业务脆弱性评估是业务持续性保障 (BCM) 的基础数据
---CVSS方法的理解
 
从风险评估的观点来看,业务的中断是由于系统自身的故障或外部的***,而这些***是因为系统本身存在“漏洞与弱点”,***者利用了这些漏洞与弱点,给系统造成了威胁。从软件设计的观点来看,任何系统的设计不可能没有“错误与Bug”,有系统平台带来的,有投资限制而不得以为之的,有开发时间紧张而难以考虑的,有开发者自身经验不足留下的,也有使用者“不良习惯”造成的所以业务保障首先要了解这些系统弱点,综合评估系统弱点可能带来的威胁,为保障措施的设计提供依据。
系统的风险评估可以分为系统、业务、功能模块、具体资产四个部分。一个系统由多个业务组成,每个业务可以分为多个功能模块组成,每个功能模块落实到多个硬件、软件来具体实现。对弱点的评估从低层的具体资产开始,加上组成系统时的环境因素,最后构成对整个系统弱点的评价。对系统的风险评估有多种定性与定量的方法,这里介绍的是通用安全弱点评估系统(CVSS: Common Vulnerability Scoring System)
CVSS是一个行业的标准,主要目的是评估安全漏洞的严重性。CVSS是由几个通信领域和计算机安全领域的公司发起制定的,并FIRST(事件反应和安全小组论坛)力支持的一种安全弱点评估系统,CVSS一个开放并且能够被产品厂商免费采用的标准,它解决了先前安全弱点评估系统不相容的问题,并且提供一个简洁统一的安全弱点评分,从而方便了安全问题的交流与沟通,企业单位也可以在短时间内对安全漏洞作及时评估,把损失减小到最小。目前MicrosoftOracle等软件公司把CVSS作为其系统软件漏洞的安全评价方法。
CVSS最初是20052月在美国国土安全部网站上公布的,20076月,FIRST发布了这个标准的第二版CVSS 2.0CVSS的目标是为所有软件安全漏洞提供一个严重程度的评级。评分系统把能够完全攻破操作系统层的已知安全漏洞评为基准分数10分。可以解释为:CVSS基准分数为10分的安全漏洞是指能够完全攻破系统的安全漏洞,典型的结果是***者完全控制一个系统,包括操作系统层的管理或者权限。
其实CVSS的设计思路可以扩展到对业务系统的脆弱性评估,甚至是整个组织系统的脆弱性评估,但是由于CVSS本身侧重于软件的漏洞分析,所以很多参数设计需要进一步的扩展,下面我们具体了解一下CVSS
 
一、CVSS的漏洞评估思路:
CVSS把软件漏洞的评价分为三个纬度:基本度量、时间度量、环境度量。基本度量是基本安全属性,是对漏洞本身的安全度量,以及评价在其生命周期中的变化,也就是时间度量,最后,作为资产的使用、业务的运营,其所处的环境也起着重要的影响。所以CVSS的计算可以说是三个度量纬度的“滚动叠代”。
1、基本度量:主要是安全的基本属性,机密性(保密性)、一致性(完整性)、可用性是信息安全的三个基本属性(CIA),其重要性不说了。CVSS在度量中为了把三个属性相关联,采用了属性加权重的方式,把漏洞对每个安全属性的影响“分布”开来,每个属性拿出一半的权重给其它两个属性,最后三个属性值求和,这样做的可以突出漏洞在某一方面对整个软件的影响。其余的几个属性,是对CIA的补充,也是该漏洞可被利用的途径,也是软件设计者让用户使用软件必需经过的通道。
n         访问向量:也是访问者的“距离”,是从业务访问路径角度来定义的,CVSS认为本地的安全大,异地访问给识别用户带来困难,也给仿冒者提供方便,所以安全方面给值0.7
n         访问复杂性:是对业务访问的***可能性来定义的,越复杂越安全,但业务访问是公开的,很容易获取,所以只给了0.8
n         签权:是业务对用户的识别。没有用户鉴别,也就没有办法对用户的行为审计,对安全的影响是很大的,所以给值为0.6
从基本度量的六个参数来看,CVSS是基于定性的评估,主观的因素很多,并且没有针对漏洞的性质进一步的区分,若对整个业务评估还显不足。
2、时间度量:CVSS在时间上的考虑有些不容易被理解,主要是从漏洞信息的传播与损失来着想,漏洞是否保密?若不被人所知,漏洞也不会形成威胁。漏洞被公布后,就看它被人利用的可能性,以及漏洞可被修复的等级,若能可以及时被修复,漏洞的威胁也要小很多,这也是我常见的漏洞补丁。
n         可被利用性:实际上是使用漏洞的技术门槛,CVSS给出了定性评价,从不知道是否可利用,到可以实际利用,到非常方便地利用。
n         可被修复性:补救措施的门槛,也就是补丁或替代方法,但毕竟是后续的补救,需要使用者另外关注,所以即使可修复,也是从0.87比例开始。
n         报告的机密性:就是漏洞的传播速度,漏洞是否为人所了解,能绝对保密,就没有威胁。这一方面很重要,因为很多漏洞的发现机构都“及时公开”,不仅方便了厂家的及时推出补丁,也方便了***者获得漏洞信息,开发新型***手段。
漏洞是软件开发中不可避免的,从它被发现开始,到可以很方便地被修复,是其“生命周期”。在其“生长”过程中,传播速度与可利用门槛是它能带来危害的重要参数。
3、环境度量:由于该漏洞的出现,也会对整个业务其他部分产生负面的影响,就是附带的损失影响,这是一个系数,最高到0.5。另外CVSS对资产是否分布式很关注,因为分布的管理相对困难,增加了漏洞的可被利用性。
 
环境度量值的范围是1~10,很多软件公司就以这个数值作为软件漏洞的评价数值,数值越大越危险。Oracle公司目前公布最威胁的漏洞为7.5
在风险评估领域,把环境度量进一步变换成1~3之间的一个数值V,表示评估对象的脆弱性数值。其意义如下:
脆弱性值
定义
1
严重程度高,需要立即整改或加固
2
严重程度中,需要给予高度重视,在一定时间内整改或加固
3
严重程度低,需要给予关注,在适当时候加以整改或加固
 
二、CVSS的计算公式与参数
    1、基本度量值的计算公式与参数
业务脆弱性评估是业务持续性保障(BCM)的基础数据_第1张图片
    2、时间度量值的计算公式与参数
业务脆弱性评估是业务持续性保障(BCM)的基础数据_第2张图片
    3、环境度量值的计算公式与参数
  业务脆弱性评估是业务持续性保障(BCM)的基础数据_第3张图片
  4、脆弱性值计算公式
      V = INT [ (环境度量值 * 3) / 10 +0.5 ]