《信息安全技術安全漏洞等級劃分指南》編制說明

1、PAGE 信息安全技術 安全漏洞等級劃分指南編制說明中國信息安全測評中心中國科學院研究生院國家計算機網(wǎng)絡入侵防范中心2013.01.06目錄頁 TOC o 1-3 h z u HYPERLINK l _Toc286050780 一、工作簡況 PAGEREF _Toc286050780 h 3 HYPERLINK l _Toc286050781 1.1 任務來源 PAGEREF _Toc286050781 h 3 HYPERLINK l _Toc286050782 1.2.1預研立項 PAGEREF _Toc286050782 h 3 HYPERLINK l _Toc286050783 1.2.

2、2預研結(jié)題 PAGEREF _Toc286050783 h 3 HYPERLINK l _Toc286050784 1.2.3標準立項 PAGEREF _Toc286050784 h 3 HYPERLINK l _Toc286050785 1.2 主要工作過程 PAGEREF _Toc286050785 h 4 HYPERLINK l _Toc286050786 1.3 主要起草人及其所做工作 PAGEREF _Toc286050786 h 4 HYPERLINK l _Toc286050787 二、編制原則及標準主要內(nèi)容 PAGEREF _Toc286050787 h 5 HYPERLINK

3、 l _Toc286050788 2.1編制原則 PAGEREF _Toc286050788 h 5 HYPERLINK l _Toc286050789 2.2 主要內(nèi)容 PAGEREF _Toc286050789 h 5 HYPERLINK l _Toc286050790 三、分析論證過程及有關實驗 PAGEREF _Toc286050790 h 6 HYPERLINK l _Toc286050791 3.1草案第一版 PAGEREF _Toc286050791 h 6 HYPERLINK l _Toc286050792 3.2專家評審 PAGEREF _Toc286050792 h 6 H

4、YPERLINK l _Toc286050793 3.3草案第二版 PAGEREF _Toc286050793 h 6 HYPERLINK l _Toc286050794 3.4專家評審 PAGEREF _Toc286050794 h 8 HYPERLINK l _Toc286050795 3.5草案第三版 PAGEREF _Toc286050795 h 8 HYPERLINK l _Toc286050796 3.6專家評審 PAGEREF _Toc286050796 h 10 HYPERLINK l _Toc286050797 3.7草案第四版 PAGEREF _Toc286050797 h

5、 10 HYPERLINK l _Toc286050798 3.8專家評審 PAGEREF _Toc286050798 h 18 HYPERLINK l _Toc286050799 3.9草案第五版 PAGEREF _Toc286050799 h 18 HYPERLINK l _Toc286050800 3.10 草案第六版 PAGEREF _Toc286050800 h 19 HYPERLINK l _Toc286050801 3.11草案第七版 PAGEREF _Toc286050801 h 19 HYPERLINK l _Toc286050802 3.12 專家評審 PAGEREF _T

6、oc286050802 h 19 HYPERLINK l _Toc286050803 3.13 專家評審及征求意見稿 PAGEREF _Toc286050803 h 20 HYPERLINK l _Toc286050804 3.14 專家評審及形成送審稿 PAGEREF _Toc286050804 h 20 HYPERLINK l _Toc286050805 3.15 專家函審及形成報批稿 PAGEREF _Toc286050805 h 21 HYPERLINK l _Toc286050806 四、國內(nèi)外安全漏洞等級劃分情況 PAGEREF _Toc286050806 h 21 HYPERLI

7、NK l _Toc286050807 4.1 國際現(xiàn)狀 PAGEREF _Toc286050807 h 21 HYPERLINK l _Toc286050808 4.2 國內(nèi)現(xiàn)狀 PAGEREF _Toc286050808 h 22 HYPERLINK l _Toc286050809 4.3 項目組成果 PAGEREF _Toc286050809 h 22 HYPERLINK l _Toc286050810 五、與有關的現(xiàn)行法律、法規(guī)和強制性國家標準的關系 PAGEREF _Toc286050810 h 24 HYPERLINK l _Toc286050811 六、重大分歧意見的處理經(jīng)過和依據(jù)

8、 PAGEREF _Toc286050811 h 24 HYPERLINK l _Toc286050812 七、國家標準作為強制性國家標準或推薦性國家標準的建議 PAGEREF _Toc286050812 h 24 HYPERLINK l _Toc286050813 八、貫徹國家標準的要求和措施建議 PAGEREF _Toc286050813 h 24 HYPERLINK l _Toc286050814 九、廢止現(xiàn)行有關標準的建議 PAGEREF _Toc286050814 h 24 HYPERLINK l _Toc286050815 十、其他應予說明的事項 PAGEREF _Toc28605

9、0815 h 24信息安全技術 安全漏洞等級劃分指南（征求意見稿）編制說明一、工作簡況1.1 任務來源2008年，經(jīng)國標委批準，全國信息安全標準化技術委員會（SAC/TC260）主任辦公會討論通過，研究制定信息安全技術 安全漏洞等級劃分指南國家標準,國標計劃號：20111600T-469。該項目由全國信息安全標準化技術委員會提出，全國信息安全標準化技術委員會歸口，由中國信息安全測評中心和中國科學院研究生院國家計算機網(wǎng)絡入侵防范中心聯(lián)合編制。信息安全技術 安全漏洞等級劃分指南是安標委2006年漏洞等級劃分標準基礎研究項目的延續(xù)。1.2.1預研立項2006年國家信息安全戰(zhàn)略研究與標準制定工作專項課

10、題安全漏洞危害等級劃分標準基礎研究，研究國際和國內(nèi)漏洞危害等級的評定現(xiàn)狀，通過對漏洞利用造成的后果、對系統(tǒng)安全屬性的危害、漏洞可利用的難易程度等方面的分析，總結(jié)影響漏洞安全危害等級的特征屬性選取、特征屬性的定性和定量分析、安全危害等級的綜合評價方法等內(nèi)容。1.2.2預研結(jié)題2008年完成漏洞等級劃分標準基礎研究課題。本課題，通過對國內(nèi)外漏洞等級劃分方法進行深入分析和研究，不僅能夠提高我國軟件與系統(tǒng)的安全性，同時對保障計算機軟件與系統(tǒng)安全，優(yōu)化我國網(wǎng)絡安全環(huán)境，構(gòu)筑我國網(wǎng)絡安全防御體系具有重要意義。1.2.3標準立項2008年12月，信息安全技術 安全漏洞等級劃分指南被全國信息安全標準化技術委員

11、會正式立項，定性為國家推薦性標準。中國信息安全測評中心和中國科學院研究生院國家計算機網(wǎng)絡入侵防范中心成立標準編制組，并于2008年12月召開第一次課題組會議，明確兩家單位分工并制定標準編制計劃。1.2 主要工作過程安全漏洞等級劃分指南制定過程包括前期的預研、標準立項、草案擬定、征求意見、專家評審、修改草案、形成征求意見稿、形成送審稿、形成報批稿等過程。其中“評審-修改”過程為反復執(zhí)行過程，目前經(jīng)歷過8次評審、征求意見和修改的過程，如圖1所示。圖1 工作過程流程圖8次評審或征求意見共征集到90多條意見和建議，我們逐條針對每條意見、建議做了應答和處理，廣納建議，更好的完善了我們的標準編制工作。具體

12、意見處理情況參見歷次專家意見反饋表。1.3 主要起草人及其所做工作編制單位共兩家，分別為：中國信息安全測評中心和中國科學院研究生院國家計算機網(wǎng)絡入侵防范中心。中國信息安全測評中心主要起草人有張翀斌、張寶峰等人，中國科學院研究生院國家計算機網(wǎng)絡入侵防范中心主要起草人有張玉清和劉奇旭等人。其中，張翀斌與張玉清負責編制思路討論、制定，調(diào)研國內(nèi)國際情況以及項目總體進度的把握；張寶峰負責標準中漏洞等級劃分元素選取與對比分析；劉奇旭負責漏洞等級劃分的方法，負責使用層次分析法分析、論證等級劃分結(jié)果等。其他參與人員負責從國家信息安全漏洞庫隨機選取上百個漏洞，進行實驗驗證。根據(jù)實驗驗證結(jié)果調(diào)整漏洞等級劃分方法。

13、二、編制原則及標準主要內(nèi)容2.1編制原則之所以有眾多的安全漏洞評級方法，是因為不同的研究者在不同的層次使用了不同的觀察角度。但所有研究者的共同目標是研究一個科學、合理、易于數(shù)據(jù)組織、便于相互交流并能直接應用于脆弱性評估工具的安全漏洞評級方法和標準。一個安全漏洞評級方法應該滿足以下原則：一致性：所用術語與已有的安全術語保持一致；開放性：必須是免費可利用可采納的，對任何人都開放使用。一個封閉的標準將不會被廣泛地實施，并且將不會幸存；廣泛性：必須能夠評價任何信息系統(tǒng)類型中的所有可能的脆弱性，即適用于不同的需要和不同的系統(tǒng)；互操作性：應該能與現(xiàn)有的技術和基礎設施配合運作，并且不依賴專用技術或形式；靈活

14、性：應該能夠針對不同的運行環(huán)境來定制不同的風險；簡易性：必須能夠簡單直接地理解、實現(xiàn)和使用；完備性：應該包括任何對安全漏洞有影響的因素；客觀性：要素的屬性值必須是從已知對象中獲得，并且能明確地觀測到；可重復性：不同的人對特定目標獨立地提取相同的屬性，其結(jié)果應當是一致的(也和客觀性相關)；可理解性：各要素易于被安全知識和安全經(jīng)驗不足的用戶和管理員理解；可接受性：評級科學、合理、準確，能夠被行業(yè)廣泛接受。2.2 主要內(nèi)容信息安全技術 安全漏洞等級劃分指南旨在通過對安全漏洞利用造成的后果、對系統(tǒng)安全屬性的危害、安全漏洞可利用的難易程度等方面的分析和研究，提出一套科學的、合理的信息安全漏洞安全危害等級

15、評定標準，用于安全漏洞處理、風險評估和風險減緩等方面工作的參考。信息安全技術 安全漏洞等級劃分指南預計將成為我國重要的信息安全技術標準，并為國家信息安全保障提供強有力的技術支撐。三、分析論證過程及有關實驗3.1草案第一版2008年12月-2009年11月，課題組研究、分析CVSS等相關國內(nèi)外標準及動態(tài)。調(diào)查分析包括美國國家漏洞庫NVD在內(nèi)的多家國外漏洞庫，研究其安全漏洞等級劃分情況，調(diào)研收集資料，編制標準草案。2009年11月，課題組召開第二次會議，準備12月份的階段檢查工作，形成安全漏洞等級劃分指南草案（第一版）。標準大綱包括：1 范圍2術語和定義3 安全漏洞等級劃分方法3.1 等級劃分原則

16、3.2 等級劃分要素3.3 等級劃分在漏洞等級劃分體系中，包括以下四方面的要素：Vectors of Attack(攻擊向量)New Vector of Attack(新的攻擊向量)Unique Data Destruction(獨特數(shù)據(jù)的破壞)Significant Service Disruption(重要服務的拒絕)3.2專家評審2009年12月16日，在北京應物會議中心向?qū)＜覅R報階段工作。仔細聽取專家提出修改建議。專家建議及修改方案，請參看【專家意見匯總表-2009.12.16】3.3草案第二版2009年12月18日，課題組于中國信息安全測評中心召開第三次會議，討論專家評審意見修改事宜

17、。課題組全體成員仔細閱讀標準文稿，針對專家的每一條建議對其加以修改：經(jīng)過了解，已有專門的國標制定項目，擬直接引用。漏洞是信息技術、信息產(chǎn)品、信息系統(tǒng)在需求、設計、實現(xiàn)、配置、運行等過程中，有意或無意產(chǎn)生的脆弱性，這些脆弱性以不同形式存在于信息系統(tǒng)的各個層次和環(huán)節(jié)之中，可以被惡意主體所利用，從而對信息系統(tǒng)的安全造成損害，影響構(gòu)建于信息系統(tǒng)之上正常服務的運行，危害信息系統(tǒng)及信息的安全屬性。由第一版的“攻擊向量”、“新的攻擊向量”、“獨特數(shù)據(jù)的破壞”和“重要服務的拒絕”四個方面的屬性，調(diào)整為“攻擊范圍”、“攻擊復雜度”和“攻擊影響”三個方面的屬性，其中“攻擊影響”包括“機密性”、“完整性”和“可用性

18、”三個屬性。由于漏洞的不可預測性，沒有辦法證明屬性是否完備。課題組采取了廣泛調(diào)研、最佳實踐的方法最終選擇5個屬性。能夠基本涵蓋當前國際主流的等級劃分標準以及滿足實際工作需要。課題組將安全漏洞級別劃分為“緊急、高、中、低”四個級別。 完成安全漏洞等級劃分指南草案（第二版）下面重點介紹一下四個級別選取的方法。課題組對7家國際主流漏洞等級評定組織和機構(gòu)所考慮的漏洞屬性進行了統(tǒng)計，結(jié)果如表1所示。課題組認為，低中高三個等級簡單易懂，但各等級涵蓋幅度較寬，未考慮主要矛盾（最嚴重的少部分漏洞）。四個等級符合工作實際。在原來低中高等級的基礎上，把高等級中那些最嚴重的漏洞再劃分為一個等級，予以重點關注。因為極

19、其嚴重的漏洞往往需要我們重點采取消控措施。根據(jù)實踐工作，當前CNNVD漏洞庫采用四個劃分等級，與課題組研究結(jié)論相符。因此，課題組選擇四個等級，即安全漏洞被分為緊急、高、中、低4個級別。表1 國際主流安全漏洞等級評定結(jié)果名稱漏洞等級劃分級別具體內(nèi)容優(yōu)點缺點NVD3低、中、高清晰，易理解劃分范圍較寬，未體現(xiàn)高危漏洞X-Force3低、中、高清晰，易理解沒有客觀打分的細節(jié)，劃分范圍較寬，未體現(xiàn)高危漏洞FrSIRT4低、中、高、緊急清晰，層次合理考慮因素較少微軟4不適用、中等、重要、嚴重考慮因素較詳細分類不明確，考慮因素較少Secunia5低、低危、中危、高危、極度嚴重劃分較詳細考慮因素較少，分界模糊

20、3.4專家評審2010年5月10日，在北京應物會議中心向?qū)＜覅R報階段工作。仔細聽取專家提出修改建議。專家建議及修改方案，請參看【專家意見匯總表-2010.05.10】3.5草案第三版2010年5月11日，課題組于中國信息安全測評中心召開第四次會議，討論專家評審意見修改事宜。課題組全體成員仔細閱讀標準文稿，針對專家的每一條建議對其加以修改：目前沒有一個標準來識別哪些機構(gòu)或單位的資產(chǎn)是以機密性為主還是完整性為主。國外也沒有對保密性、完整性和機密性進行賦予權值來劃分安全漏洞的做法。使用GB 1.1的標準格式，對文字的描述語言進行精煉。同意使用定性的評定方法，增加語言描述，使得指標盡量具有可操作性。盡

21、量避免“廣泛”、“少量”等不好衡量的詞語。將攻擊影響的高、中、低修改為：完全、部分、輕微、N/A。將安全漏洞危害程度有原來的“緊急、高、中、低”變?yōu)椤俺?、高危、中危、低?！?個等級完成安全漏洞等級劃分指南草案（第三版）安全漏洞等級劃分要素選取過程如下：課題組對7家國際主流漏洞等級評定組織和機構(gòu)所考慮的漏洞屬性進行了統(tǒng)計，結(jié)果如表2所示。表2中的12個漏洞屬性中，“報告可信度、攻擊代碼可利用性、修補情況、分布潛能、間接破壞風險”等5個屬性都受外在因素影響。“新的攻擊向量”是微軟單獨提出，也隨著時間變化而發(fā)生變化。另外6個屬性分別為：訪問向量、訪問復雜度、授權、完整性、可用性和保密性，不會隨著時

22、間和環(huán)境的變化而變化。通過統(tǒng)計得出，在7個組織機構(gòu)所定義的共12中基本屬性中，出現(xiàn)幾率70%以上的因素為6個，分別為訪問向量、訪問復雜度、授權、完整性、可用性和保密性，這也側(cè)面說明了這6個屬性的代表性，其他因素都低于60%。同時，認為“訪問復雜度”和“授權”均屬于“攻擊復雜度”，因此二者合二為一；認為“機密性”、“完整性”和“可用性”均反映的攻擊影響效果，因此將三者統(tǒng)稱為“攻擊影響”。因此，課題組最終確定采用“攻擊范圍”、“攻擊復雜度”、“攻擊影響”三個方面，共計五個屬性（攻擊影響包括三個屬性）來評估安全漏洞。表2 安全漏洞屬性統(tǒng)計 漏洞評價要素機構(gòu)、組織名稱訪問向量新的訪問向量訪問復雜度授權

23、對完整性的影響對可用性的影響對保密性的影響報告可信度攻擊代碼可利用性修補情況分布潛能間接破壞風險NVD微軟FrSIRTUS-CERTSANSSecuniaX-Force出現(xiàn)次數(shù)716555644342出現(xiàn)幾率（%）10014.2985.7171.4371.4371.4385.7157.1457.1442.8657.1428.573.6專家評審2011年6月10日，在中國信息安全測評中心向?qū)＜覅R報階段工作。仔細聽取專家提出修改建議。專家建議及修改方案，請參看【專家意見匯總表-2011.06.10】3.7草案第四版2011年6月13日，課題組于中國信息安全測評中心召開第五次會議，討論專家評審意見修

24、改事宜。課題組全體成員仔細閱讀標準文稿，針對專家的每一條建議對其加以修改：采用層次分析法（AHP）進行分析推導，進而得出等級劃分結(jié)論。統(tǒng)一使用危害等級的描述安全漏洞的風險。對標準文本的“范圍”和“原則”部分進行了精簡操作。標準文本中使用“低危、中危、高危、超危”4個等級。去掉參考文獻部分。完成安全漏洞等級劃分指南草案（第四版）3.7.1 層次分析法介紹美國運籌學家，T.L.Saaty等人在九十年代提出了一種能有效處理決策問題的實用方法，稱之為The Analytic Hierarchy Process (AHP)，將決策問題分為3個層次：目標層，準則層，措施層；每層有若干元素，各層元素間的關系

25、用相連的直線表示。通過相互比較確定各準則對目標的權重，及各方案對每一準則的權重。將上述兩組權重進行綜合，確定各方案對目標的權重。設現(xiàn)在要比較個因子對某因素的影響大小，怎樣比較才能提供可信的數(shù)據(jù)呢？Saaty等人建議可以采取對因子進行兩兩比較建立成對比較矩陣的辦法。即每次取兩個因子和，以表示和對的影響大小之比，全部比較結(jié)果用矩陣表示，稱為之間的成對比較判斷矩陣（簡稱判斷矩陣）。容易看出，若與對的影響之比為，則與對的影響之比應為。定義1 若矩陣滿足（ = 1 * roman i），（ = 2 * roman ii）（）則稱之為正互反矩陣(易見，)。關于如何確定的值，Saaty等建議引用數(shù)字19及其

26、倒數(shù)作為標度。表3列出了19標度的含義：表3 比較判斷矩陣元素取值方法標度含 義1表示兩個因素相比，具有相同重要性3表示兩個因素相比，前者比后者稍重要5表示兩個因素相比，前者比后者明顯重要7表示兩個因素相比，前者比后者強烈重要9表示兩個因素相比，前者比后者極端重要2,4,6,8表示上述相鄰判斷的中間值倒數(shù)若因素與因素的重要性之比為，那么因素與因素重要性之比為。從心理學觀點來看，分級太多會超越人們的判斷能力，既增加了作判斷的難度，又容易因此而提供虛假數(shù)據(jù)。Saaty等人還用實驗方法比較了在各種不同標度下人們判斷結(jié)果的正確性，實驗結(jié)果也表明，采用19標度最為合適。判斷矩陣對應于最大特征值的特征向量

27、，經(jīng)歸一化后即為同一層次相應因素對于上一層次某因素相對重要性的排序權值，這一過程稱為層次單排序。對決策者提供的判斷矩陣有必要作一次一致性檢驗，以決定是否能接受它。對判斷矩陣的一致性檢驗的步驟如下：（ = 1 * roman i）計算一致性指標 （ = 2 * roman ii）查找相應的平均隨機一致性指標。的值，如表4所示：表4 一致性指數(shù)表1 2 3 4 5 6 7 8 9 18 190 0 0.58 0.90 1.12 1.24 1.32 1.41 1.45 1.6264 1.6327（）計算一致性比例 當時，認為判斷矩陣的一致性是可以接受的，否則應對判斷矩陣作適當修正。3.7.2 層次分

28、析法應用由于不存在定量的指標，單憑個人的主觀判斷雖然可以比較兩個因素的相對優(yōu)劣，但往往很難給出一個比較客觀的多因素優(yōu)劣次序。能不能把復雜的多因素綜合比較問題轉(zhuǎn)化為簡單的兩因素相對比較問題？為了解決這個問題，我們利用層次化分析方法。在決策時需要考慮的因素主要有：攻擊范圍遠程/鄰接/本地攻擊復雜度簡單/復雜攻擊影響完全/部分/輕微三個要素的排列組合如表5所示。表5 要素取值組合組合序號B1 攻擊范圍B2 攻擊復雜度B3 攻擊影響C1遠程簡單完全C2遠程簡單部分C3遠程簡單輕微C4遠程復雜完全C5遠程復雜部分C6遠程復雜輕微C7鄰接簡單完全C8鄰接簡單部分C9鄰接簡單輕微C10鄰接復雜完全C11鄰接

29、復雜部分C12鄰接復雜輕微C13本地簡單完全C14本地簡單部分C15本地簡單輕微C16本地復雜完全C17本地復雜部分C18本地復雜輕微首先找出所有兩兩比較的結(jié)果，并且把它們定量化；然后再運用適當?shù)臄?shù)學方法從所有兩兩相對比較的結(jié)果之中求出多因素綜合比較的結(jié)果。具體的操作模型如圖2所示，操作步驟如下：圖2 等級劃分AHP模型步驟一：進行兩兩相對比較，并把比較的結(jié)果定量化。首先我們把各個因素標記為B1：攻擊范圍；B2：攻擊復雜度；B3：攻擊影響。不同準則對目標的成對比較矩陣如下：其全向量為W為：0.2500 0.2500 0.5000TCR = 0 0.1 一致性可接受步驟二：不同措施對攻擊范圍B1

30、的影響的成對比較矩陣：其權重向量W1為： 0.1116 0.1116 0.1116 0.1116 0.1116 0.1116 0.0404 0.0404 0.0404 0.0404 0.0404 0.0404 0.0147 0.0147 0.0147 0.0147 0.0147 0.0147TCR = 0.0015 0.1一致性可接受步驟三：不同措施對攻擊復雜度B2的影響的成對比較矩陣：其權重向量W2為：0.0833 0.0833 0.0833 0.0278 0.0278 0.0278 0.0833 0.0833 0.0833 0.0278 0.0278 0.0278 0.0833 0.083

31、3 0.0833 0.0278 0.0278 0.0278TCR = 0 0.1一致性可接受步驟四：不同措施對攻擊影響B(tài)3的影響的成對比較矩陣：其權重向量W3為：0.1062 0.0430 0.0175 0.1062 0.0430 0.0175 0.1062 0.0430 0.0175 0.1062 0.0430 0.0175 0.1062 0.0430 0.0175 0.1062 0.0430 0.0175TCR = 0.0084 0.1一致性可接受由此，各個方案相對于目標層的總排序結(jié)果如表6所示。表6 AHP結(jié)果統(tǒng)計C層對B層的相對權值攻擊范圍攻擊復雜度攻擊影響B(tài)10.25B20.25B3

32、0.50C層總排序C1遠程簡單完全0.11160.08330.10620.1018C2遠程簡單部分0.11160.08330.04300.0702C3遠程簡單輕微0.11160.08330.01750.0575C4遠程復雜完全0.11160.02780.10620.0880C5遠程復雜部分0.11160.02780.04300.0563C6遠程復雜輕微0.11160.02780.01750.0436C7鄰接簡單完全0.04040.08330.10620.0840C8鄰接簡單部分0.04040.08330.04300.0524C9鄰接簡單輕微0.04040.08330.01750.0397C10

33、鄰接復雜完全0.04040.02780.10620.0702C11鄰接復雜部分0.04040.02780.04300.0386C12鄰接復雜輕微0.04040.02780.01750.0258C13本地簡單完全0.01470.08330.10620.0776C14本地簡單部分0.01470.08330.04300.0460C15本地簡單輕微0.01470.08330.01750.0333C16本地復雜完全0.01470.02780.10620.0637C17本地復雜部分0.01470.02780.04300.0321C18本地復雜輕微0.01470.02780.01750.0194根據(jù)C層總排

34、序結(jié)果，并劃分評級結(jié)果如表7所示。表7 C層總排序與評級結(jié)果對照表C層原始分四舍五入分評級結(jié)果C10.10180.1超危C40.0880.09高危C70.0840.08高危C130.07760.08高危C20.07020.07高危C100.07020.07高危C 160.06370.06中危C 30.05750.06中危C 50.05630.06中危C 80.05240.05中危C 140.0460.05中危C 60.04360.04低危C 90.03970.04低危C 110.03860.04低危C 150.03330.03低危C 170.03210.03低危C 120.02580.03低危

35、C 180.01940.02低危最終得到安全漏洞等級與三個評估要素的映射關系如表8所示。表8 安全漏洞等級劃分方法映射表攻擊范圍攻擊復雜度攻擊影響漏洞等級遠程簡單完全超危遠程簡單部分高危遠程復雜完全高危鄰接簡單完全高危鄰接復雜完全高危本地簡單完全高危遠程簡單不影響中危遠程復雜部分中危鄰接簡單部分中危本地簡單部分中危本地復雜完全中危遠程復雜不影響低危鄰接簡單輕微低危鄰接復雜部分低危鄰接復雜不影響低危本地簡單不影響低危本地復雜部分低危本地復雜不影響低危課題組選取了120個漏洞樣本進行了實驗，樣本選取充分考慮了不同平臺（Windows、AIX、LINUX、MAC OS、Solaris等）、不同危害程

36、度（低、中、高），涵蓋了不同年份（2004年2011年）和不同類型軟件（應用軟件、系統(tǒng)軟件、數(shù)據(jù)庫）的多種漏洞。得出的評價等級與實際情況較一致。3.8專家評審2011年11月18日，在中國信息安全測評中心向?qū)＜覅R報階段工作，專家對課題組采用AHP的方法給予充分肯定。課題組仔細聽取專家提出修改建議。專家建議及修改方案，請參看【專家意見匯總表-2011.11.18】3.9草案第五版2011年11月23-24日，課題組于北京召開第六次會議，討論專家評審意見修改事宜。課題組全體成員仔細閱讀標準文稿，針對專家的每一條建議對其加以修改：前言提及GB/T 1.1-2009，并按照GB/T1.1-2009的格

37、式編寫，規(guī)范性引用文件的引導語更新為最新版。增加“術語和定義”引導語。根據(jù)專家的建議，修改其中的部分文字描述內(nèi)容。根據(jù)專家建議，將三個安全漏洞評估要素有原來的“攻擊范圍”、“攻擊復雜度”、“攻擊影響”，分別改為“影響范圍”、“利用復雜度”和“影響程度”。增加資料性附錄，通過實際的案例說明本指南的使用方法。完成安全漏洞等級劃分指南草案（第五版）。資料性附錄目錄如下：附錄A（資料性附錄）安全漏洞等級劃分及示例A.1安全漏洞等級劃分步驟A.2安全漏洞等級劃分舉例3.10 草案第六版2011年12月5日，課題組收到國家信息技術安全研究中心反饋意見，根據(jù)專家意見形成安全漏洞等級劃分指南草案第六版，具體修

38、改內(nèi)容如下：前言去掉前三句話引言去掉第一段，第二段和第三段的有關描述進行簡化。范圍標準的規(guī)定和使用范圍界定清楚，重新描述3.5 攻擊范圍的描述，回避“攻擊”3.6 重新描述“利用復雜度”術語4.1.2訪問范圍的賦值描述，增加一句話對鄰接的描述4.1.3利用復雜度賦值的描述精煉一些4.1.4表4中加一個“無”的描述4.2 表6中增加“攻擊范圍”對等級影響因素的描述4.2 表7中的“攻擊影響”應為“影響程度”3.11草案第七版2011年12月15日，課題組收到國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心反饋意見，根據(jù)專家意見形成安全漏洞等級劃分指南草案第七版，具體修改內(nèi)容如下：4.1.2 將“范圍”改為“途

39、徑”4.1.4對信息安全三屬性的權重進行微調(diào)3.12 專家評審2012年3月2日，課題組在北京亞丁灣商務酒店向安標委專家組匯報課題進展情況，匯報內(nèi)容包括安全漏洞等級劃分指南草案第七版、標準編制說明、歷次專家反饋意見答復等內(nèi)容。本次專家評審會議未對標準文本提出修改意見。3.13 專家評審及征求意見稿2012年7月25日，安標委專家組對課題進展情況進行了檢查。課題組內(nèi)容包括安全漏洞等級劃分指南草案第七版、標準編制說明、歷次專家反饋意見答復等內(nèi)容。專家提出建議如下：訪問途徑的名字最好修改一下 在前言中加一句話“本標準按照GB/T 1.1-2009給出的規(guī)則起草”增加一句話“下列術語和定義適用于本文件

40、?！痹跇藴收淖詈笤黾右痪湓挕鞍踩┒吹燃墑澐植襟E及示例參見附錄A?！闭n題組根據(jù)專家意見形成安全漏洞等級劃分指南草案第八版（征求意見稿），更新了編制說明，新增加一個專家意見反饋表，形成了第六章中所列的標準框架和內(nèi)容。3.14 專家評審及形成送審稿2013年1月6日，安標委專家在北京應物會議中心對安全漏洞等級劃分指南草案第八版進行了檢查。會議上，安標委工作人員將公安部十一局、國家保密局、國家密碼管理局、中國信息安全測評中心四家部門意見以及網(wǎng)上意見反饋給項目組，同時安標委專家對安全漏洞等級劃分指南草案第八版中的內(nèi)容提出部分意見，總結(jié)整理如下：1）公安部十一局、國家保密局、國家密碼管理局、中國信息安

41、全測評中心四家部門沒有對本標準的修改意見；2）網(wǎng)上意見反饋中沒有對本標準的修改意見；3）安標委專家對本標準提出以下意見：在封面中的日期下面增加一句話“提交反饋意見時，請將您知道的相關專利連同支持性文件一并附上”在前言中的全國信息安全標準化技術委員會后面增加（SAC/TC260）引言中的兩句話其實在范圍說明中已進行了描述，引言這兩句話沒有實際意義，且引言章節(jié)不是必須的，可以刪掉，能少則少正文第二章規(guī)范性引用文件和第三章術語要協(xié)調(diào)一致，如果引用文件中列出了“GB/T 20984-2007”和“安全漏洞標識與描述規(guī)范”，后面正文中沒有其他引用，則要刪除。同時，若在術語項中說明了上面兩個標準號，則3.

42、13.4都要刪除。建議刪除規(guī)范性引用文件中的“GB/T 20984-2007”和“安全漏洞標識與描述規(guī)范”，同時將當前術語中3.13.4的“選自”兩字去掉表5在兩頁中出現(xiàn)了，要在第二頁中加三個字“表5續(xù)”，同時表頭也要出現(xiàn)在下頁中建議表5中增加一行，將對序號27的說明放到表中，加“注：”課題組根據(jù)專家意見形成安全漏洞等級劃分指南送審稿，更新了編制說明，新增加一個專家意見反饋表。3.15 專家函審及形成報批稿2013年1月6日至2013年1月21日，由信安標委秘書處組織全體委員對標準送審稿進行函審。所有委員確認收到函審材料，均贊成，未提出修改意見和建議。根據(jù)秘書處意見對送審稿編制說明進行了修改完

43、善，形成報批稿。四、國內(nèi)外安全漏洞等級劃分情況4.1 國際現(xiàn)狀目前國外主要有以下安全漏洞等級劃分相關規(guī)范，如表9 所示：表9 國外主要安全漏洞等級劃分規(guī)范評級機構(gòu)漏洞等級劃分依據(jù)備注Microsoft危急，高，中，低可利用性美國微軟公司FrSIRT嚴重，高，中，低可利用性和后果法國漏洞研究機構(gòu)，已變更為VUPENSANS高，中，低可利用性和后果美國安全研究和教育組織x-force高，中，低可利用性和后果被美國IBM公司收購Securia低、低危、中危、高危、極度嚴重可利用性和后果丹麥漏洞研究機構(gòu)US-CERT0-180綜合（9個方面的問題）美國計算機應急響應組織NVD高，中，低CVSS綜合（3

44、個層次的計算）美國國家漏洞庫其中，NVD依據(jù)CVSS量化打分來確定等級，CVSS（Common Vulnerability Scoring System）是目前國外主要安全漏洞等級打分規(guī)范。該打分規(guī)范2004年RSA大會上由CISCO、HP等眾多IT大腕公司聯(lián)合提出，具體由FIRST論壇管理。2007年6月發(fā)布CVSS版本2.0?？梢钥闯觯斍皣H漏洞等級劃分領域尚無統(tǒng)一方法。4.2 國內(nèi)現(xiàn)狀國內(nèi)安全漏洞庫相關領域的研究最早開始于研究機構(gòu)，有部分研究者從事安全漏洞庫的設計和實現(xiàn)工作，但他們的工作重點并不是收集和發(fā)布漏洞信息，而是通過整合漏洞屬性設計合理完善的漏洞庫結(jié)構(gòu)，因此這類漏洞庫并沒有投入實際應用。隨著信息安全的發(fā)展，部分政府機構(gòu)、安全組織和公司開始根據(jù)自身的需求建立漏洞庫。表10對國內(nèi)較有影響力的漏洞庫做了簡要分析。表10 國內(nèi)主要安全漏洞庫及等級劃分情況介紹中國國家信息安全漏洞庫國家信息安全漏洞共享平臺國家安全漏洞庫綠盟科技漏洞庫啟明星辰漏洞庫運營單位中國信息安全測評中心國家互聯(lián)網(wǎng)應急中心與國家信息技術安全研究中心等國家計算機網(wǎng)絡入侵防范中心等中聯(lián)綠盟信息技術（北京）有限公司北京啟明星辰信息技術有限公司安全漏洞屬性十一個屬性十四個屬性十九個屬性十個屬性十八個屬性危害等級劃分危急、高、中、低高、中、低緊急、高、中、低不詳高、中