业务脆弱性评估是业务持续性保障(BCM)的基础数据

业务脆弱性评估是业务持续性保障 (BCM) 的基础数据

---CVSS 方法的理解

 

从风险评估的观点来看，业务的中断是由于系统自身的故障或外部的攻击，而这些攻击是因为系统本身存在“漏洞与弱点”，攻击者利用了这些漏洞与弱点，给系统造成了威胁。从软件设计的观点来看，任何系统的设计不可能没有“错误与 Bug ”，有系统平台带来的，有投资限制而不得以为之的，有开发时间紧张而难以考虑的，有开发者自身经验不足留下的，也有使用者“不良习惯”造成的 … 所以业务保障首先要了解这些系统弱点，综合评估系统弱点可能带来的威胁，为保障措施的设计提供依据。

系统的风险评估可以分为系统、业务、功能模块、具体资产四个部分。一个系统由多个业务组成，每个业务可以分为多个功能模块组成，每个功能模块落实到多个硬件、软件来具体实现。对弱点的评估从低层的具体资产开始，加上组成系统时的环境因素，最后构成对整个系统弱点的评价。对系统的风险评估有多种定性与定量的方法，这里介绍的是 通用安全弱点评估系统 (CVSS: Common Vulnerability Scoring System) 。

CVSS 是一个行业的标准，主要目的是评估安全漏洞的严重性。 CVSS 是由几个通信领域和计算机安全领域的公司发起制定的，并 由 FIRST( 事件反应和安全小组论坛 ) 全 力支持的一种安全弱点评估系统， CVSS 是 一个开放并且能够被产品厂商免费采用的标准， 它解决了先前安全弱点评估系统不相容的问题，并且提供一个简洁统一的安全弱点评分，从而方便了安全问题的交流与沟通，企业单位也可以在短时间内对安全漏洞作及时评估，把损失减小到最小。目前 Microsoft 、 Oracle 等软件公司把 CVSS 作为其系统软件漏洞的安全评价方法。

CVSS 最初是 2005 年 2 月在美国国土安全部网站上公布的， 2007 年 6 月， FIRST 发布了这个标准的第二版 CVSS 2.0 。 CVSS 的目标是为所有软件安全漏洞提供一个严重程度的评级。评分系统把能够完全攻破操作系统层的已知安全漏洞评为基准分数 10 分。可以解释为： CVSS 基准分数为 10 分的安全漏洞是指能够完全攻破系统的安全漏洞，典型的结果是攻击者完全控制一个系统，包括操作系统层的管理或者 “ 根 ” 权限。

其实 CVSS 的设计思路可以扩展到对业务系统的脆弱性评估，甚至是整个组织系统的脆弱性评估，但是由于 CVSS 本身侧重于软件的漏洞分析，所以很多参数设计需要进一步的扩展，下面我们具体了解一下 CVSS 。

 

一、 CVSS 的漏洞评估思路：

CVSS 把软件 漏洞 的评价分为三个纬度：基本度量、时间度量、环境度量。基本度量是基本安全属性，是对漏洞本身的安全度量，以及评价在其生命周期中的变化，也就是时间度量，最后，作为资产的使用、业务的运营，其所处的环境也起着重要的影响。所以 CVSS 的计算可以说是三个度量纬度的“滚动叠代”。

1 、基本度量：主要是安全的基本属性，机密性 ( 保密性 ) 、一致性 ( 完整性 ) 、可用性是信息安全的三个基本属性 (CIA) ，其重要性不说了。 CVSS 在度量中为了把三个属性相关联，采用了属性加权重的方式，把漏洞对每个安全属性的影响“分布”开来，每个属性拿出一半的权重给其它两个属性，最后三个属性值求和，这样做的可以突出漏洞在某一方面对整个软件的影响。其余的几个属性，是对 CIA 的补充，也是该漏洞可被利用的途径，也是软件设计者让用户使用软件必需经过的通道。

n         访问向量：也是访问者的“距离”，是从业务访问路径角度来定义的， CVSS 认为本地的安全大，异地访问给识别用户带来困难，也给仿冒者提供方便，所以安全方面给值 0.7 ，

n         访问复杂性：是对业务访问的入侵可能性来定义的，越复杂越安全，但业务访问是公开的，很容易获取，所以只给了 0.8 。

n         签权：是业务对用户的识别。没有用户鉴别，也就没有办法对用户的行为审计，对安全的影响是很大的，所以给值为 0.6 。

从基本度量的六个参数来看， CVSS 是基于定性的评估，主观的因素很多，并且没有针对漏洞的性质进一步的区分，若对整个业务评估还显不足。

2 、时间度量： CVSS 在时间上的考虑有些不容易被理解，主要是从漏洞信息的传播与损失来着想，漏洞是否保密？若不被人所知，漏洞也不会形成威胁。漏洞被公布后，就看它被人利用的可能性，以及漏洞可被修复的等级，若能可以及时被修复，漏洞的威胁也要小很多，这也是我常见的漏洞补丁。

n         可被利用性：实际上是使用漏洞的技术门槛， CVSS 给出了定性评价，从不知道是否可利用，到可以实际利用，到非常方便地利用。

n         可被修复性：补救措施的门槛，也就是补丁或替代方法，但毕竟是后续的补救，需要使用者另外关注，所以即使可修复，也是从 0.87 比例开始。

n         报告的机密性：就是漏洞的传播速度，漏洞是否为人所了解，能绝对保密，就没有威胁。这一方面很重要，因为很多漏洞的发现机构都“及时公开”，不仅方便了厂家的及时推出补丁，也方便了攻击者获得漏洞信息，开发新型攻击手段。

漏洞是软件开发中不可避免的，从它被发现开始，到可以很方便地被修复，是其“生命周期”。在其“生长”过程中，传播速度与可利用门槛是它能带来危害的重要参数。

3 、环境度量：由于该漏洞的出现，也会对整个业务其他部分产生负面的影响，就是附带的损失影响，这是一个系数，最高到 0.5 。另外 CVSS 对资产是否分布式很关注，因为分布的管理相对困难，增加了漏洞的可被利用性。

 

环境度量值的范围是 1~10 ，很多软件公司就以这个数值作为软件漏洞的评价数值，数值越大越危险。 Oracle 公司目前公布最威胁的漏洞为 7.5 。

在风险评估领域，把环境度量进一步变换成 1~3 之间的一个数值 V ，表示评估对象的脆弱性数值。其意义如下：

脆弱性值	定义
1	严重程度高，需要立即整改或加固
2	严重程度中，需要给予高度重视，在一定时间内整改或加固
3	严重程度低，需要给予关注，在适当时候加以整改或加固

 

二、 CVSS 的计算公式与参数

    1 、基本度量值的计算公式与参数

    2 、时间度量值的计算公式与参数

    3 、环境度量值的计算公式与参数

 

  4 、脆弱性值计算公式

      V = INT [ ( 环境度量值 * 3) / 10 +0.5 ]