论文部分内容阅读
摘 要:在等级保护测评活动中,漏洞评价通常基于测评者经验判断,没有统一标准。针对此种情况,本文提出根据国际通用漏洞评价体系(CVSS)对等保测评活动中漏洞等级评价,解决了基于漏洞本身和漏洞所处环境对信息系统危害的一致性评价问题,将有利于等保测评对信息系统安全保障的促进作用。
关键词:等级测评;漏洞;漏洞评价
中图分类号:TN915.08 文献标识码:B 文章编号: 2095-8595(2017) 02-020-04
电子科学技术 URL: http://www.china-est.com.cn DOI: 10.16453/j.issn.2095-8595.2017.02.006
Abstract: In activities of classified protection evaluation, vulnerability assessment is usually based on the evaluator’s experience because of no uniform standard. In view of this situation, a vulnerability evaluation method was put forwards based on the international common vulnerability scoring system (CVSS). The new method solves the problem of consistency evaluation for the information system based on vulnerability itself and the situation of vulnerability, which will be beneficial to theclassified protection evaluation.
Key words: Classified Protection Evaluation; Vulnerability; Vulnerability Assessment
引言
信息安全等級保护制度是我国网络安全一项基本制度[1-3],是保护国家重要信息系统安全、维护社会稳定的重要措施,在《国家网络安全法》(草案)中已上升到国家法律层面[4]。等级测评贯穿于信息系统建设、运行维护等各阶段,是等级保护整改、安全建设的重要抓手。信息安全测评是落实信息安全等级保护制度重要手段,漏洞安全等级评价是用户对信息系统进行整改的重要依据,是提高等级保护水平的重要因素。
等保测评过程发现系统漏洞通常采用高风险、中风险和低风险进行评定,由于受到测试人员经验影响,漏洞评价等级具有一定的主观性。根据《关于传发<信息安全等级保护测评报告模版(2015年版)>的通知》(公信安[2014]2866号)[5],安全问题严重程度值=(5-测评项符合程度得分)×测评项权重,与漏洞高中低风险无法对应上,给测评人员带来一定的混淆。《信息安全技术安全漏洞等级划分指南》(GB/T 30279-2013)[6]从访问路径、利用复杂度和影响程度三个要素对漏洞进行等级划分,要素划分比较粗线条,不易于测评人员执行。另外,等保测试过程中,各种商业工具有自己对漏洞的风险评价体系,由于无法针对漏洞所处应用环境和时间因素进行考量,无法完全依赖其正确评估漏洞风险等级;同时各工具采用评价体系不一样,同一漏洞的风险级别可能不一样。
本文就等级保护测评活动中对安全漏洞等级评价引入通用漏洞评价体系,解决漏洞评价问题。全文首先对通用漏洞评价体系进行介绍,然后以等保测评活动中常见漏洞为例介绍漏洞等级评价的基本过程。
1 通用漏洞评价体系(CVSS)
1.1 通用漏洞评价体系介绍
通用漏洞评价体系[7]是描述系统漏洞严重程度的开放框架,有三个评价组构成:基本评价指标组、生命周期评价指标组和环境评价指标组。
基本评价指标描述安全漏洞本身存在的属性,与系统生命周期和运行环境无关。
生命周期评价指标是指安全漏洞与时间相关的属性,这些属性随着时间变化,CVSS生命周期评估指标包括漏洞的可用性、修补措施的有效性和安全漏洞报告的可信度。生命周期评价指标不是必选指标,可以根据信息系统及漏洞情况进行选择,如果该指标定为不适用,将不影响安全漏洞的最终评分。
环境评价指标与用户的使用环境有关系,根据相关研究[8]表明,环境评价指标对基本评价指标有很大影响,反映漏洞对系统造成危害也不一样。环境度量指标包括漏洞可能造成的潜在损失、存在漏洞目标的分布情况以及系统的安全三性。环境评价指标是可选指标,如果环境对漏洞造成危害不存在相关性,该指标将不影响安全漏洞的最终评分。
CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。得分7~10的漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞,0~3.9的则是低级漏洞。
1.2 评价过程
通常情况下,基本指标评价组的属性值由软件和安全产品本身决定,生命周期评价指标组的属性值由软件和安全产品提供商、开发方或维护方决定。环境评价指标的取值主要由用户的环境信息决定,需要通过对系统运行环境进行现场考察才能获得,这是工具扫描漏洞无法获取的。另外,当生命周期评价指标组和环境评价指标组未选作评价指标,安全漏洞评价分数由基本评价指标决定,即由漏洞本身决定。
表1为CVSS评价指标及量化值,是进行CVSS评价参考工具。
第一步,计算基本评价指标分数
BaseScore=[(0.6×Impact+0.4×Exp-1.5×f(Impact) (1) 其中,影响因子:Impact=10.41×[1-(1-ConfImpact)×(1-IntegImapct)×(1-AvailImpact)
可利用因子:Exp=20×AccessVector×AccessComplexity×Authentication
第二步,计算生命周期评价指标分数
TemporalScore=[BaseScore×Exploitability×RemediationLevel×ReportConfidence (2)
第三步,計算环境评价指标分数
EnviromentalScore=[(AdjustedTemporal+(10-AdjustedTemporal)×CollateralDamagePotential)×TargetDistribution] (3)
其中,根据机密性、完整性和可用性需求,对影响因子进行重新计算,调整后
AdiustedImpact=min{10, 10.41×[1-1ConfImpact×ConfReq)×(1-IntegImpact×IntegReq×(1-AvailImpact×AvailReq)]}
调整后基本评价分数:AdjustedBaseScore=0.6×AdjustedImpact+0.4×Exp-1.5×f(AdjustedImpact)
调整后生命周期评价分数:AdjustTemporal=[Adjustedase×Exploitability×RemediationLevel×ReportConfidence。
2 CVSS在等级保护测评中应用实例
2.1某系统漏洞介绍
某政府部门挂在互联网上的应用系统,为用户提供业务办理进度查询服务,用户必须通过注册才能进行登录查询。在测试过程中发现查询框处存在SQL注入漏洞,可获取用户信息,包括用户办理业务信息。
2.2 漏洞评价评价过程
通过对上述漏洞及其所在信息系统的描述,对CVSS各指标赋值如表2。
第一步,计算基本评价分数。
将基本评价指标赋值代入基本评分计算公式,得到基本评价分数BaseScore =10。
第二步,计算时间评价分数。
将时间评价指标赋值及第一步计算的基本评价分数代入生命周期评价计算公式,得到生命周期评价分数TemporalScore =10。
第三步计算环境评价分数。
1)由环境评价指标赋值计算调整后的影响因子,AdjustedImpact = 10;
2)由调整后的影响因子,重新计算基本评价分数,得到调整后的基本评价分数AdjustedBaseScore=9;
3)由调整后的基本评价分数,重新计算生命周期评价分数,得到调整后的生命周期评价分数AdjustTemporal=9;
4)根据调整后生命周期评价分数和环境评价指标赋值,计算得到环境评价指标分数EnviromentalScore =10。
2.3 漏洞评价结论
因此,SQL注入漏洞在该系统中的风险值为10,属于高风险漏洞,需要立即进行整改。
3 结束语
本文针对等级保护测评过程中漏洞评价存在的问题进行了分析,引入CVSS漏洞评价体系,解决了现有漏洞评价未考虑漏洞所依赖的时间和环境因素和一致性评价问题,对于促进等级保护测评活动标准化和准确性,提升等保测评活动对等级保护活动支撑作用具有借鉴意义。
参考文献
马力,毕马宁,任卫红.国家信息安全等级保护政策中等级概念之间相互关系的分析[J].信息网络安全,2011,2010(11): 5-7.
屠正伟.三级信息系统等级保护常见问题的整改建议[J].电力信息化,2011,9(3):65-68.
车伟,丁一新,夏飞.电力业务系统的安全测评框架研究[J].电力信息化,2011,9(4):52-55.
中国人大网.网络安全法(草案)全文. http://www.npc.gov.cn/npc/xinwen/lfgz/flca/2015-07/06/content_1940614.htm, 2015-7-6.
公安部第十一局.关于传发《信息安全等级保护测评报告模版(2015年版)》的通知. 2014-12-31.
GB/T 30279—2013信息安全技术安全漏洞等级划分指南[S].北京:中国标准出版社,2013.
Peter Mell,Karen Scarfone,Sasha Romanosky.A Complete Guide to the Common Vulnerability Scoring System Version2.0.www.first.org/cvss.
席荣荣,云晓春,张永铮.CVSS环境评分值的分布特点的研究[J].高技术通讯,2014, 24(1): 10-15.
关键词:等级测评;漏洞;漏洞评价
中图分类号:TN915.08 文献标识码:B 文章编号: 2095-8595(2017) 02-020-04
电子科学技术 URL: http://www.china-est.com.cn DOI: 10.16453/j.issn.2095-8595.2017.02.006
Abstract: In activities of classified protection evaluation, vulnerability assessment is usually based on the evaluator’s experience because of no uniform standard. In view of this situation, a vulnerability evaluation method was put forwards based on the international common vulnerability scoring system (CVSS). The new method solves the problem of consistency evaluation for the information system based on vulnerability itself and the situation of vulnerability, which will be beneficial to theclassified protection evaluation.
Key words: Classified Protection Evaluation; Vulnerability; Vulnerability Assessment
引言
信息安全等級保护制度是我国网络安全一项基本制度[1-3],是保护国家重要信息系统安全、维护社会稳定的重要措施,在《国家网络安全法》(草案)中已上升到国家法律层面[4]。等级测评贯穿于信息系统建设、运行维护等各阶段,是等级保护整改、安全建设的重要抓手。信息安全测评是落实信息安全等级保护制度重要手段,漏洞安全等级评价是用户对信息系统进行整改的重要依据,是提高等级保护水平的重要因素。
等保测评过程发现系统漏洞通常采用高风险、中风险和低风险进行评定,由于受到测试人员经验影响,漏洞评价等级具有一定的主观性。根据《关于传发<信息安全等级保护测评报告模版(2015年版)>的通知》(公信安[2014]2866号)[5],安全问题严重程度值=(5-测评项符合程度得分)×测评项权重,与漏洞高中低风险无法对应上,给测评人员带来一定的混淆。《信息安全技术安全漏洞等级划分指南》(GB/T 30279-2013)[6]从访问路径、利用复杂度和影响程度三个要素对漏洞进行等级划分,要素划分比较粗线条,不易于测评人员执行。另外,等保测试过程中,各种商业工具有自己对漏洞的风险评价体系,由于无法针对漏洞所处应用环境和时间因素进行考量,无法完全依赖其正确评估漏洞风险等级;同时各工具采用评价体系不一样,同一漏洞的风险级别可能不一样。
本文就等级保护测评活动中对安全漏洞等级评价引入通用漏洞评价体系,解决漏洞评价问题。全文首先对通用漏洞评价体系进行介绍,然后以等保测评活动中常见漏洞为例介绍漏洞等级评价的基本过程。
1 通用漏洞评价体系(CVSS)
1.1 通用漏洞评价体系介绍
通用漏洞评价体系[7]是描述系统漏洞严重程度的开放框架,有三个评价组构成:基本评价指标组、生命周期评价指标组和环境评价指标组。
基本评价指标描述安全漏洞本身存在的属性,与系统生命周期和运行环境无关。
生命周期评价指标是指安全漏洞与时间相关的属性,这些属性随着时间变化,CVSS生命周期评估指标包括漏洞的可用性、修补措施的有效性和安全漏洞报告的可信度。生命周期评价指标不是必选指标,可以根据信息系统及漏洞情况进行选择,如果该指标定为不适用,将不影响安全漏洞的最终评分。
环境评价指标与用户的使用环境有关系,根据相关研究[8]表明,环境评价指标对基本评价指标有很大影响,反映漏洞对系统造成危害也不一样。环境度量指标包括漏洞可能造成的潜在损失、存在漏洞目标的分布情况以及系统的安全三性。环境评价指标是可选指标,如果环境对漏洞造成危害不存在相关性,该指标将不影响安全漏洞的最终评分。
CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。得分7~10的漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞,0~3.9的则是低级漏洞。
1.2 评价过程
通常情况下,基本指标评价组的属性值由软件和安全产品本身决定,生命周期评价指标组的属性值由软件和安全产品提供商、开发方或维护方决定。环境评价指标的取值主要由用户的环境信息决定,需要通过对系统运行环境进行现场考察才能获得,这是工具扫描漏洞无法获取的。另外,当生命周期评价指标组和环境评价指标组未选作评价指标,安全漏洞评价分数由基本评价指标决定,即由漏洞本身决定。
表1为CVSS评价指标及量化值,是进行CVSS评价参考工具。
第一步,计算基本评价指标分数
BaseScore=[(0.6×Impact+0.4×Exp-1.5×f(Impact) (1) 其中,影响因子:Impact=10.41×[1-(1-ConfImpact)×(1-IntegImapct)×(1-AvailImpact)
可利用因子:Exp=20×AccessVector×AccessComplexity×Authentication
第二步,计算生命周期评价指标分数
TemporalScore=[BaseScore×Exploitability×RemediationLevel×ReportConfidence (2)
第三步,計算环境评价指标分数
EnviromentalScore=[(AdjustedTemporal+(10-AdjustedTemporal)×CollateralDamagePotential)×TargetDistribution] (3)
其中,根据机密性、完整性和可用性需求,对影响因子进行重新计算,调整后
AdiustedImpact=min{10, 10.41×[1-1ConfImpact×ConfReq)×(1-IntegImpact×IntegReq×(1-AvailImpact×AvailReq)]}
调整后基本评价分数:AdjustedBaseScore=0.6×AdjustedImpact+0.4×Exp-1.5×f(AdjustedImpact)
调整后生命周期评价分数:AdjustTemporal=[Adjustedase×Exploitability×RemediationLevel×ReportConfidence。
2 CVSS在等级保护测评中应用实例
2.1某系统漏洞介绍
某政府部门挂在互联网上的应用系统,为用户提供业务办理进度查询服务,用户必须通过注册才能进行登录查询。在测试过程中发现查询框处存在SQL注入漏洞,可获取用户信息,包括用户办理业务信息。
2.2 漏洞评价评价过程
通过对上述漏洞及其所在信息系统的描述,对CVSS各指标赋值如表2。
第一步,计算基本评价分数。
将基本评价指标赋值代入基本评分计算公式,得到基本评价分数BaseScore =10。
第二步,计算时间评价分数。
将时间评价指标赋值及第一步计算的基本评价分数代入生命周期评价计算公式,得到生命周期评价分数TemporalScore =10。
第三步计算环境评价分数。
1)由环境评价指标赋值计算调整后的影响因子,AdjustedImpact = 10;
2)由调整后的影响因子,重新计算基本评价分数,得到调整后的基本评价分数AdjustedBaseScore=9;
3)由调整后的基本评价分数,重新计算生命周期评价分数,得到调整后的生命周期评价分数AdjustTemporal=9;
4)根据调整后生命周期评价分数和环境评价指标赋值,计算得到环境评价指标分数EnviromentalScore =10。
2.3 漏洞评价结论
因此,SQL注入漏洞在该系统中的风险值为10,属于高风险漏洞,需要立即进行整改。
3 结束语
本文针对等级保护测评过程中漏洞评价存在的问题进行了分析,引入CVSS漏洞评价体系,解决了现有漏洞评价未考虑漏洞所依赖的时间和环境因素和一致性评价问题,对于促进等级保护测评活动标准化和准确性,提升等保测评活动对等级保护活动支撑作用具有借鉴意义。
参考文献
马力,毕马宁,任卫红.国家信息安全等级保护政策中等级概念之间相互关系的分析[J].信息网络安全,2011,2010(11): 5-7.
屠正伟.三级信息系统等级保护常见问题的整改建议[J].电力信息化,2011,9(3):65-68.
车伟,丁一新,夏飞.电力业务系统的安全测评框架研究[J].电力信息化,2011,9(4):52-55.
中国人大网.网络安全法(草案)全文. http://www.npc.gov.cn/npc/xinwen/lfgz/flca/2015-07/06/content_1940614.htm, 2015-7-6.
公安部第十一局.关于传发《信息安全等级保护测评报告模版(2015年版)》的通知. 2014-12-31.
GB/T 30279—2013信息安全技术安全漏洞等级划分指南[S].北京:中国标准出版社,2013.
Peter Mell,Karen Scarfone,Sasha Romanosky.A Complete Guide to the Common Vulnerability Scoring System Version2.0.www.first.org/cvss.
席荣荣,云晓春,张永铮.CVSS环境评分值的分布特点的研究[J].高技术通讯,2014, 24(1): 10-15.