安全漏洞如何分級?分析對比業界常用的三個漏洞等級劃分模型
近年來,網路安全威脅層出不窮,網路攻擊和資料洩露的事件頻發。既有多個知名網站大量使用者資訊洩露的事件;也有委內瑞拉國家電網幹線遭到攻擊,造成全國大面積停電的針對關鍵基礎設施實施的攻擊;還有烏克蘭武裝部隊的第聶伯羅軍隊自動化控制系統的伺服器使用者名稱和密碼分別為“admin”、“123456的弱密碼事件。可見小到資訊洩露,大到國家安全,網路安全關係著個人和國家的切身利益。 加我VX:atstudy-js 回覆“測試”,進入 自動化測試學習交流群~~
漏洞是計算機資訊系統在需求、設計、實現、配置、執行等過程中,有意或無意產生的缺陷。這些缺陷以不同的形式存在於計算機資訊系統的各個層次和環節之中,一旦被惡意主體所利用,就會對計算機資訊系統的安全造成損害,從而影響計算機資訊系統的正常執行。
根據漏洞的定義,漏洞本質上也是缺陷,對於缺陷而言,進行缺陷的分級是一個比較重要的議題,因為需要評估修復缺陷的優先順序。對於系統測試發現的缺陷,已有較為成熟的分級方案,大都是劃分為致命、嚴重、一般、輕微四個級別。
漏洞也需明確其嚴重程度劃分的標準。為判斷修復不同漏洞的優先順序提供依據。
本文先通過分析對比業界常用的三個漏洞等級劃分模型:網路安全漏洞分類分級指南、CVSS、DREAD來了解漏洞分級的通用思路。然後會選取兩個典型的漏洞來運用這三種模型進行漏洞的定級實踐。
【網路安全漏洞分類分級指南】
《GB/T 30279-2020 資訊保安技術 網路安全漏洞分類分級指南》是國家標準,該標準替代了《GB/T 33561-2017 資訊保安技術 安全漏洞分類》和《GB/T 30279-2013資訊保安技術 安全漏洞等級劃分指南》,將漏洞的分級方式劃分為技術分級和綜合分級。將分級指標劃分為被利用性指標類、影響程度指標類和環境因素指標類。
具體的分級過程是:
第一步:先對被利用性指標進行賦值,根據賦值結果,按照“被利用性分級表”得到漏洞的被利用性分級。
第二步:對影響程度指標進行賦值,根據賦值結果,按照“影響程度分級表”得到漏洞的影響程度分級。
第三步:根據漏洞的被利用分級和影響程度分級結果,按照“漏洞技術分級結果表”計算得到漏洞的技術分級結果。如果只是做漏洞的技術分級,那麼到這一步就結束了,如果還需進行綜合分級,則繼續下一步。
第四步:對環境因素指標進行賦值,根據賦值結果,按照“環境因素分級表”得到漏洞的環境因素分級。
第五步:根據漏洞的技術分級結果和環境因素分級結果,按照“漏洞綜合分級表”計算得到漏洞的綜合分級結果。
※※因原作者要求,文章僅顯示其中一部分,完整文章下載閱讀,可以直接私信我即可
最後:
可以我的 個人V:atstudy-js,可以免費領取一份10G軟體測試工程師面試寶典文件資料。以及相對應的視訊學習教程免費分享!,其中包括了有基礎知識、Linux必備、Mysql資料庫、抓包工具、介面測試工具、測試進階-Python程式設計、Web自動化測試、APP自動化測試、介面自動化測試、測試高階持續整合、測試架構開發測試框架、效能測試等。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31407649/viewspace-2854304/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 如何對BUG進行等級劃分?分享一份我整理的BUG等級劃分表
- 等保等級如何進行劃分的?
- 等級保護分為幾個等級?一級、二級、三級有什麼區別?
- 電力行業等保定級評級依據是什麼?分為幾個等級?行業
- 安全測試|網路安全漏洞分類分級指南、CVSS、DREAD的通用思路
- 網路安全級別劃分為幾個等級?網路安全入門
- IDC機房等級是怎樣劃分的?-VeCloudCloud
- 網路安全級別劃分為幾個等級?網路安全基礎教程
- 用python3進行成績等級劃分Python
- 一級鋼、二級鋼、三級鋼、四級鋼是如何分類的?
- 數字孿生成熟度解讀——等級劃分
- 如何對“神明”的級別進行分層
- 架構分層的小糾結-層級該如何劃分與定位?架構
- 劃分微服務邊界的5個特徵微服務特徵
- 等保五級怎麼劃分?適用於哪些系統?
- 深入理解Java的分級引用模型Java模型
- 【等保小知識】等保一級二級三級哪個要求更高?
- 企業儲存分級
- 【等級保護】等級保護共分為幾級?保護物件是指什麼?物件
- 黑鐵、青銅、白銀、黃金、鉑金、鑽石等級劃分
- 如何對Kafka 中的訊息實現優先分級?Kafka
- 網路安全漏洞的種類分為哪些?
- 【科普】等級保護與分級保護的區別和聯絡!
- 國外工作室技術美術評級參考,分8個方向3個等級
- [譯] 深度學習能力的三個等級深度學習
- 阿里巴巴員工等級劃分,你的程式設計水平在什麼位置?阿里程式設計
- 滑鼠劃過星級評分效果詳解
- 無邊界網路的劃分建立
- 等保二級和等保三級的三大區別講解
- 軟體測試培訓分享:如何劃分bug的嚴重級別
- 如何區分SSL證書的級別
- 什麼是等保三級?等保三級的認證流程有哪些?
- 三個規則劃分企業商機管理系統
- 初級安全入門——安全漏洞的檢測與利用
- EOS超級節點競選首個企業級社群!Wancloud滿分入圍!Cloud
- 等級保護三級是什麼意思?辦理三級等保有什麼好處?
- 等長子網劃分、變長子網劃分(網路整理)
- 《工業資料分類分級指南(試行)》解讀