6.3 網絡安全漏洞分級方法

6.3.1 概述

網絡安全漏洞分級是指采用分級的方式對網絡安全漏洞潛在危害的程度進行描述，包括技術分級和綜合分級兩種分級方式，每種方式均分為超危、高危、中危和低危四個等級，具體內容如下：

——超危：漏洞可以非常容易地對目標對象造成特別嚴重后果；

——高危：漏洞可以容易地對目標對象造成嚴重后果；

——中危：漏洞可以對目標對象造成一般后果，或者比較困難地對目標造成嚴重后果；

——低危：漏洞可以對目標對象造成輕微后果，或者比較困難地對目標對象造成一般嚴重后果，或者非常困難地對目標對象造成嚴重后果。

漏洞分級過程主要包括最初的指標賦值、中間的指標分級和最后的分級計算三個步驟，其中，指標賦值是對根據具體漏洞對每個漏洞分級指標進行人工賦值；指標分級是根據指標賦值結果分別對被利用性、影響程度和環境因素等三個指標類進行分級；分級計算是根據指標分級計算產生技術分級或綜合分級的結果，技術分級結果由被利用性和影響程度兩個指標類計算產生，綜合分級由被利用性、影響程度和環境因素三個指標類計算產生。漏洞分級過程如圖2所示。

6.3.2 網絡安全漏洞指標分級

6.3.2.1 被利用性分級

被利用性分級反映網絡安全漏洞觸發的技術可能性。被利用性指標組中各指標的不同取值的組合對應不同的被利用性級別。被利用性級別分為9級，用1~9的數字表示，數值越大被利用的可能性越高，見附錄A。

6.3.2.2 影響程度分級

影響程度分級反映網絡安全漏洞觸發造成的危害程度。影響程度指標組中各指標的不同取值的組合對應不同的影響程度級別。不同的影響程度級分為9級，用1~9的數字表示，數值越大導致的危害程度越高，見附錄B。

6.3.2.3 環境因素分級

環境因素是對漏洞進行分級是需要考慮的漏洞所處的網絡環境、當前漏洞被利用的技術程度等外部環境。環境因素分級反映在參考環境下，漏洞的危害程度。環境因素指標組中各指標的不同取值的組合對應不同的環境因素級別。不同的環境因素級別分為9級，用1~9的數字表示，數值越大環境因素導致的漏洞危害程度越高，見附錄C。

6.3.3 網絡安全漏洞技術分級

網絡安全漏洞技術分級分為：超危、高危、中危、低危四個級別。網絡安全漏洞技術分級由被利用性和影響程度兩個指標類決定，漏洞被利用可能性越高（被利用性分級越高）、影響程度越嚴重（影響程度分級越高）,漏洞技術分級的級別越高（漏洞危害程度越大）。漏洞技術分級方法如下：

——首先，對被利用性指標進行賦值，根據賦值結果，按照附錄A計算得到漏洞被利用性分級；

——然后，對影響程度指標進行賦值，根據賦值結果，按照附錄B計算得到影響程度分級；

一最后，根據被利用性和影響程度分級的結果，按照附錄D,計算得到網絡安全漏洞技術分級。

6.3.4 網絡安全漏洞綜合分級

網絡安全漏洞綜合分級分為：超危、高危、中危、低危四個級別。網絡安全漏洞綜合分級由被利用性、影響程度和環境因素三個指標類決定，漏洞被利用可能性越高（被利用性分級越高）、影響程度越嚴重（影響程度分級越高）,環境對漏洞影響越敏感（環境因素分級越高）,漏洞綜合分級的級別越高（漏洞危害程度越大）。漏洞綜合分級方法如下：

——首先，對漏洞進行技術分級，根據前述漏洞技術分級步驟，對被利用性指標進行賦值，根據賦值結果，按照附錄A計算得到漏洞被利用性分級；對影響程度指標進行賦值，根據賦值結果，按照附錄B計算得到影響程度分級；根據被利用性和影響程度分級的結果，按照附錄D,計算得到網絡安全漏洞技術分級。

——然后，對環境因素指標進行賦值，根據賦值結果，按照附錄C計算得到漏洞環境因素分級。

——最后，根據技術分級和環境因素分級的結果，按照附錄E,計算得到網絡安全漏洞綜合分級，漏洞分級示例參見附錄F。