《CNNVD漏洞分级规范》
作者:CNNVD 间:2015年10月10日
国家信息安全漏洞库(下称:CNNVD)使用《CNNVD漏洞分级规范》对漏洞进行分级,于2009年10月18日正式使用。
一、适用范围
凡是被CNNVD漏洞库收录的漏洞,均适用此分级规范,包括采集的公开漏洞以及收录的未公开漏洞。
二、漏洞分级办法
安全漏洞等级划分要素包括访问路径、利用复杂度和影响程度三方面。
Ø访问路径
访问路径的赋值包括:本地、邻接和远程,通常可被远程利用的安全漏洞危害程度高于可被邻接利用的安全漏洞,可本地利用的安全漏洞次之,见表1。
表1 访问路径赋值说明表
|
赋值 |
描述 |
|
本地 |
利用该安全漏洞要求攻击者物理接触到受攻击的系统,或者已具有一个本地账号。本地攻击示例:本地权限提升等。 |
|
邻接 |
利用该安全漏洞要求攻击者与受攻击系统同处于一个广播域或冲突域中。邻接攻击示例:蓝牙、IEEE 802.11等。 |
|
远程 |
不局限于本地和邻接。远程攻击示例:RPC缓冲区溢出漏洞。 |
Ø利用复杂度
利用复杂度的赋值包括:简单和复杂,通常利用复杂度为简单的安全漏洞危害程度高,见表2。
表2 攻击复杂度赋值说明表
|
赋值 |
描述 |
|
简单 |
无需借助外部条件,例如自动操作、无需授权即可完成攻击。 |
|
复杂 |
需要借助外部条件,例如需要人工参与点击文件、点击按钮或者用户授权。 |
Ø影响程度
影响程度的赋值包括:完全、部分、轻微和无,通常影响程度为完全的安全漏洞危害程度高于影响程度为部分的安全漏洞,影响程度为轻微的安全漏洞次之,影响程度为无的安全漏洞可被忽略,见表3。
表3 影响程度赋值说明表
|
赋值 |
描述 |
|
完全 |
安全漏洞对保密性、完整性和可用性的影响较严重,见表5序号1至7。 |
|
部分 |
安全漏洞对保密性、完整性和可用性影响相对较轻,见表5序号8至17。 |
|
轻微 |
安全漏洞对保密性、完整性和可用性影响最轻,见表5序号18至26。 |
|
无 |
安全漏洞对保密性、完整性和可用性影响均为无,见表5序号27 |
影响程度的赋值由安全漏洞对目标的保密性、完整性和可用性三个方面的影响共同导出,每个方面的影响赋值为:完全、部分和无,见表4。
表4 保密性、完整性和可用性影响赋值说明表
|
赋值 |
描述 |
|
完全 |
安全漏洞对保密性、完整性或可用性的影响较严重。 |
|
部分 |
安全漏洞对保密性、完整性或可用性影响相对较轻。 |
|
无 |
安全漏洞对保密性、完整性或可用性无影响。 |
表5 影响程度赋值对应表
|
序号 |
保密性影响 |
完整性影响 |
可用性影响 |
影响程度 |
|
1 |
完全 |
完全 |
完全 |
完全 |
|
2 |
完全 |
完全 |
部分 |
完全 |
|
3 |
完全 |
部分 |
完全 |
完全 |
|
4 |
完全 |
部分 |
部分 |
完全 |
|
5 |
部分 |
完全 |
完全 |
完全 |
|
6 |
部分 |
完全 |
部分 |
完全 |
|
7 |
部分 |
部分 |
完全 |
完全 |
|
8 |
完全 |
完全 |
无 |
部分 |
|
9 |
完全 |
部分 |
无 |
部分 |
|
10 |
完全 |
无 |
完全 |
部分 |
|
11 |
完全 |
无 |
部分 |
部分 |
|
12 |
部分 |
无 |
完全 |
部分 |
|
13 |
部分 |
完全 |
无 |
部分 |
|
14 |
无 |
完全 |
完全 |
部分 |
|
15 |
无 |
完全 |
部分 |
部分 |
|
16 |
无 |
部分 |
完全 |
部分 |
|
17 |
部分 |
部分 |
部分 |
部分 |
|
18 |
完全 |
无 |
无 |
轻微 |
|
19 |
部分 |
部分 |
无 |
轻微 |
|
20 |
部分 |
无 |
部分 |
轻微 |
|
21 |
部分 |
无 |
无 |
轻微 |
|
22 |
无 |
完全 |
无 |
轻微 |
|
23 |
无 |
部分 |
部分 |
轻微 |
|
24 |
无 |
部分 |
无 |
轻微 |
|
25 |
无 |
无 |
完全 |
轻微 |
|
26 |
无 |
无 |
部分 |
轻微 |
|
27 |
无 |
无 |
无 |
无 |
|
注:序号27表示对保密性、完整性、可用性均无影响,忽略此组合。 | ||||
表6 安全漏洞危害等级划分表
|
序号 |
访问路径 |
利用复杂度 |
影响程度 |
安全漏洞等级 |
|
1 |
远程 |
简单 |
完全 |
超危 |
|
2 |
远程 |
简单 |
部分 |
高危 |
|
3 |
远程 |
复杂 |
完全 |
高危 |
|
4 |
邻接 |
简单 |
完全 |
高危 |
|
5 |
邻接 |
复杂 |
完全 |
高危 |
|
6 |
本地 |
简单 |
完全 |
高危 |
|
7 |
远程 |
简单 |
轻微 |
中危 |
|
8 |
远程 |
复杂 |
部分 |
中危 |
|
9 |
邻接 |
简单 |
部分 |
中危 |
|
10 |
本地 |
简单 |
部分 |
中危 |
|
11 |
本地 |
复杂 |
完全 |
中危 |
|
12 |
远程 |
复杂 |
轻微 |
低危 |
|
13 |
邻接 |
简单 |
轻微 |
低危 |
|
14 |
邻接 |
复杂 |
部分 |
低危 |
|
15 |
邻接 |
复杂 |
轻微 |
低危 |
|
16 |
本地 |
简单 |
轻微 |
低危 |
|
17 |
本地 |
复杂 |
部分 |
低危 |
|
18 |
本地 |
复杂 |
轻微 |
低危 |
安全漏洞等级划分步骤及示例参见附录A。
三、与CVSS兼容规则
|
CNNVD漏洞分级 |
CVSS分值 |
|
超危 |
9~10 |
|
高危 |
7~9(<9) |
|
中危 |
4~7(<7) |
|
低危 |
(<0)0~4(<4) |
四、帮助
如有任何问题或了解更多信息,请发邮件至cnnvd@itsec.gov.cn
附 录 A(资料性附录)
安全漏洞等级划分步骤及示例
安全漏洞等级划分步骤包括:
a) 参照表1,确定访问路径的赋值;
b) 参照表2,确定利用复杂度的赋值;
c) 参照表4,分别确定保密性、完整性和可用性的影响赋值;
确定影响的步骤包括:
a) 确定保密性的赋值;
b) 确定完整性的赋值;
c) 确定可用性的赋值;
d) 参照表5,确定影响程度赋值;
e) 参照表6,根据访问路径、利用复杂度和影响程度的赋值,确定安全漏洞等级。
微软Windows RPC缓冲区溢出漏洞(CNNVD-200810-406),其安全漏洞等级划分步骤如下:
a) 参照表1,确定访问路径的赋值为“远程”;
b) 参照表2,确定利用复杂度的赋值为“简单”;
c) 参照表4,分别确定保密性、完整性和可用性的影响赋值;
确定影响的步骤包括:
a) 确定保密性赋值为“完全”;
b) 确定完整性赋值为“完全”;
c) 确定可用性赋值为“完全”;
d) 参照表5,确定影响程度赋值符合表5序号1的组合,为“完全”;
e) 参照表6,根据访问路径、利用复杂度和影响程度的赋值,确定安全漏洞等级符合 表6序号1的组合,为“超危”,见表A.1。
表A.1安全漏洞等级划分示例
|
漏洞编号 |
访问路径 |
利用复杂度 |
影响程度 |
安全漏洞等级 |
||
|
保密性 |
完整性 |
可用性 |
||||
|
完全 |
完全 |
完全 |
超危 |
|||
|
CNNVD-200810-406 |
远程 |
简单 |
完全 | |||
