信息安全技术 安全漏洞等级划分指南-编制说明

PAGE《信息安全技术安全漏洞等级划分指南》编制说明中国信息安全测评中心中国科学院研究生院国家计算机网络入侵防范中心2013.01.06《信息安全技术安全漏洞等级划分指南》（征求意见稿）编制说明一、工作简况1.1任务来源2008年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究制定《信息安全技术安全漏洞等级划分指南》国家标准,国标计划号：20111600－T-469。该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由中国信息安全测评中心和中国科学院研究生院国家计算机网络入侵防范中心联合编制。《信息安全技术安全漏洞等级划分指南》是安标委2006年《漏洞等级划分标准基础研究》项目的延续。1.2.1 预研立项2006年《国家信息安全战略研究与标准制定工作专项》课题《安全漏洞危害等级划分标准》基础研究，研究国际和国内漏洞危害等级的评定现状，通过对漏洞利用造成的后果、对系统安全属性的危害、漏洞可利用的难易程度等方面的分析，总结影响漏洞安全危害等级的特征属性选取、特征属性的定性和定量分析、安全危害等级的综合评价方法等内容。1.2.2 预研结题2008年完成《漏洞等级划分标准基础研究》课题。本课题，通过对国内外漏洞等级划分方法进行深入分析和研究，不仅能够提高我国软件与系统的安全性，同时对保障计算机软件与系统安全，优化我国网络安全环境，构筑我国网络安全防御体系具有重要意义。1.2.3 标准立项2008年12月，《信息安全技术安全漏洞等级划分指南》被全国信息安全标准化技术委员会正式立项，定性为国家推荐性标准。中国信息安全测评中心和中国科学院研究生院国家计算机网络入侵防范中心成立标准编制组，并于2008年12月召开第一次课题组会议，明确两家单位分工并制定标准编制计划。1.2主要工作过程《安全漏洞等级划分指南》制定过程包括前期的预研、标准立项、草案拟定、征求意见、专家评审、修改草案、形成征求意见稿、形成送审稿、形成报批稿等过程。其中“评审-修改”过程为反复执行过程，目前经历过8次评审、征求意见和修改的过程，如图1所示。图1工作过程流程图8次评审或征求意见共征集到90多条意见和建议，我们逐条针对每条意见、建议做了应答和处理，广纳建议，更好的完善了我们的标准编制工作。具体意见处理情况参见历次专家意见反馈表。1.3主要起草人及其所做工作编制单位共两家，分别为：中国信息安全测评中心和中国科学院研究生院国家计算机网络入侵防范中心。中国信息安全测评中心主要起草人有张翀斌、张宝峰等人，中国科学院研究生院国家计算机网络入侵防范中心主要起草人有张玉清和刘奇旭等人。其中，张翀斌与张玉清负责编制思路讨论、制定，调研国内国际情况以及项目总体进度的把握；张宝峰负责标准中漏洞等级划分元素选取与对比分析；刘奇旭负责漏洞等级划分的方法，负责使用层次分析法分析、论证等级划分结果等。其他参与人员负责从国家信息安全漏洞库随机选取上百个漏洞，进行实验验证。根据实验验证结果调整漏洞等级划分方法。二、编制原则及标准主要内容2.1编制原则之所以有众多的安全漏洞评级方法，是因为不同的研究者在不同的层次使用了不同的观察角度。但所有研究者的共同目标是研究一个科学、合理、易于数据组织、便于相互交流并能直接应用于脆弱性评估工具的安全漏洞评级方法和标准。一个安全漏洞评级方法应该满足以下原则：一致性：所用术语与已有的安全术语保持一致；开放性：必须是免费可利用可采纳的，对任何人都开放使用。一个封闭的标准将不会被广泛地实施，并且将不会幸存；广泛性：必须能够评价任何信息系统类型中的所有可能的脆弱性，即适用于不同的需要和不同的系统；互操作性：应该能与现有的技术和基础设施配合运作，并且不依赖专用技术或形式；灵活性：应该能够针对不同的运行环境来定制不同的风险；简易性：必须能够简单直接地理解、实现和使用；完备性：应该包括任何对安全漏洞有影响的因素；客观性：要素的属性值必须是从已知对象中获得，并且能明确地观测到；可重复性：不同的人对特定目标独立地提取相同的属性，其结果应当是一致的(也和客观性相关)；可理解性：各要素易于被安全知识和安全经验不足的用户和管理员理解；可接受性：评级科学、合理、准确，能够被行业广泛接受。2.2主要内容《信息安全技术安全漏洞等级划分指南》旨在通过对安全漏洞利用造成的后果、对系统安全属性的危害、安全漏洞可利用的难易程度等方面的分析和研究，提出一套科学的、合理的信息安全漏洞安全危害等级评定标准，用于安全漏洞处理、风险评估和风险减缓等方面工作的参考。《信息安全技术安全漏洞等级划分指南》预计将成为我国重要的信息安全技术标准，并为国家信息安全保障提供强有力的技术支撑。三、分析论证过程及有关实验3.1草案第一版2008年12月-2009年11月，课题组研究、分析CVSS等相关国内外标准及动态。调查分析包括美国国家漏洞库NVD在内的多家国外漏洞库，研究其安全漏洞等级划分情况，调研收集资料，编制标准草案。2009年11月，课题组召开第二次会议，准备12月份的阶段检查工作，形成《安全漏洞等级划分指南》草案（第一版）。标准大纲包括：1范围2术语和定义3安全漏洞等级划分方法3.1等级划分原则3.2等级划分要素3.3等级划分在漏洞等级划分体系中，包括以下四方面的要素：VectorsofAttack(攻击向量)NewVectorofAttack(新的攻击向量)UniqueDataDestruction(独特数据的破坏)SignificantServiceDisruption(重要服务的拒绝)3.2专家评审2009年12月16日，在北京应物会议中心向专家汇报阶段工作。仔细听取专家提出修改建议。专家建议及修改方案，请参看【专家意见汇总表-2009.12.16】3.3草案第二版2009年12月18日，课题组于中国信息安全测评中心召开第三次会议，讨论专家评审意见修改事宜。课题组全体成员仔细阅读标准文稿，针对专家的每一条建议对其加以修改：经过了解，已有专门的国标制定项目，拟直接引用。漏洞是信息技术、信息产品、信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的脆弱性，这些脆弱性以不同形式存在于信息系统的各个层次和环节之中，可以被恶意主体所利用，从而对信息系统的安全造成损害，影响构建于信息系统之上正常服务的运行，危害信息系统及信息的安全属性。由第一版的“攻击向量”、“新的攻击向量”、“独特数据的破坏”和“重要服务的拒绝”四个方面的属性，调整为“攻击范围”、“攻击复杂度”和“攻击影响”三个方面的属性，其中“攻击影响”包括“机密性”、“完整性”和“可用性”三个属性。由于漏洞的不可预测性，没有办法证明属性是否完备。课题组采取了广泛调研、最佳实践的方法最终选择5个属性。能够基本涵盖当前国际主流的等级划分标准以及满足实际工作需要。课题组将安全漏洞级别划分为“紧急、高、中、低”四个级别。完成《安全漏洞等级划分指南》草案（第二版）下面重点介绍一下四个级别选取的方法。课题组对7家国际主流漏洞等级评定组织和机构所考虑的漏洞属性进行了统计，结果如表1所示。课题组认为，低中高三个等级简单易懂，但各等级涵盖幅度较宽，未考虑主要矛盾（最严重的少部分漏洞）。四个等级符合工作实际。在原来低中高等级的基础上，把高等级中那些最严重的漏洞再划分为一个等级，予以重点关注。因为极其严重的漏洞往往需要我们重点采取消控措施。根据实践工作，当前CNNVD漏洞库采用四个划分等级，与课题组研究结论相符。因此，课题组选择四个等级，即安全漏洞被分为紧急、高、中、低4个级别。表1国际主流安全漏洞等级评定结果名称漏洞等级划分级别具体内容优点缺点NVD3低、中、高清晰，易理解划分范围较宽，未体现高危漏洞X-Force3低、中、高清晰，易理解没有客观打分的细节，划分范围较宽，未体现高危漏洞FrSIRT4低、中、高、紧急清晰，层次合理考虑因素较少微软4不适用、中等、重要、严重考虑因素较详细分类不明确，考虑因素较少Secunia5低、低危、中危、高危、极度严重划分较详细考虑因素较少，分界模糊3.4专家评审2010年5月10日，在北京应物会议中心向专家汇报阶段工作。仔细听取专家提出修改建议。专家建议及修改方案，请参看【专家意见汇总表-2010.05.10】3.5草案第三版2010年5月11日，课题组于中国信息安全测评中心召开第四次会议，讨论专家评审意见修改事宜。课题组全体成员仔细阅读标准文稿，针对专家的每一条建议对其加以修改：目前没有一个标准来识别哪些机构或单位的资产是以机密性为主还是完整性为主。国外也没有对保密性、完整性和机密性进行赋予权值来划分安全漏洞的做法。使用GB1.1的标准格式，对文字的描述语言进行精炼。同意使用定性的评定方法，增加语言描述，使得指标尽量具有可操作性。尽量避免“广泛”、“少量”等不好衡量的词语。将攻击影响的高、中、低修改为：完全、部分、轻微、N/A。将安全漏洞危害程度有原来的“紧急、高、中、低”变为“超危、高危、中危、低危”4个等级完成《安全漏洞等级划分指南》草案（第三版）安全漏洞等级划分要素选取过程如下：课题组对7家国际主流漏洞等级评定组织和机构所考虑的漏洞属性进行了统计，结果如表2所示。表2中的12个漏洞属性中，“报告可信度、攻击代码可利用性、修补情况、分布潜能、间接破坏风险”等5个属性都受外在因素影响。“新的攻击向量”是微软单独提出，也随着时间变化而发生变化。另外6个属性分别为：访问向量、访问复杂度、授权、完整性、可用性和保密性，不会随着时间和环境的变化而变化。通过统计得出，在7个组织机构所定义的共12中基本属性中，出现几率70%以上的因素为6个，分别为访问向量、访问复杂度、授权、完整性、可用性和保密性，这也侧面说明了这6个属性的代表性，其他因素都低于60%。同时，认为“访问复杂度”和“授权”均属于“攻击复杂度”，因此二者合二为一；认为“机密性”、“完整性”和“可用性”均反映的攻击影响效果，因此将三者统称为“攻击影响”。因此，课题组最终确定采用“攻击范围”、“攻击复杂度”、“攻击影响”三个方面，共计五个属性（攻击影响包括三个属性）来评估安全漏洞。表2安全漏洞属性统计漏洞评价要素机构、组织名称访问向量新的访问向量访问复杂度授权对完整性的影响对可用性的影响对保密性的影响报告可信度攻击代码可利用性修补情况分布潜能间接破坏风险NVD√√√√√√√√√√√微软√√√√√√FrSIRT√√√√√√US-CERT√√√√√√√√√√SANS√√√√√√√√Secunia√√√√√X-Force√√√√√√出现次数716555644342出现几率（%）10014.2985.7171.4371.4371.4385.7157.1457.1442.8657.1428.573.6专家评审2011年6月10日，在中国信息安全测评中心向专家汇报阶段工作。仔细听取专家提出修改建议。专家建议及修改方案，请参看【专家意见汇总表-2011.06.10】3.7草案第四版2011年6月13日，课题组于中国信息安全测评中心召开第五次会议，讨论专家评审意见修改事宜。课题组全体成员仔细阅读标准文稿，针对专家的每一条建议对其加以修改：采用层次分析法（AHP）进行分析推导，进而得出等级划分结论。统一使用危害等级的描述安全漏洞的风险。对标准文本的“范围”和“原则”部分进行了精简操作。标准文本中使用“低危、中危、高危、超危”4个等级。去掉参考文献部分。完成《安全漏洞等级划分指南》草案（第四版）3.7.1层次分析法介绍美国运筹学家，T.L.Saaty等人在九十年代提出了一种能有效处理决策问题的实用方法，称之为TheAnalyticHierarchyProcess(AHP)，将决策问题分为3个层次：目标层，准则层，措施层；每层有若干元素，各层元素间的关系用相连的直线表示。通过相互比较确定各准则对目标的权重，及各方案对每一准则的权重。将上述两组权重进行综合，确定各方案对目标的权重。设现在要比较个因子对某因素的影响大小，怎样比较才能提供可信的数据呢？Saaty等人建议可以采取对因子进行两两比较建立成对比较矩阵的办法。即每次取两个因子和，以表示和对的影响大小之比，全部比较结果用矩阵表示，称为之间的成对比较判断矩阵（简称判断矩阵）。容易看出，若与对的影响之比为，则与对的影响之比应为。定义1若矩阵满足（=1\*romani），（=2\*romanii）（）则称之为正互反矩阵(易见，)。关于如何确定的值，Saaty等建议引用数字1~9及其倒数作为标度。表3列出了1~9标度的含义：表3比较判断矩阵元素取值方法标度含义1表示两个因素相比，具有相同重要性3表示两个因素相比，前者比后者稍重要5表示两个因素相比，前者比后者明显重要7表示两个因素相比，前者比后者强烈重要9表示两个因素相比，前者比后者极端重要2,4,6,8表示上述相邻判断的中间值倒数若因素与因素的重要性之比为，那么因素与因素重要性之比为。从心理学观点来看，分级太多会超越人们的判断能力，既增加了作判断的难度，又容易因此而提供虚假数据。Saaty等人还用实验方法比较了在各种不同标度下人们判断结果的正确性，实验结果也表明，采用1~9标度最为合适。判断矩阵对应于最大特征值的特征向量，经归一化后即为同一层次相应因素对于上一层次某因素相对重要性的排序权值，这一过程称为层次单排序。对决策者提供的判断矩阵有必要作一次一致性检验，以决定是否能接受它。对判断矩阵的一致性检验的步骤如下：（=1\*romani）计算一致性指标（=2\*romanii）查找相应的平均随机一致性指标。的值，如表4所示：表4一致性指数表123456789…1819000.580.901.121.241.321.411.45…1.62641.6327（ⅲ）计算一致性比例当时，认为判断矩阵的一致性是可以接受的，否则应对判断矩阵作适当修正。3.7.2层次分析法应用由于不存在定量的指标，单凭个人的主观判断虽然可以比较两个因素的相对优劣，但往往很难给出一个比较客观的多因素优劣次序。能不能把复杂的多因素综合比较问题转化为简单的两因素相对比较问题？为了解决这个问题，我们利用层次化分析方法。在决策时需要考虑的因素主要有：攻击范围[远程/邻接/本地]攻击复杂度[简单/复杂]攻击影响[完全/部分/轻微]三个要素的排列组合如表5所示。表5要素取值组合组合序号B1攻击范围B2攻击复杂度B3攻击影响C1远程简单完全C2远程简单部分C3远程简单轻微C4远程复杂完全C5远程复杂部分C6远程复杂轻微C7邻接简单完全C8邻接简单部分C9邻接简单轻微C10邻接复杂完全C11邻接复杂部分C12邻接复杂轻微C13本地简单完全C14本地简单部分C15本地简单轻微C16本地复杂完全C17本地复杂部分C18本地复杂轻微首先找出所有两两比较的结果，并且把它们定量化；然后再运用适当的数学方法从所有两两相对比较的结果之中求出多因素综合比较的结果。具体的操作模型如图2所示，操作步骤如下：图2等级划分AHP模型步骤一：进行两两相对比较，并把比较的结果定量化。首先我们把各个因素标记为B1：攻击范围；B2：攻击复杂度；B3：攻击影响。不同准则对目标的成对比较矩阵如下：其全向量为W为：[0.25000.25000.5000]TCR=0<0.1一致性可接受步骤二：不同措施对攻击范围B1的影响的成对比较矩阵：其权重向量W1为：[0.11160.11160.11160.11160.11160.11160.04040.04040.04040.04040.04040.04040.01470.01470.01470.01470.01470.0147]TCR=0.0015<0.1一致性可接受步骤三：不同措施对攻击复杂度B2的影响的成对比较矩阵：其权重向量W2为：[0.08330.08330.08330.02780.02780.02780.08330.08330.08330.02780.02780.02780.08330.08330.08330.02780.02780.0278]TCR=0<0.1一致性可接受步骤四：不同措施对攻击影响B3的影响的成对比较矩阵：其权重向量W3为：[0.10620.04300.01750.10620.04300.01750.10620.04300.01750.10620.04300.01750.10620.04300.01750.10620.04300.0175]TCR=0.0084<0.1一致性可接受由此，各个方案相对于目标层的总排序结果如表6所示。表6AHP结果统计C层对B层的相对权值攻击范围攻击复杂度攻击影响B10.25B20.25B30.50C层总排序C1远程简单完全0.11160.08330.10620.1018C2远程简单部分0.11160.08330.04300.0702C3远程简单轻微0.11160.08330.01750.0575C4远程复杂完全0.11160.02780.10620.0880C5远程复杂部分0.11160.02780.04300.0563C6远程复杂轻微0.11160.02780.01750.0436C7邻接简单完全0.04040.08330.10620.0840C8邻接简单部分0.04040.08330.04300.0524C9邻接简单轻微0.04040.08330.01750.0397C10邻接复杂完全0.04040.02780.10620.0702C11邻接复杂部分0.04040.02780.04300.0386C12邻接复杂轻微0.04040.02780.01750.0258C13本地简单完全0.01470.08330.10620.0776C14本地简单部分0.01470.08330.04300.0460C15本地简单轻微0.01470.08330.01750.0333C16本地复杂完全0.01470.02780.10620.0637C17本地复杂部分0.01470.02780.04300.0321C18本地复杂轻微0.01470.02780.01750.0194 根据C层总排序结果，并划分评级结果如表7所示。表7C层总排序与评级结果对照表C层原始分四舍五入分评级结果C10.10180.1超危C40.0880.09高危C70.0840.08高危C130.07760.08高危C20.07020.07高危C100.07020.07高危C160.06370.06中危C30.05750.06中危C50.05630.06中危C80.05240.05中危C140.0460.05中危C60.04360.04低危C90.03970.04低危C110.03860.04低危C150.03330.03低危C170.03210.03低危C120.02580.03低危C180.01940.02低危最终得到安全漏洞等级与三个评估要素的映射关系如表8所示。表8安全漏洞等级划分方法映射表攻击范围攻击复杂度攻击影响漏洞等级远程简单完全超危远程简单部分高危远程复杂完全高危邻接简单完全高危邻接复杂完全高危本地简单完全高危远程简单不影响中危远程复杂部分中危邻接简单部分中危本地简单部分中危本地复杂完全中危远程复杂不影响低危邻接简单轻微低危邻接复杂部分低危邻接复杂不影响低危本地简单不影响低危本地复杂部分低危本地复杂不影响低危课题组选取了120个漏洞样本进行了实验，样本选取充分考虑了不同平台（Windows、AIX、LINUX、MACOS、Solaris等）、不同危害程度（低、中、高），涵盖了不同年份（2004年~2011年）和不同类型软件（应用软件、系统软件、数据库）的多种漏洞。得出的评价等级与实际情况较一致。3.8专家评审2011年11月18日，在中国信息安全测评中心向专家汇报阶段工作，专家对课题组采用AHP的方法给予充分肯定。课题组仔细听取专家提出修改建议。专家建议及修改方案，请参看【专家意见汇总表-2011.11.18】3.9草案第五版2011年11月23-24日，课题组于北京召开第六次会议，讨论专家评审意见修改事宜。课题组全体成员仔细阅读标准文稿，针对专家的每一条建议对其加以修改：前言提及GB/T1.1-2009，并按照GB/T1.1-2009的格式编写，规范性引用文件的引导语更新为最新版。增加“术语和定义”引导语。根据专家的建议，修改其中的部分文字描述内容。根据专家建议，将三个安全漏洞评估要素有原来的“攻击范围”、“攻击复杂度”、“攻击影响”，分别改为“影响范围”、“利用复杂度”和“影响程度”。增加资料性附录，通过实际的案例说明本指南的使用方法。完成《安全漏洞等级划分指南》草案（第五版）。资料性附录目录如下：附录A（资料性附录）安全漏洞等级划分及示例 A.1安全漏洞等级划分步骤 A.2安全漏洞等级划分举例 3.10草案第六版 2011年12月5日，课题组收到国家信息技术安全研究中心反馈意见，根据专家意见形成《安全漏洞等级划分指南》草案第六版，具体修改内容如下：前言 去掉前三句话引言 去掉第一段，第二段和第三段的有关描述进行简化。范围 标准的规定和使用范围界定清楚，重新描述3.5 攻击范围的描述，回避“攻击”3.6 重新描述“利用复杂度”术语4.1.2 访问范围的赋值描述，增加一句话对邻接的描述4.1.3 利用复杂度赋值的描述精炼一些4.1.4 表4中加一个“无”的描述4.2 表6中增加“攻击范围”对等级影响因素的描述4.2 表7中的“攻击影响”应为“影响程度”3.11草案第七版 2011年12月15日，课题组收到国家计算机网络应急技术处理协调中心反馈意见，根据专家意见形成《安全漏洞等级划分指南》草案第七版，具体修改内容如下：4.1.2将“范围”改为“途径”4.1.4 对信息安全三属性的权重进行微调3.12专家评审2012年3月2日，课题组在北京亚丁湾商务酒店向安标委专家组汇报课题进展情况，汇报内容包括《安全漏洞等级划分指南》草案第七版、标准编制说明、历次专家反馈意见答复等内容。本次专家评审会议未对标准文本提出修改意见。3.13专家评审及征求意见稿 2012年7月25日，安标委专家组对课题进展情况进行了检查。课题组内容包括《安全漏洞等级划分指南》草案第七版、标准编制说明、历次专家反馈意见答复等内容。专家提出建议如下：访问途径的名字最好修改一下在前言中加一句话“本标准按照GB/T1.1-2009给出的规则起草”增加一句话“下列术语和定义适用于本文件。”在标准正文最后增加一句话“安全漏洞等级划分步骤及示例参见附录A。”课题组根据专家意见形成《安全漏洞等级划分指南》草案第八版（征求意见稿），更新了编制说明，新增加一个专家意见反馈表，形成了第六章中所列的标准框架和内容。3.14专家评审及形成送审稿2013年1月6日，安标委专家在北京应物会议中心对《安全漏洞等级划分指南》草案第八版进行了检查。会议上，安标委工作人员将公安部十一局、国家保密局、国家密码管理局、中国信息安全测评中心四家部门意见以及网上意见反馈给项目组，同时安标委专家对《安全漏洞等级划分指南》草案第八版中的内容提出部分意见，总结整理如下：1）公安部十一局、国家保密局、国家密码管理局、中国信息安全测评中心四家部门没有对本标准的修改意见；2）网上意见反馈中没有对本标准的修改意见；3）安标委专家对本标准提出以下意见：在封面中的日期下面增加一句话“提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上”在前言中的全国信息安全标准化技术委员会后面增加（SAC/TC260）引言中的两句话其实在范围说明中已进行了描述，引言这两句话没有实际意义，且引言章节不是必须的，可以删掉，能少则少正文第二章规范性引用文件和第三章术语要协调一致，如果引用文件中列出了“GB/T20984-2007”和“安全漏洞标识与描述规范”，后面正文中没有其他引用，则要删除。同时，若在术语项中说明了上面两个标准号，则3.1~3.4都要删除。建议删除规范性引用文件中的“GB/T20984-2007”和“安全漏洞标识与描述规范”，同时将当前术语中3.1~3.4的“选自”两字去掉表5在两页中出现了，要在第二页中加三个字“表5续”，同时表头也要出现在下页中建议表5中增加一行，将对序号27的说明放到表中，加“注：”课题组根据专家意见形成《安全漏洞等级划分指南》送审稿，更新了编制说明，新增加一个专家意见反馈表。3.15专家函审及形成报批稿2013年1月6日至2013年1月21日，由信安标委秘书处组织全体委员对标准送审稿进行函审。所有委员确认收到函审材料，均赞成，未提出修改意见和建议。根据秘书处意见对送审稿编制说明进行了修改完善，形成报批稿。四、国内外安全漏洞等级划分情况4.1国际现状目前国外主要有以下安全漏洞等级划分相关规范，如表9所示：表9国外主要安全漏洞等级划分规范评级机构漏洞等级划分依据备注Microsoft危急，高，中，低可利用性美国微软公司FrSIRT严重，高，中，低可利用性和后果法国漏洞研究机构，已变更为VUPENSANS高，中，低可利用性和后果美国安全研究和教育组织x-force高，中，低可利用性和后果被美国IBM公司收购Securia低、低危、中危、高危、极度严重可利用性和后果丹麦漏洞研究机构US-CERT0-180综合（9个方面的问题）美国计算机应急响应组织NVD高，中，低CVSS综合（3个层次的计算）美国国家漏洞库其中，NVD依据CVSS量化打分来确定等级，CVSS（CommonVulnerabilityScoringSystem）是目前国外主要安全漏洞等级打分规范。该打分规范2004年RSA大会上由CISCO、HP等众多IT大腕公司联合提出，具体由FIRST论坛管理。2007年6月发布CVSS版本2.0。可以看出，当前国际漏洞等级划分领域尚无统一方法。4.2国内现状国内安全漏洞库相关领域的研究最早开始于研究机构，有部分研究者从事安全漏洞库的设计和实现工作，但他们的工作重点并不是收集和发布漏洞信息，而是通过整合漏洞属性设计合理完善的漏洞库结构，因此这类漏洞库并没有投入实际应用。随着信息安全的发展，部分政府机构、安全组织和公司开始根据自身的需求建立漏洞库。表10对国内较有影响力的漏洞库做了简要分析。表10国内主要安全漏洞库及等级划分情况介绍中国国家信息安全漏洞库国家信息安全漏洞共享平台国家安全漏洞库绿盟科技漏洞库启明星辰漏洞库运营单位中国信息安全测评中心国家互联网应急中心与国家信息技术安全研究中心等国家计算机网络入侵防范中心等中联绿盟信息技术（北京）有限公司北京启明星辰信息技术有限公司安全漏洞属性十一个属性十四个属性十九个属性十个属性十八个属性危害等级划分危急、高、中、低高、中、低紧急、高、中、低不详高、中、低从表9和表10可以看出，现有安全漏洞库在安全漏洞等级划分上存在严重的不一致现象。我国缺乏国家标准的规范，容易造成用户的误解，也给信息共享、流通和应用造成障碍。4.3项目组成果本标准的制定，将解决当前评价方法验证不一致的情况。并给出一个操作性强的评价方法。课题组对7家国际主流漏洞等级评定组织和机构所考虑的漏洞属性进行了统计，结果下表所示。漏洞评价要素机构、组织名称访问向量新的访问向量访问复杂度授权对完整性的影响对可用性的影响对保密性的影响报告可信度攻击代码可利用性修补情况分布潜能间接破坏风险NVD√√√√√√√√√√√微软√√√√√√FrSIRT√√√√√√US-CERT√√√√√√√√√√SANS√√√√√√√√Secunia√√√√√X-Force√√√√√√出现次数716555644342出现几率（%）10014.2985.7171.4371.4371.4385.7157.1457.1442.8657.1428.57表中的12个漏洞属性中，“报告可信度、攻击代码可利用性、修补情况、分布潜能、间接破坏风险”等5个属性都受外在因素影响。“新的攻击向量”是微软单独提出，也随着时间变化而发生变化。另外6个属性分别为：访问向量、访问复杂度、授权、完整性、可用性和保密性，不会随着时间和环境的变化而变化。通过统计得出，在7个组织机构所定义的共12中基本属性中，出现几率70%以上的因素为6个，分别为访问向量、访问复杂度、授权、完整性、可用性和保密性，这也侧面说明了这6个属性的代表性，其他因素都低于60%。同时，认为“访问复杂度”和“授权”均属于“攻击复杂度”，因此二者合二为一；认为“机密性”、“完整性”和“可用性”均反映的攻击影响效果，因此将三者统称为“攻击影响”。课题组最终确定采用“攻击范围”、“攻击复杂度”、“攻击影响”三个方面，共计五个属性（攻击影响包括三个属性）来评估安全漏洞，基本涵盖了当前国内外主流机构对漏洞基本属性的元素。课题组使用定性评价的方法，为标准的阅读者提供了安全漏洞危害等级划分表，通过表中内容不同排列组合方式便可完成等级划分，可操作性好。五、与有关的现行法律、法规和强制性国家标准的关系本标准语现行法律、法规以及强制性国家标准没有冲突与矛盾的地方。六、重大分歧意见的处理经过和依据项目组在标准编制过程中，经历了内部讨论与论证、专家评审、外部专家意见征集、网上意见征集等各过程，项目组在工作过程中遵循编制原则，对国内外现状做了大量调研，使用了层次分析法作为理论方法，并从国家漏洞库抽取了上百了漏洞进行技术验证，在验证的基础上不断调完善整体思路和技术细节。在整个过程中未遇到重大意见分歧，但遇到各方面的专家意见和完善建议，共90多条各类专家意见。我们逐条针对每条意见、建议做了应答和处理，广纳建议，更好的完善了我们的标准编制工作。具体意见处理情况参见历次专家意见反馈表。七、国家标准作为强制性国家标准或推荐性国家标准的建议建议本标准成为国家推荐性标准，适用于信息安全漏洞管理组织和信息安全漏洞发布机构对信息安全漏洞危害程度的评估和认定，并供信息安全产品生产、