标准规范下载简介
TAF-WG4-AS0017-V1.0.0:2018 移动智能终端漏洞威胁评价方法.pdfEvaluation Methodsfor Smart Mobile Terminal Vulnerability
信终端产业协会 发布
引言 范围 规范性引用文件 术语、定义和缩略语 3.1术语和定义 3.1.1移动智能终端 Smart Mobile Terminal. 3.2缩略语 评价内容和框架 漏洞紧急指数 5.1评价要素 5.2要素赋值 5.2.1静态修正分 5.2.2动态修正分 5.3漏洞紧急指数计算原理 漏洞威胁等级 产品安全指数 7.1评价要素 7.2要素赋值 7.3产品安全指数计算原理 产品安全等级 附录A(资料性附录) 漏洞威胁评价示例, 附录B(资料性附录) 产品安全评价示例, 参考文献
漏洞紧急指数定义漏洞对手机造成的危险程度,也反映了漏洞修复的优先级。漏洞威胁的持续性表 现在漏洞在从被披露到被利用攻击或被修复的过程中,虽未对手机终端造成实际影响,但存在造成实际 影响的机会风险。其机会风险不单纯由漏洞本身的危险性决定,漏洞利用的演进状况也是一个非常重要 的因素。所以漏洞紧急指数包含如下要素: a)基础分:基础分使用CVSS评分体系,采用v3版本BaseScores; b 修正分:修正分用于利用其他漏洞评分体系和漏洞利用的演进阶段信息对基础分进行修正。修 正分包括静态修正分和动态修正分两部分。 静态修正分:静态修正分主要根据其它评价因素对CVSSV3进行补充,目前包括漏洞的弓 用数量和系统厂商的漏洞评级。漏洞的引用数量反映了行业对该漏洞的重视程度,而系统 厂商的漏洞评级反映的官方对漏洞的态度。 动态修正分:动态修正分参考系统漏洞利用的生命周期的阶段性,选取了几个会显著改变 漏洞修正分的重要标志:a.出现了公开的PoC,b.出现了Exploit,c.集成到利用工具, d.出现了利用该漏洞的恶意软件。此外漏洞的ROOT能力也对动态修正有一些影响。
5.2.1静态修正分
5.2.1静态修正分
5. 2. 2 动态修正分
5.3漏洞紧急指数计算原理
.3漏洞紧急指数计算
产品安全指数反映了一个设备对已知漏洞的修复情况。产品安全指数越高,该设备未修复的漏洞数 越少,该设备更安全。产品安全指数是基于漏洞紧急指数、漏洞修复情况、漏洞修复延迟指数等维度对 某个设备的安全情况进行评价,提出的产品安全指数的评价方法。需要说明的是,产品安全指数是随着 漏洞的披露而变化的。也就是说,产品安全指数只能说明该设备当时的安全情况。 漏洞修复延迟影响指数:漏洞的修复延迟代表移动智能终端在危险状态下运行的时间长度,时间越 长意味着移动智能终端的遭受攻击的风险越大。 漏洞影响系数:通过漏洞紧急指数评价结合终端修复的时间延退,判断终端受单一漏洞的影响大小, 漏洞紧急程度约高,修复延迟越大则终端影响越大
T/CEC 223-2019标准下载7.2. 1 漏洞修复延迟影响指数
7. 2. 2 漏洞影响系数
7. 2. 2 漏洞影响系数
7.3产品安全指数计算原理
中:a=1.5,l(i=1,L)表示低危漏洞影响系数,mG=1,"M)表示中危漏洞影响系 (k三1,"H)表示高危漏洞影响系数,L,M,H分别表示低危、中危和高危漏洞数量。