一、网络安全漏洞的概述
网络安全漏洞是网络攻击事件的最大隐患,尤其是随着网络技术的发展与普及(如物联网、云网、5G网络等),其网络安全漏洞已经成为影响网络信息安全的重要因素,安全漏洞作为网络攻击的主要入口,其治理势在必行,应高度重视。
网络安全漏洞(cybersecurity vulnerability)在国家标准GB/T 28458-2020《信息安全技术 网络安全漏洞标识与描述规范》中给出的定义是:网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中,无意或有意产生的、有可能被利用的缺陷或薄弱点。这些缺陷或薄弱点以不同形式存在于网络产品和服务的各个层次和环节中,一旦被恶意主体所利用,就会对网络产品和服务的安全造成损害, 从而影响其正常运行。
由上述定义可知,网络安全漏洞存在于网络产品或网络服务的整个生命周期内;网络安全漏洞的产生源于有意或无意的缺陷或薄弱点;网络安全漏洞现实存在,可能不被利用,一旦被利用,成为攻击点,将可能造成重大破坏或算是。
欲更多了解网络攻击事件介绍的请进入。
二、网络安全漏洞的分类
1、分类导图
在国家标准GB/T 30279-2020《信息安全技术 网络安全漏洞分类分级指南》中给出了一种网络安全漏洞分类导图,具体详见下图2-1,是基于漏洞产生或触发的技术原因对漏洞进行的划分。它采用树形导图对漏洞进行分类,首先从根节点开始,根据漏洞成因将漏洞归入某个具体的类别,如果该类型节点有子类型节点,且漏洞成因可以归入该子类型,则将漏洞划分为该子类型,如此递归,直到漏洞归入的类型无子类型节点或漏洞不能归入子类型为止。由图可知,漏洞的跟节点分为4类:代码问题、配置错误、环境问题和其它,具体详见下表2-1的释义。其中,代码问题成为安全漏洞产生的关键因素。
图 2-1:网络安全漏洞的树形分类导图
表 2-1:网络安全漏洞跟节点分类的释义
2、分类导图基于的分类方法
实际上,GB/T 30279-2020给出的安全漏洞分类导图,是基于技术根源分类(软件、硬件、协议等层面的漏洞划分细则)和应用场景分类(网络设备、操作系统、应用程序等场景的漏洞界定)两种分类方法(其含义详见下表2-2)的分类体系。该体系并非单一维度划分,而是多维度交叉。一个漏洞既可以从技术根源分类,也可以从应用场景分类,通过交叉验证,能更精准地定位漏洞,就像给漏洞建立了详细的“档案”,让相关人员对漏洞有全面的认识。
表 2-2:关于技术根源分类与应用场景分类
三、网络安全漏洞的分级
国家标准GB/T 30279-2020《信息安全技术 网络安全漏洞分类分级指南》同时规定了网络安全漏洞的分级方式、分级等级、分级指标和分级方法等。分级的目的在于对网络安全漏洞的分级管理。
1、分级方式和分级等级
GB/T 30279-2020标准是根据漏洞分级的场景不同,分为技术分级和综合分级两种分级方式(其含义详见下表3-1-1),每种分级方式均包括超危、高危、中危和低危四个等级(其含义详见下表3-1-2)。漏洞技术分级和综合分级均可对单一漏洞进行分级,也可对多个漏洞构成的组合漏洞进行分级。
表 3-1-1:网络安全漏洞关于技术分级和综合分级
表 3-1-2:网络安全漏洞4个等级的含义
2、分级指标和分级方法
网络安全漏洞分级过程包括分级指标和分级方法两方面内容。分级指标主要阐述反映漏洞特征的属性和赋值,包括被利用性指标类、影响程度指标类和环境因素指标类等三类指标。分级方法主要阐述漏洞技术分级和综合分级的具体实现步骤和实现方法,包括漏洞指标类的分级方法、漏洞技术分级方法和漏洞综合分级方法。具体漏洞的分级过程可详见下图3-2;在GB/T 30279-2020标准中给出了网络安全漏洞的分级方式、分级等级、分级指标和分级方法的详细过程与要求。
图 3-2:网络安全漏洞的分级过程图
欲详细了解GB/T 30279-2020标准具体内容的请进入。
需指出的是:GB/T 30279-2020上述分级在一定程度上参考了“通用漏洞评分系统(CVSS,Common Vulnerability Scoring System)”的部分指标,如漏洞的利用难度、影响范围等。两者都旨在评估漏洞的严重程度,存在一定的对应关系,为国际间的漏洞信息交流提供了衔接点。CVSS 更侧重于从技术角度进行评分,指标较为细致复杂;而国标分级更结合我国网络安全实际情况,在指标权重上有所调整,更注重漏洞对我国关键信息基础设施等的影响,评估角度和指标权重存在明显差异。
四、网络安全漏洞的管理
我国国家标准GB/T 30276-2020《信息安全技术 网络安全漏洞管理规范》规范了网络安全漏洞的管理流程和管理要求。
1、管理流程
GB/T 30276-2020规范的网络安全漏洞管理,围绕从发现到修复的漏洞全链条闭环,涉及的环节包括漏洞的发现和报告、接收、验证、处置、发布、跟踪等漏洞全生命周期。每个环节都有明确的要求和操作规范,下表4-1简述了各环节的管理特征。
表 4-1:网络安全漏洞管理流程中各环节的管理特征
2、管理要求
漏洞管理流程中各阶段的管理要求在GB/T 30276-2020中有详细的描述。首先,它明确了网络运营者、服务商、使用者三方的责任,形成了各自的责任清单,具体详见下表4-2的简述,同时提出了责任主体的追究要求。其二,它构建了政府监管与企业自治的良好网络安全生态。其三,对零日漏洞、未来漏洞以及物联网时代的漏洞等建立了应对机制。
表 4-2:网络运营者、服务商、使用者三方的责任简述
欲详细了解GB/T 30276-2020标准具体内容的请进入。
五、网络安全漏洞的标识与描述
为规范和加强网络安全漏洞的管理,国家标准GB/T 28458-2020《信息安全技术 网络安全漏洞标识与描述规范》制定并发布了统一的安全漏洞标识与描述规范,通过规范标识与描述规则,使漏洞信息在不同机构、企业间实现无缝传递。
1、框架
针对每一个漏洞进行标识与描述的框架如下图 4-1 所示,分为标识项和描述项两大类。其中描述项包括名称、发布时间、发布者、验证者、发现者、类别、等级、受影响产品或服务、相关编号、存在性说明等十项必须项,并可根据需要扩展检测方法、解决方案、其他描述等扩展项(可选)。
图 5-1:网络安全漏洞标识与描述的框架
2、标识项
标识项中仅有“标识号”一项内容。“标识号” 是用来对每个漏洞进行唯一标识的代码, 其格式为:CNCVD- YYYY- NNNNNN,如下图 5-2 所示。其中,CNCVD 为固定编码前缀(CNCVD即China National Cybersecurity Vulnerability Database,中国国家网络安全漏洞库得缩写);YYYY 为 4 位十进制数字,表示漏洞发现的年份;NNNNNN 为6 位十进制数字序列号, 表示 YYYY 年内漏洞的序号。序列号位数默认采用 6 位,从“000001”开始编号,当 YYYY 年漏洞数量超过 999999 时,可按需扩展其数字位数。
图 5-2:网络安全漏洞的标识号
3、描述项
十项描述项的具体要求在GB/T 28458-2020标准中给与了详细的规定。对于网络安全漏洞的描述,其一,涵盖了技术特征(“漏洞类型 + 触发条件 + 攻击路径”)和影响范围(从“受影响系统”到“潜在危害”),具体详见下表5-3-1的阐述。同时给出了未来描述精度升级方向,即:AI 辅助描述将实现“从自然语言到机器语言”的自动转换。其二,建立了漏洞危害等级划分背后的科学逻辑、避免“误判”与“漏判”、动态调整等机制,具体详见下表5-3-2的阐述。其三,为漏洞全生命周期(从发现到修复)打上“时间戳”,具体详见下表5-3-3的阐述。
表 5-3-1:网络安全漏洞描述项中涵盖的技术特征和影响范围
表 5-3-2:网络安全漏洞描述项建立的相关机制
表 5-3-3:网络安全漏洞描述漏洞全生命周期打上“时间戳”
欲详细了解GB/T 28458-2020标准具体内容的请进入。
网络安全漏洞的防治,应按照上述标准的要求综合实施,基于其分类和分级,以重视安全漏洞的全生命周期的管理,通过网络安全漏洞的标识与描述规范,及时发现与报告,从快修复与验证,尽可能的避免或杜绝攻击对漏洞的利用。
欲进一步了解网络安全事件及管理要求的请进入。
