网络安全态势评估要素的选取是一个复杂的问题。要素不足会影响分析和评价结果,要素过多则会产生冗余信息。明确网络安全态势评估要素和维度对网络安全态势评估至关重要,决定了计算量以及评估结果的精度、准确性和可信度。
漏洞指的是系统、应用程序或网络中存在的安全弱点或缺陷,可能被黑客或攻击者利用来入侵、破坏或获取未授权的访问权限。漏洞通常是由于程序设计、实现或配置中存在的错误或疏忽所致,因此需要对系统和应用程序进行漏洞评估和修复,以确保其安全性和稳定性。常见的漏洞类型包括但不限于代码注入、跨站点脚本、身份验证和会话管理漏洞、缓冲区溢出等。
在面对特定域网或大规模网络时可以对整体网络空间的漏洞维度进行评估,网络漏洞的总体评估要素包括:
- 漏洞设备的资产是指漏洞所在设备的资产价值,主要用来衡量漏洞所能产生的潜在影响价值。衡量漏洞的危害性必须综合考虑漏洞所在的设备的重要程度。
- 漏洞数目是衡量一个漏洞在特定域网络范围内分布情况的指标。这项评估要素可以反映漏洞的流行程度,可以用漏洞设备在特定域网络范围内所占的百分比来衡量。
- 漏洞的危害性是指漏洞如果被利用能够引发多大的破坏,可以基于单个漏洞的评估要素对漏洞的危害性进行衡量。依据给出的漏洞威胁等级、评估结果形式的不同,对漏洞威胁的评估可划分成定量评估和定性评估。
定量评估就是依据既定的评估要素,通过一系列客观公式进行计算,最终得到一个定量的漏洞威胁评分结果,例如,通用漏洞评分系统CVSS(Common Vulnerability Scoring System)给出的分值范围为0~10。
CVSS评分系统对安全漏洞威胁严重性进行打分,对漏洞的评估要素由三组组成,即基础评估要素、时效性评估要素和环境评估要素。
基础评估要素主要反映漏洞的一些不随环境以及时间变化的固有特性。
- 如何访问一个安全漏洞以及利用漏洞是否需要附加条件。
- 如果该漏洞被成功利用,那么会以何种方式对一个IT资产造成直接影响及其影响程度。
比如成功利用某安全漏洞有可能造成IT资产机密性损失,但是对可用性和完整性并没有影响。
时效性评估要素是指随时间变化但是不随用户的环境变化而变化的漏洞特性,包括漏洞的可利用性、修复程度、报告的置信度等。
环境评估要素是指与某一特定用户环境相关的且只在该环境中存在的漏洞评估要素。
定性评估就是依据漏洞威胁评估要素,最终给出一个确定的漏洞威胁严重性等级。例如,微软厂商(Microsoft)最终确定漏洞威胁程度级别从低到高分为低危、中危、重要和严重四种。
