業務脆弱性評估是業務持續性保障 BCM 的基礎資料

業務脆弱性評估是業務持續性保障

(bcm)

的基礎資料

---cvss

方法的理解

從風險評估的觀點來看，業務的中斷是由於系統自身的故障或外部的***，而這些***是因為系統本身存在「漏洞與弱點」，***者利用了這些漏洞與弱點，給系統造成了威脅。從軟體設計的觀點來看，任何系統的設計不可能沒有「錯誤與

bug」，有系統平台帶來的，有投資限制而不得以為之的，有開發時間緊張而難以考慮的，有開發者自身經驗不足留下的，也有使用者「不良習慣」造成的

…所以業務保障首先要了解這些系統弱點，綜合評估系統弱點可能帶來的威脅，為保障措施的設計提供依據。

系統的風險評估可以分為系統、業務、功能模組、具體資產四個部分。乙個系統由多個業務組成，每個業務可以分為多個功能模組組成，每個功能模組落實到多個硬體、軟體來具體實現。對弱點的評估從低層的具體資產開始，加上組成系統時的環境因素，最後構成對整個系統弱點的評價。對系統的風險評估有多種定性與定量的方法，這裡介紹的是

通用安全弱點評估系統

(cvss: common vulnerability scoring system)。

cvss

是乙個行業的標準，主要目的是評估安全漏洞的嚴重性。

cvss

是由幾個通訊領域和計算機安全領域的公司發起制定的，並

由first(

事件反應和安全小組論壇)全

力支援的一種安全弱點評估系統，

cvss

是乙個開放並且能夠被產品廠商免費採用的標準，

它解決了先前安全弱點評估系統不相容的問題，並且提供乙個簡潔統一的安全弱點評分，從而方便了安全問題的交流與溝通，企業單位也可以在短時間內對安全漏洞作及**估，把損失減小到最小。目前

microsoft

、oracle

等軟體公司把

cvss

作為其系統軟體漏洞的安全評價方法。

cvss

最初是2023年2

月在美國國土安全部**上公布的，

2023年6

月，first

發布了這個標準的第二版

cvss 2.0

。cvss

的目標是為所有軟體安全漏洞提供乙個嚴重程度的評級。評分系統把能夠完全攻破作業系統層的已知安全漏洞評為基準分數

10分。可以解釋為：

cvss

基準分數為

10分的安全漏洞是指能夠完全攻破系統的安全漏洞，典型的結果是***者完全控制乙個系統，包括作業系統層的管理或者「根

」許可權。

其實cvss

的設計思路可以擴充套件到對業務系統的脆弱性評估，甚至是整個組織系統的脆弱性評估，但是由於

cvss

本身側重於軟體的漏洞分析，所以很多引數設計需要進一步的擴充套件，下面我們具體了解一下

cvss。

一、cvss

的漏洞評估思路：

cvss

把軟體漏洞

的評價分為三個緯度：基本度量、時間度量、環境度量。基本度量是基本安全屬性，是對漏洞本身的安全度量，以及評價在其生命週期中的變化，也就是時間度量，最後，作為資產的使用、業務的運營，其所處的環境也起著重要的影響。所以

cvss

的計算可以說是三個度量緯度的「滾動疊代」。 1

、基本度量：主要是安全的基本屬性，機密性

(保密性

)、一致性

(完整性

)、可用性是資訊保安的三個基本屬性

(cia)

，其重要性不說了。

cvss

在度量中為了把三個屬性相關聯，採用了屬性加權重的方式，把漏洞對每個安全屬性的影響「分布」開來，每個屬性拿出一半的權重給其它兩個屬性，最後三個屬性值求和，這樣做的可以突出漏洞在某一方面對整個軟體的影響。其餘的幾個屬性，是對

cia的補充，也是該漏洞可被利用的途徑，也是軟體設計者讓使用者使用軟體必需經過的通道。 n

訪問向量：也是訪問者的「距離」，是從業務訪問路徑角度來定義的，

cvss

認為本地的安全大，異地訪問給識別使用者帶來困難，也給仿冒者提供方便，所以安全方面給值

0.7， n

訪問複雜性：是對業務訪問的***可能性來定義的，越複雜越安全，但業務訪問是公開的，很容易獲取，所以只給了

0.8。 n

籤權：是業務對使用者的識別。沒有使用者鑑別，也就沒有辦法對使用者的行為審計，對安全的影響是很大的，所以給值為

0.6。

從基本度量的六個引數來看，

cvss

是基於定性的評估，主觀的因素很多，並且沒有針對漏洞的性質進一步的區分，若對整個業務評估還顯不足。 2

、時間度量：

cvss

在時間上的考慮有些不容易被理解，主要是從漏洞資訊的傳播與損失來著想，漏洞是否保密？若不被人所知，漏洞也不會形成威脅。漏洞被公布後，就看它被人利用的可能性，以及漏洞可被修復的等級，若能可以及時被修復，漏洞的威脅也要小很多，這也是我常見的漏洞補丁。 n

可被利用性：實際上是使用漏洞的技術門檻，

cvss

給出了定性評價，從不知道是否可利用，到可以實際利用，到非常方便地利用。 n

可被修復性：補救措施的門檻，也就是補丁或替代方法，但畢竟是後續的補救，需要使用者另外關注，所以即使可修復，也是從

0.87

比例開始。 n

報告的機密性：就是漏洞的傳播速度，漏洞是否為人所了解，能絕對保密，就沒有威脅。這一方面很重要，因為很多漏洞的發現機構都「及時公開」，不僅方便了廠家的及時推出補丁，也方便了***者獲得漏洞資訊，開發新型***手段。

漏洞是軟體開發中不可避免的，從它被發現開始，到可以很方便地被修復，是其「生命週期」。在其「生長」過程中，傳播速度與可利用門檻是它能帶來危害的重要引數。 3

、環境度量：由於該漏洞的出現，也會對整個業務其他部分產生負面的影響，就是附帶的損失影響，這是乙個係數，最高到

0.5。另外

cvss

對資產是否分布式很關注，因為分布的管理相對困難，增加了漏洞的可被利用性。

環境度量值的範圍是

1~10

，很多軟體公司就以這個數值作為軟體漏洞的評價數值，數值越大越危險。

oracle

公司目前公布最威脅的漏洞為

7.5。

在風險評估領域，把環境度量進一步變換成

1~3之間的乙個數值

v，表示評估物件的脆弱性數值。其意義如下：

脆弱性值定義1

嚴重程度高，需要立即整改或加固

2嚴重程度中，需要給予高度重視，在一定時間內整改或加固

3嚴重程度低，需要給予關注，在適當時候加以整改或加固

二、cvss

的計算公式與引數 1

、基本度量值的計算公式與引數

、時間度量值的計算公式與引數

、環境度量值的計算公式與引數

4、脆弱性值計算公式

v = int [ (

環境度量值

* 3) / 10 +0.5 ]

業務脆弱性評估是業務持續性保障 BCM 的基礎資料

MS SQL 異常處理的脆弱性

強名稱（3）強名稱的脆弱性

勒索病毒暴露了網路安全的脆弱性

業務脆弱性評估是業務持續性保障 BCM 的基礎資料

MS SQL 異常處理的脆弱性

強名稱（3）強名稱的脆弱性

勒索病毒暴露了網路安全的脆弱性

相關推薦