CNNVD漏洞分级规范》
作者:CNNVD 间:2015年10月10日

  国家信息安全漏洞库(下称:CNNVD)使用《CNNVD漏洞分级规范》对漏洞进行分级,于20091018日正式使用。

一、适用范围

  凡是被CNNVD漏洞库收录的漏洞,均适用此分级规范,包括采集的公开漏洞以及收录的未公开漏洞。

二、漏洞分级办法

1)等级划分要素

  安全漏洞等级划分要素包括访问路径、利用复杂度和影响程度三方面。

Ø访问路径

  访问路径的赋值包括:本地、邻接和远程,通常可被远程利用的安全漏洞危害程度高于可被邻接利用的安全漏洞,可本地利用的安全漏洞次之,见表1

   表1 访问路径赋值说明表

赋值

描述

本地

利用该安全漏洞要求攻击者物理接触到受攻击的系统,或者已具有一个本地账号。本地攻击示例:本地权限提升等。

邻接

利用该安全漏洞要求攻击者与受攻击系统同处于一个广播域或冲突域中。邻接攻击示例:蓝牙、IEEE 802.11等。

远程

不局限于本地和邻接。远程攻击示例:RPC缓冲区溢出漏洞。

   Ø利用复杂度

  利用复杂度的赋值包括:简单和复杂,通常利用复杂度为简单的安全漏洞危害程度高,见表2

   表2 攻击复杂度赋值说明表

赋值

描述

简单

无需借助外部条件,例如自动操作、无需授权即可完成攻击。

复杂

需要借助外部条件,例如需要人工参与点击文件、点击按钮或者用户授权。

Ø影响程度

  影响程度的赋值包括:完全、部分、轻微和无,通常影响程度为完全的安全漏洞危害程度高于影响程度为部分的安全漏洞,影响程度为轻微的安全漏洞次之,影响程度为无的安全漏洞可被忽略,见表3

   表3 影响程度赋值说明表

赋值

描述

完全

安全漏洞对保密性、完整性和可用性的影响较严重,见表5序号17

部分

安全漏洞对保密性、完整性和可用性影响相对较轻,见表5序号817

轻微

安全漏洞对保密性、完整性和可用性影响最轻,见表5序号1826

安全漏洞对保密性、完整性和可用性影响均为无,见表5序号27

  影响程度的赋值由安全漏洞对目标的保密性、完整性和可用性三个方面的影响共同导出,每个方面的影响赋值为:完全、部分和无,见表4

   表4 保密性、完整性和可用性影响赋值说明表

赋值

描述

完全

安全漏洞对保密性、完整性或可用性的影响较严重。

部分

安全漏洞对保密性、完整性或可用性影响相对较轻。

安全漏洞对保密性、完整性或可用性无影响。

          按照安全漏洞对系统保密性、可用性和完整性三方面的影响赋值即可得出影响程度赋值,见表5

   表5 影响程度赋值对应表

序号

保密性影响

完整性影响

可用性影响

影响程度

1

完全

完全

完全

完全

2

完全

完全

部分

完全

3

完全

部分

完全

完全

4

完全

部分

部分

完全

5

部分

完全

完全

完全

6

部分

完全

部分

完全

7

部分

部分

完全

完全

8

完全

完全

部分

9

完全

部分

部分

10

完全

完全

部分

11

完全

部分

部分

12

部分

完全

部分

13

部分

完全

部分

14

完全

完全

部分

15

完全

部分

部分

16

部分

完全

部分

17

部分

部分

部分

部分

18

完全

轻微

19

部分

部分

轻微

20

部分

部分

轻微

21

部分

轻微

22

完全

轻微

23

部分

部分

轻微

24

部分

轻微

25

完全

轻微

26

部分

轻微

27

注:序号27表示对保密性、完整性、可用性均无影响,忽略此组合。 

2)等级划分

          安全漏洞的危害程度从低至高依次为:低危、中危、高危和超危,具体危害等级划分方法见表6

   表6 安全漏洞危害等级划分表

序号

访问路径

利用复杂度

影响程度

安全漏洞等级

1

远程

简单

完全

超危

2

远程

简单

部分

高危

3

远程

复杂

完全

高危

4

邻接

简单

完全

高危

5

邻接

复杂

完全

高危

6

本地

简单

完全

高危

7

远程

简单

轻微

中危

8

远程

复杂

部分

中危

9

邻接

简单

部分

中危

10

本地

简单

部分

中危

11

本地

复杂

完全

中危

12

远程

复杂

轻微

低危

13

邻接

简单

轻微

低危

14

邻接

复杂

部分

低危

15

邻接

复杂

轻微

低危

16

本地

简单

轻微

低危

17

本地

复杂

部分

低危

18

本地

复杂

轻微

低危

安全漏洞等级划分步骤及示例参见附录A

三、CVSS兼容规则

CNNVD漏洞分级

CVSS分值

超危

9~10

高危

7~9(<9)

中危

4~7(<7)

低危

<00~4(<4)

四、帮助

  如有任何问题或了解更多信息,请发邮件至cnnvd@itsec.gov.cn


附 录 A(资料性附录)

        安全漏洞等级划分步骤及示例

  A.1安全漏洞等级划分步骤

安全漏洞等级划分步骤包括:

         a) 参照表1,确定访问路径的赋值;

         b) 参照表2,确定利用复杂度的赋值;

         c) 参照表4,分别确定保密性、完整性和可用性的影响赋值;

  确定影响的步骤包括:
        
a) 确定保密性的赋值;
     
 b) 确定完整性的赋值;
 c) 确定可用性的赋值;

         d) 参照表5,确定影响程度赋值;

         e) 参照表6,根据访问路径、利用复杂度和影响程度的赋值,确定安全漏洞等级。

  A.2安全漏洞等级划分举例

微软Windows RPC缓冲区溢出漏洞(CNNVD-200810-406),其安全漏洞等级划分步骤如下:

       a) 参照表1,确定访问路径的赋值为“远程”;

       b) 参照表2,确定利用复杂度的赋值为“简单”;

       c) 参照表4,分别确定保密性、完整性和可用性的影响赋值;
  
确定影响的步骤包括:

        a)  确定保密性赋值为“完全”;
        b)  确定完整性赋值为“完全”;
        c)  确定可用性赋值为“完全”;
        d) 参照表5,确定影响程度赋值符合表5序号1的组合,为“完全”;
        e) 参照表6,根据访问路径、利用复杂度和影响程度的赋值,确定安全漏洞等级符合 表6序号1的组合,为“超危”,见表A.1

A.1安全漏洞等级划分示例

漏洞编号

访问路径

利用复杂度

影响程度

安全漏洞等级

保密性

完整性

可用性

完全

完全

完全

超危

CNNVD-200810-406

远程

简单

完全


附件:编制说明
关于漏洞分级调研分析报告
        一、 说明
        目前,针对安全漏洞评级已经有国家标准《信息安全技术安全漏洞等级划分指南》,CNNVD漏洞库将采用此标准对漏洞进行评级。具体的评级办法见《CNNVD漏洞分类规范》。
        二、 调研结果
        1) 现状分析
       目前,CNNVD收录的已公开漏洞分级标准,使用的是CVSS评分标准,把漏洞级别分为五种,即危急(10分)、高危(7-9.9分)、中危(4-6.9分)、低危(1-3.9分)、无分级(0分);未公开漏洞分级没有使用相关标准。
        2) 修改措施
       漏洞等级划分国标中,将漏洞划分为四种级别,即超危、高危、中危、低危。根据参与制定此国家标准的同事所做的上百个漏洞实验结果证实,此国家标准与CVSS是可以兼容的,兼容的结果为超危(CVSS:9-10分)、高危(CVSS:7-8.9分)、中危(CVSS:4-6.9分)、低危(CVSS:1-3.9分)。
       针对CNNVD收录的已公开漏洞分级标准修改办法,只需修改整理平台系统代码中的分级规则即可实现。
       针对CNNVD收录的未公开漏洞分级标准,则完全按照《信息安全技术安全漏洞等级划分指南》国家标准进行分级。
       另,针对其他漏洞平台漏洞分级标准,对NVD、CNVD漏洞发布平台进行了调研,NVD、CNVD分级均采用了CVSS评分标准。


漏洞信息快速查询