǎn)程復(fù)雜不影響低危鄰接簡單輕微低危鄰接復(fù)雜部分低危鄰接復(fù)雜不影響低危本地簡單不影響低危本地復(fù)雜部分低危本地復(fù)雜不影響低危課題組選取了120個漏洞樣本進(jìn)行了實驗，樣本選取充分考慮了不同平臺（Windows、AIX、LINUX、MACOS、Solaris等）、不同危害程度（低、中、高），涵蓋了不同年份（2004年~2011年）和不同類型軟件（應(yīng)用軟件、系統(tǒng)軟件、數(shù)據(jù)庫）的多種漏洞。得出的評價等級與實際情況較一致。3.8專家評審2011年11月18日，在中國信息安全測評中心向?qū)＜覅R報階段工作，專家對課題組采用AHP的方法給予充分肯定。課題組仔細(xì)聽取專家提出修改建議。專家建議及修改方案，請參看【專家意見匯總表-2011.11.18】3.9草案第五版2011年11月23-24日，課題組于北京召開第六次會議，討論專家評審意見修改事宜。課題組全體成員仔細(xì)閱讀標(biāo)準(zhǔn)文稿，針對專家的每一條建議對其加以修改：前言提及GB/T1.1-2009，并按照GB/T1.1-2009的格式編寫，規(guī)范性引用文件的引導(dǎo)語更新為最新版。增加“術(shù)語和定義”引導(dǎo)語。根據(jù)專家的建議，修改其中的部分文字描述內(nèi)容。根據(jù)專家建議，將三個安全漏洞評估要素有原來的“攻擊范圍”、“攻擊復(fù)雜度”、“攻擊影響”，分別改為“影響范圍”、“利用復(fù)雜度”和“影響程度”。增加資料性附錄，通過實際的案例說明本指南的使用方法。完成《安全漏洞等級劃分指南》草案（第五版）。資料性附錄目錄如下：附錄A（資料性附錄）安全漏洞等級劃分及示例 A.1安全漏洞等級劃分步驟 A.2安全漏洞等級劃分舉例 3.10草案第六版 2011年12月5日，課題組收到國家信息技術(shù)安全研究中心反饋意見，根據(jù)專家意見形成《安全漏洞等級劃分指南》草案第六版，具體修改內(nèi)容如下：前言 去掉前三句話引言 去掉第一段，第二段和第三段的有關(guān)描述進(jìn)行簡化。范圍 標(biāo)準(zhǔn)的規(guī)定和使用范圍界定清楚，重新描述3.5 攻擊范圍的描述，回避“攻擊”3.6 重新描述“利用復(fù)雜度”術(shù)語4.1.2 訪問范圍的賦值描述，增加一句話對鄰接的描述4.1.3 利用復(fù)雜度賦值的描述精煉一些4.1.4 表4中加一個“無”的描述4.2 表6中增加“攻擊范圍”對等級影響因素的描述4.2 表7中的“攻擊影響”應(yīng)為“影響程度”3.11草案第七版 2011年12月15日，課題組收到國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心反饋意見，根據(jù)專家意見形成《安全漏洞等級劃分指南》草案第七版，具體修改內(nèi)容如下：4.1.2將“范圍”改為“途徑”4.1.4 對信息安全三屬性的權(quán)重進(jìn)行微調(diào)3.12專家評審2012年3月2日，課題組在北京亞丁灣商務(wù)酒店向安標(biāo)委專家組匯報課題進(jìn)展情況，匯報內(nèi)容包括《安全漏洞等級劃分指南》草案第七版、標(biāo)準(zhǔn)編制說明、歷次專家反饋意見答復(fù)等內(nèi)容。本次專家評審會議未對標(biāo)準(zhǔn)文本提出修改意見。3.13專家評審及征求意見稿 2012年7月25日，安標(biāo)委專家組對課題進(jìn)展情況進(jìn)行了檢查。課題組內(nèi)容包括《安全漏洞等級劃分指南》草案第七版、標(biāo)準(zhǔn)編制說明、歷次專家反饋意見答復(fù)等內(nèi)容。專家提出建議如下：訪問途徑的名字最好修改一下在前言中加一句話“本標(biāo)準(zhǔn)按照GB/T1.1-2009給出的規(guī)則起草”增加一句話“下列術(shù)語和定義適用于本文件?！痹跇?biāo)準(zhǔn)正文最后增加一句話“安全漏洞等級劃分步驟及示例參見附錄A?！闭n題組根據(jù)專家意見形成《安全漏洞等級劃分指南》草案第八版（征求意見稿），更新了編制說明，新增加一個專家意見反饋表，形成了第六章中所列的標(biāo)準(zhǔn)框架和內(nèi)容。3.14專家評審及形成送審稿2013年1月6日，安標(biāo)委專家在北京應(yīng)物會議中心對《安全漏洞等級劃分指南》草案第八版進(jìn)行了檢查。會議上，安標(biāo)委工作人員將公安部十一局、國家保密局、國家密碼管理局、中國信息安全測評中心四家部門意見以及網(wǎng)上意見反饋給項目組，同時安標(biāo)委專家對《安全漏洞等級劃分指南》草案第八版中的內(nèi)容提出部分意見，總結(jié)整理如下：1）公安部十一局、國家保密局、國家密碼管理局、中國信息安全測評中心四家部門沒有對本標(biāo)準(zhǔn)的修改意見；2）網(wǎng)上意見反饋中沒有對本標(biāo)準(zhǔn)的修改意見；3）安標(biāo)委專家對本標(biāo)準(zhǔn)提出以下意見：在封面中的日期下面增加一句話“提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上”在前言中的全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會后面增加（SAC/TC260）引言中的兩句話其實在范圍說明中已進(jìn)行了描述，引言這兩句話沒有實際意義，且引言章節(jié)不是必須的，可以刪掉，能少則少正文第二章規(guī)范性引用文件和第三章術(shù)語要協(xié)調(diào)一致，如果引用文件中列出了“GB/T20984-2007”和“安全漏洞標(biāo)識與描述規(guī)范”，后面正文中沒有其他引用，則要刪除。同時，若在術(shù)語項中說明了上面兩個標(biāo)準(zhǔn)號，則3.1~3.4都要刪除。建議刪除規(guī)范性引用文件中的“GB/T20984-2007”和“安全漏洞標(biāo)識與描述規(guī)范”，同時將當(dāng)前術(shù)語中3.1~3.4的“選自”兩字去掉表5在兩頁中出現(xiàn)了，要在第二頁中加三個字“表5續(xù)”，同時表頭也要出現(xiàn)在下頁中建議表5中增加一行，將對序號27的說明放到表中，加“注：”課題組根據(jù)專家意見形成《安全漏洞等級劃分指南》送審稿，更新了編制說明，新增加一個專家意見反饋表。3.15專家函審及形成報批稿2013年1月6日至2013年1月21日，由信安標(biāo)委秘書處組織全體委員對標(biāo)準(zhǔn)送審稿進(jìn)行函審。所有委員確認(rèn)收到函審材料，均贊成，未提出修改意見和建議。根據(jù)秘書處意見對送審稿編制說明進(jìn)行了修改完善，形成報批稿。四、國內(nèi)外安全漏洞等級劃分情況4.1國際現(xiàn)狀目前國外主要有以下安全漏洞等級劃分相關(guān)規(guī)范，如表9所示：表9國外主要安全漏洞等級劃分規(guī)范評級機(jī)構(gòu)漏洞等級劃分依據(jù)備注Microsoft危急，高，中，低可利用性美國微軟公司FrSIRT嚴(yán)重，高，中，低可利用性和后果法國漏洞研究機(jī)構(gòu)，已變更為VUPENSANS高，中，低可利用性和后果美國安全研究和教育組織x-force高，中，低可利用性和后果被美國IBM公司收購Securia低、低危、中危、高危、極度嚴(yán)重可利用性和后果丹麥漏洞研究機(jī)構(gòu)US-CERT0-180綜合（9個方面的問題）美國計算機(jī)應(yīng)急響應(yīng)組織NVD高，中，低CVSS綜合（3個層次的計算）美國國家漏洞庫其中，NVD依據(jù)CVSS量化打分來確定等級，CVSS（CommonVulnerabilityScoringSystem）是目前國外主要安全漏洞等級打分規(guī)范。該打分規(guī)范2004年RSA大會上由CISCO、HP等眾多IT大腕公司聯(lián)合提出，具體由FIRST論壇管理。2007年6月發(fā)布CVSS版本2.0?？梢钥闯觯?dāng)前國際漏洞等級劃分領(lǐng)域尚無統(tǒng)一方法。4.2國內(nèi)現(xiàn)狀國內(nèi)安全漏洞庫相關(guān)領(lǐng)域的研究最早開始于研究機(jī)構(gòu)，有部分研究者從事安全漏洞庫的設(shè)計和實現(xiàn)工作，但他們的工作重點并不是收集和發(fā)布漏洞信息，而是通過整合漏洞屬性設(shè)計合理完善的漏洞庫結(jié)構(gòu)，因此這類漏洞庫并沒有投入實際應(yīng)用。隨著信息安全的發(fā)展，部分政府機(jī)構(gòu)、安全組織和公司開始根據(jù)自身的需求建立漏洞庫。表10對國內(nèi)較有影響力的漏洞庫做了簡要分析。表10國內(nèi)主要安全漏洞庫及等級劃分情況介紹中國國家信息安全漏洞庫國家信息安全漏洞共享平臺國家安全漏洞庫綠盟科技漏洞庫啟明星辰漏洞庫運(yùn)營單位中國信息安全測評中心國家互聯(lián)網(wǎng)應(yīng)急中心與國家信息技術(shù)安全研究中心等國家計算機(jī)網(wǎng)絡(luò)入侵防范中心等中聯(lián)綠盟信息技術(shù)（北京）有限公司北京啟明星辰信息技術(shù)有限公司安全漏洞屬性十一個屬性十四個屬性十九個屬性十個屬性十八個屬性危害等級劃分危急、高、中、低高、中、低緊急、高、中、低不詳高、中、低從表9和表10可以看出，現(xiàn)有安全漏洞庫在安全漏洞等級劃分上存在嚴(yán)重的不一致現(xiàn)象。我國缺乏國家標(biāo)準(zhǔn)的規(guī)范，容易造成用戶的誤解，也給信息共享、流通和應(yīng)用造成障礙。4.3項目組成果本標(biāo)準(zhǔn)的制定，將解決當(dāng)前評價方法驗證不一致的情況。并給出一個操作性強(qiáng)的評價方法。課題組對7家國際主流漏洞等級評定組織和機(jī)構(gòu)所考慮的漏洞屬性進(jìn)行了統(tǒng)計，結(jié)果下表所示。漏洞評價要素機(jī)構(gòu)、組織名稱訪問向量新的訪問向量訪問復(fù)雜度授權(quán)對完整性的影響對可用性的影響對保密性的影響報告可信度攻擊代碼可利用性修補(bǔ)情況分布潛能間接破壞風(fēng)險NVD√√√√√√√√√√√微軟√√√√√√FrSIRT√√√√√√US-CERT√√√√√√√√√√SANS√√√√√√√√Secunia√√√√√X-Force√√√√√√出現(xiàn)次數(shù)716555644342出現(xiàn)幾率（%）10014.2985.7171.4371.4371.4385.7157.1457.1442.8657.1428.57表中的12個漏洞屬性中，“報告可信度、攻擊代碼可利用性、修補(bǔ)情況、分布潛能、間接破壞風(fēng)險”等5個屬性都受外在因素影響。“新的攻擊向量”是微軟單獨(dú)提出，也隨著時間變化而發(fā)生變化。另外6個屬性分別為：訪問向量、訪問復(fù)雜度、授權(quán)、完整性、可用性和保密性，不會隨著時間和環(huán)境的變化而變化。通過統(tǒng)計得出，在7個組織機(jī)構(gòu)所定義的共12中基本屬性中，出現(xiàn)幾率70%以上的因素為6個，分別為訪問向量、訪問復(fù)雜度、授權(quán)、完整性、可用性和保密性，這也側(cè)面說明了這6個屬性的代表性，其他因素都低于60%。同時，認(rèn)為“訪問復(fù)雜度”和“授權(quán)”均屬于“攻擊復(fù)雜度”，因此二者合二為一；認(rèn)為“機(jī)密性”、“完整性”和“可用性”均反映的攻擊影響效果，因此將三者統(tǒng)稱為“攻擊影響”。課題組最終確定采用“攻擊范圍”、“攻擊復(fù)雜度”、“攻擊影響”三個方面，共計五個屬性（攻擊影響包括三個屬性）來評估安全漏洞，基本涵蓋了當(dāng)前國內(nèi)外主流機(jī)構(gòu)對漏洞基本屬性的元素。課題組使用定性評價的方法，為標(biāo)準(zhǔn)的閱讀者提供了安全漏洞危害等級劃分表，通過表中內(nèi)容不同排列組合方式便可完成等級劃分，可操作性好。五、與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)語現(xiàn)行法律、法規(guī)以及強(qiáng)制性國家標(biāo)準(zhǔn)沒有沖突與矛盾的地方。六、重大分歧意見的處理經(jīng)過和依據(jù)項目組在標(biāo)準(zhǔn)編制過程中，經(jīng)歷了內(nèi)部討論與論證、專家評審、外部專家意見征集、網(wǎng)上意見征集等各過程，項目組在工作過程中遵循編制原則，對國內(nèi)外現(xiàn)狀做了大量調(diào)研，使用了層次分析法作為理論方法，并從國家漏洞庫抽取了上百了漏洞進(jìn)行技術(shù)驗證，在驗證的基礎(chǔ)上不斷調(diào)完善整體思路和技術(shù)細(xì)節(jié)。在整個過程中未遇到重大意見分歧，但遇到各方面的專家意見和完善建議，共90多條各類專家意見。我們逐條針對每條意見、建議做了應(yīng)答和處理，廣納建議，更好的完善了我們的標(biāo)準(zhǔn)編制工作。具體意見處理情況參見歷次專家意見反饋表。七、國家標(biāo)準(zhǔn)作為強(qiáng)制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議建議本標(biāo)準(zhǔn)成為國家推薦性標(biāo)準(zhǔn)，適用于信息安全漏洞管理組織和信息安全漏洞發(fā)布機(jī)構(gòu)對信息安全漏洞危害程度的評估和認(rèn)定，并供信息安全產(chǎn)品生產(chǎn)、