安全測試｜網路安全漏洞分類分級指南、CVSS、DREAD的通用思路

近年來，網路安全威脅層出不窮，網路攻擊和資料洩露的事件頻發。既有多個知名網站大量使用者資訊洩露的事件；也有委內瑞拉國家電網幹線遭到攻擊，造成全國大面積停電的針對關鍵基礎設施實施的攻擊；還有烏克蘭武裝部隊的第聶伯羅軍隊自動化控制系統的伺服器使用者名稱和密碼分別為“admin”、“123456的弱密碼事件。可見小到資訊洩露，大到國家安全，網路安全關係著個人和國家的切身利益。 加我VX：atstudy-js 回覆“測試”，進入 自動化測試學習交流群~~

漏洞是計算機資訊系統在需求、設計、實現、配置、執行等過程中，有意或無意產生的缺陷。這些缺陷以不同的形式存在於計算機資訊系統的各個層次和環節之中，一旦被惡意主體所利用，就會對計算機資訊系統的安全造成損害，從而影響計算機資訊系統的正常執行。

根據漏洞的定義，漏洞本質上也是缺陷，對於缺陷而言，進行缺陷的分級是一個比較重要的議題，因為需要評估修復缺陷的優先順序。對於系統測試發現的缺陷，已有較為成熟的分級方案，大都是劃分為致命、嚴重、一般、輕微四個級別。

漏洞也需明確其嚴重程度劃分的標準。為判斷修復不同漏洞的優先順序提供依據。

本文先通過分析對比業界常用的三個漏洞等級劃分模型：網路安全漏洞分類分級指南、CVSS、DREAD來了解漏洞分級的通用思路。然後會選取兩個典型的漏洞來運用這三種模型進行漏洞的定級實踐。

【網路安全漏洞分類分級指南】

《GB/T 30279-2020 資訊保安技術 網路安全漏洞分類分級指南》是國家標準，該標準替代了《GB/T 33561-2017 資訊保安技術 安全漏洞分類》和《GB/T 30279-2013 資訊保安技術 安全漏洞等級劃分指南》，將漏洞的分級方式劃分為技術分級和綜合分級。將分級指標劃分為被利用性指標類、影響程度指標類和環境因素指標類。

具體的分級過程是：

第一步：先對被利用性指標進行賦值，根據賦值結果，按照“被利用性分級表”得到漏洞的被利用性分級。

第二步：對影響程度指標進行賦值，根據賦值結果，按照“影響程度分級表”得到漏洞的影響程度分級。

第三步：根據漏洞的被利用分級和影響程度分級結果，按照“漏洞技術分級結果表”計算得到漏洞的技術分級結果。如果只是做漏洞的技術分級，那麼到這一步就結束了，如果還需進行綜合分級，則繼續下一步。

第四步：對環境因素指標進行賦值，根據賦值結果，按照“環境因素分級表”得到漏洞的環境因素分級。

第五步：根據漏洞的技術分級結果和環境因素分級結果，按照“漏洞綜合分級表”計算得到漏洞的綜合分級結果。

可以我的個人V：atstudy-js，可以免費領取一份10G軟體測試工程師面試寶典文件資料。以及相對應的視訊學習教程免費分享！，其中包括了有基礎知識、Linux必備、Mysql資料庫、抓包工具、介面測試工具、測試進階-Python程式設計、Web自動化測試、APP自動化測試、介面自動化測試、測試高階持續整合、測試架構開發測試框架、效能測試等。

這些測試資料，對於做【軟體測試】的朋友來說應該是最全面最完整的備戰倉庫，這個倉庫也陪伴我走過了最艱難的路程，希望也能幫助到你！