漏洞安全事件/漏洞安全事件有哪些-零基础信息安全技巧

最新推荐文章于 2024-09-14 22:39:45 发布

程序员三九

最新推荐文章于 2024-09-14 22:39:45 发布

阅读量937

点赞数 18

文章标签：漏洞分类划分

本文链接：https://blog.csdn.net/m0_68974407/article/details/140066178

版权

漏洞安全事件/漏洞安全事件有哪些-零基础信息安全技巧

GB / T 30279 -2020 网络安全漏洞分类分级指南解读

国家信息安全漏洞库（CNNVD）漏洞分类分级情况

在漏洞分类方面，CNNVD将信息安全漏洞划分为26种类型，分别是：配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误、资料不足。

在漏洞分级方面，CNNVD使用两组指标对漏洞进行评分，分别是可利用性指标组和影响性指标组，并依据该评估结果对漏洞划分为超危、高危、中危、低危共四个危害等级。其中，可利用性指标组描述漏洞利用的方式和难易程度，反映脆弱性组件的特征，应依据脆弱性组件进行评分，影响性指标组描述漏洞被成功利用后给受影响组件造成的危害，应依据受影响组件进行评分。

国家信息安全漏洞共享平台（CNVD）漏洞分类分级情况

在漏洞分类方面，CNVD根据漏洞产生原因，将漏洞分为11种类型：输入验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误。此外，CNVD还进行了部分业务的划分，主要分为行业漏洞和应用漏洞，行业漏洞包括：电信、移动互联网、工控系统；应用漏洞包括web应用、安全产品、应用程序、操作系统、数据库、网络设备等。

在漏洞分级方面，使用自己内部分级标准，将网络安全漏洞划分为高、中、低三种危害级别。

通用漏洞评分系统（，CVSS）

通用漏洞评分系统（，CVSS）是由美国国家基础设施顾问委员会（NIAC）开发、事件响应与安全组织论坛（FIRST）维护的一个开放的计算机系统安全漏洞评估框架。CVSS是一个开放并且能够被产品厂商免费采用的标准,其存在的主要目的是协助安全从业人员使用标准化、规范化、统一化的语言对计算机系统安全漏洞的严重性进行评估。

NIAC于2004年提出了.0，此版本经使用后发现存在很大问题，为解决存在问题并增加CVSS的准确性，由CVSS-SIG发起修正案并进行修订。在2007年6月，FIRST公开发布了.0。目前，CVSS的最新版本是v3.0，发布于2015年6月10日。

通用缺陷枚举（ation，CWE）通用缺陷枚举（ation，CWE）是由美国MITRE公司开发的一个描述在软件架构、设计以及编码等环节中存在的安全缺陷与漏洞的通用规范，目前CWE共包含1040个条目，其中视图32个、类别247个、缺陷与漏洞709个、合成元素7个，弃用45个。

GB / T 30279 — 2020 网络安全漏洞分类分级指南

网络安全漏洞分类

概述网络安全漏洞分类是基于漏洞产生或触发的技术原因对漏洞进行的划分,分类导图如图 1 所示。本标准采用树形导图对漏洞进行分类,首先从根节点开始,根据漏洞成因将漏洞归入某个具体的类别,如果该类型节点有子类型节点,且漏洞成因可以归入该子类型, 则将漏洞划分为该子类型,如此递归,直到漏洞归入的类型无子类型节点或漏洞不能归入子类型为止。

根据目前情况，CNNVD共划分26漏洞类型，CNVD共10种漏洞类型，原NVD实行124种漏洞分类，现行NVD实行121种漏洞分类。现修订标准通过层级包含的关系对原NVD漏洞分类、现行NVD漏洞分类、CNNVD漏洞分类、CNVD漏洞分类进行兼容和映射；相关对应关系如下表所示：

漏洞安全事件_漏洞安全事件有哪些_安全漏洞