漏洞安全事件/漏洞安全事件有哪些-零基础信息安全技巧
GB / T 30279 -2020 网络安全漏洞分类分级指南解读
国家信息安全漏洞库(CNNVD)漏洞分类分级情况
在漏洞分类方面,CNNVD将信息安全漏洞划分为26种类型,分别是:配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误、资料不足。
在漏洞分级方面,CNNVD使用两组指标对漏洞进行评分,分别是可利用性指标组和影响性指标组,并依据该评估结果对漏洞划分为超危、高危、中危、低危共四个危害等级。其中,可利用性指标组描述漏洞利用的方式和难易程度,反映脆弱性组件的特征,应依据脆弱性组件进行评分,影响性指标组描述漏洞被成功利用后给受影响组件造成的危害,应依据受影响组件进行评分。
国家信息安全漏洞共享平台(CNVD)漏洞分类分级情况
在漏洞分类方面,CNVD根据漏洞产生原因,将漏洞分为11种类型:输入验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误。此外,CNVD还进行了部分业务的划分,主要分为行业漏洞和应用漏洞,行业漏洞包括:电信、移动互联网、工控系统;应用漏洞包括web应用、安全产品、应用程序、操作系统、数据库、网络设备等。
在漏洞分级方面,使用自己内部分级标准,将网络安全漏洞划分为高、中、低三种危害级别。
通用漏洞评分系统(,CVSS)
通用漏洞评分系统(,CVSS)是由美国国家基础设施顾问委员会(NIAC)开发、事件响应与安全组织论坛(FIRST)维护的一个开放的计算机系统安全漏洞评估框架。CVSS是一个开放并且能够被产品厂商免费采用的标准,其存在的主要目的是协助安全从业人员使用标准化、规范化、统一化的语言对计算机系统安全漏洞的严重性进行评估。
NIAC于2004年提出了.0,此版本经使用后发现存在很大问题,为解决存在问题并增加CVSS的准确性,由CVSS-SIG发起修正案并进行修订。在2007年6月,FIRST公开发布了.0。目前,CVSS的最新版本是v3.0,发布于2015年6月10日。
通用缺陷枚举(ation,CWE)通用缺陷枚举(ation,CWE)是由美国MITRE公司开发的一个描述在软件架构、设计以及编码等环节中存在的安全缺陷与漏洞的通用规范,目前CWE共包含1040个条目,其中视图32个、类别247个、缺陷与漏洞709个、合成元素7个,弃用45个。
GB / T 30279 — 2020 网络安全漏洞分类分级指南
网络安全漏洞分类
概述网络安全漏洞分类是基于漏洞产生或触发的技术原因 对漏洞进行的划分,分类导图如图 1 所示。本标准采用树形导图对漏洞进行分类,首先从根节点开始,根据漏洞成因将漏洞归入某个具体的类别,如果该类型节点有子类型节点,且漏洞成因可以归入该子类型, 则将漏洞划分为该子类型,如此递归,直到漏洞归入的类型无子类型节点或漏洞不能归入子类型为止。
根据目前情况,CNNVD共划分26漏洞类型,CNVD共10种漏洞类型,原NVD实行124种漏洞分类,现行NVD实行121种漏洞分类。现修订标准通过层级包含的关系对原NVD漏洞分类、现行NVD漏洞分类、CNNVD漏洞分类、CNVD漏洞分类进行兼容和映射;相关对应关系如下表所示:
根据目前情况,CNNVD共划分26漏洞类型,CNVD共10种漏洞类型,原NVD实行124种漏洞分类,现行NVD实行121种漏洞分类。现修订标准通过层级包含的关系对原NVD漏洞分类、现行NVD漏洞分类、CNNVD漏洞分类、CNVD漏洞分类进行兼容和映射;相关对应关系如下表所示:
关于 苏州华克斯信息科技有限公司
专业的测试及安全产品服务提供商
| | | |
开源安全与合规治理平台 | 极狐一体化 平台
CMA/CNAS软件评测实验室解决方案 | 源代码安全审计服务
()中国区铂金代理商 | 中国区总代理商
中国区核心代理商 | 极狐铂金级合作伙伴
~
网络安全学习,我们一起交流
~