| 漏洞管理 | 您所在的位置:网站首页 › 系统漏洞需不需要修复 › 漏洞管理 |
|
[TOC] 0x01 概述漏洞定级及漏洞修复时效的确立是整个漏洞管理中较为重要的一环。首先,漏洞定级可以将漏洞划分出优先级,方便研发人员有计划的排期修复;其次,漏洞修复时效,可有效的规范修复的时间,增加研发迭代的效率。 0x02 漏洞定级规范根据CVSS评分,将漏洞定级为了五级,分别是:严重、高危、中危、低危以及信息。这里我们只取前四个评级标准,因为信息这个等级,在甲方企业中存在的意义不大,且需要耗费安全人员精力进行处理。而漏洞评分可以简单理解为风险值,分值越大危险系数越高,反之亦然,可用来体现漏洞的危害性。 | 漏洞等级| 漏洞评分|内容描述|解读| | ----| ----| | 严重 | 9-10 | (1)无限制可获取应用或系统权限的漏洞。(例:命令执行、getshell)(2)直接导致严重的信息泄漏漏洞。(例:大量用户信息泄露) (3)直接导致严重影响的逻辑漏洞。(例:密码重置漏洞) |漏洞危害大,利用难度低,涉及数据量大,危害大,可被直接用来进行攻击。| | 高危 | 7-9 |(1)有限制可获取应用或系统权限的漏洞。(例:需要前后台登录才可利用)(2)可获取用户身份信息的漏洞,需交互或获取内容有限。(例:SQL注入)(3)权限控制缺陷导致的漏洞。(例:未授权漏洞、越权漏洞)|漏洞危害较大,且容易被利用攻击,但有一定的限制。| | 中危 | 4-7 |(1)需交互才能获取用户信息的漏洞(例:存储xss、反射型XSS等)。(2)拒绝服务类漏洞。(例:远程或内核)(3)普通信息泄露漏洞。(例:有危害但不可直接利用的信息)(4)本地任意代码执行。|漏洞综合危害一般,利用难度较大或被利用后不会造成严重影响。| |低危 | 1-4 |在特定场景下或漏洞风险有限的漏洞。(例:轻微信息泄露、本地拒绝服务漏洞、URL跳转等)|漏洞综合危害较低,攻击中起到辅助作用。| 0x03 漏洞整改时效规范漏洞整改的时间范围需根据各家公司的行业特性以及内部要求定制。例如金融行业受监管要求,以及本身行业的特殊性,可以将高中低危漏洞的时间继续压缩,如:严重及高危漏洞一天修复完成;中危3天内修复完成;低危7天内修复完成。行业普遍的漏洞修复时效大概如下范围(仅供参考): | 漏洞等级| 漏洞修复时间(天)| | ----| ----| |严重| 1| |高危| 1-3| |中危| 3-7| |低危| 15-20| 0x04 相关参考1、《企业安全建设之漏洞管理与运营》 2、《信息安全技术 网络安全漏洞分类分级指南》 3、《TSRC 漏洞处理和评分标准》 4、《银行互联网渗透测试指南》 [TOC] 0x01 概述漏洞定级及漏洞修复时效的确立是整个漏洞管理中较为重要的一环。首先,漏洞定级可以将漏洞划分出优先级,方便研发人员有计划的排期修复;其次,漏洞修复时效,可有效的规范修复的时间,增加研发迭代的效率。 0x02 漏洞定级规范根据CVSS评分,将漏洞定级为了五级,分别是:严重、高危、中危、低危以及信息。这里我们只取前四个评级标准,因为信息这个等级,在甲方企业中存在的意义不大,且需要耗费安全人员精力进行处理。而漏洞评分可以简单理解为风险值,分值越大危险系数越高,反之亦然,可用来体现漏洞的危害性。 | 漏洞等级| 漏洞评分|内容描述|解读| | ----| ----| | 严重 | 9-10 | (1)无限制可获取应用或系统权限的漏洞。(例:命令执行、getshell)(2)直接导致严重的信息泄漏漏洞。(例:大量用户信息泄露) (3)直接导致严重影响的逻辑漏洞。(例:密码重置漏洞) |漏洞危害大,利用难度低,涉及数据量大,危害大,可被直接用来进行攻击。| | 高危 | 7-9 |(1)有限制可获取应用或系统权限的漏洞。(例:需要前后台登录才可利用)(2)可获取用户身份信息的漏洞,需交互或获取内容有限。(例:SQL注入)(3)权限控制缺陷导致的漏洞。(例:未授权漏洞、越权漏洞)|漏洞危害较大,且容易被利用攻击,但有一定的限制。| | 中危 | 4-7 |(1)需交互才能获取用户信息的漏洞(例:存储xss、反射型XSS等)。(2)拒绝服务类漏洞。(例:远程或内核)(3)普通信息泄露漏洞。(例:有危害但不可直接利用的信息)(4)本地任意代码执行。|漏洞综合危害一般,利用难度较大或被利用后不会造成严重影响。| |低危 | 1-4 |在特定场景下或漏洞风险有限的漏洞。(例:轻微信息泄露、本地拒绝服务漏洞、URL跳转等)|漏洞综合危害较低,攻击中起到辅助作用。| 0x03 漏洞整改时效规范漏洞整改的时间范围需根据各家公司的行业特性以及内部要求定制。例如金融行业受监管要求,以及本身行业的特殊性,可以将高中低危漏洞的时间继续压缩,如:严重及高危漏洞一天修复完成;中危3天内修复完成;低危7天内修复完成。行业普遍的漏洞修复时效大概如下范围(仅供参考): | 漏洞等级| 漏洞修复时间(天)| | ----| ----| |严重| 1| |高危| 1-3| |中危| 3-7| |低危| 15-20| 0x04 相关参考1、《企业安全建设之漏洞管理与运营》 2、《信息安全技术 网络安全漏洞分类分级指南》 3、《TSRC 漏洞处理和评分标准》 4、《银行互联网渗透测试指南》 [TOC] 0x01 概述漏洞定级及漏洞修复时效的确立是整个漏洞管理中较为重要的一环。首先,漏洞定级可以将漏洞划分出优先级,方便研发人员有计划的排期修复;其次,漏洞修复时效,可有效的规范修复的时间,增加研发迭代的效率。 0x02 漏洞定级规范根据CVSS评分,将漏洞定级为了五级,分别是:严重、高危、中危、低危以及信息。这里我们只取前四个评级标准,因为信息这个等级,在甲方企业中存在的意义不大,且需要耗费安全人员精力进行处理。而漏洞评分可以简单理解为风险值,分值越大危险系数越高,反之亦然,可用来体现漏洞的危害性。 | 漏洞等级| 漏洞评分|内容描述|解读| | ----| ----| | 严重 | 9-10 | (1)无限制可获取应用或系统权限的漏洞。(例:命令执行、getshell)(2)直接导致严重的信息泄漏漏洞。(例:大量用户信息泄露) (3)直接导致严重影响的逻辑漏洞。(例:密码重置漏洞) |漏洞危害大,利用难度低,涉及数据量大,危害大,可被直接用来进行攻击。| | 高危 | 7-9 |(1)有限制可获取应用或系统权限的漏洞。(例:需要前后台登录才可利用)(2)可获取用户身份信息的漏洞,需交互或获取内容有限。(例:SQL注入)(3)权限控制缺陷导致的漏洞。(例:未授权漏洞、越权漏洞)|漏洞危害较大,且容易被利用攻击,但有一定的限制。| | 中危 | 4-7 |(1)需交互才能获取用户信息的漏洞(例:存储xss、反射型XSS等)。(2)拒绝服务类漏洞。(例:远程或内核)(3)普通信息泄露漏洞。(例:有危害但不可直接利用的信息)(4)本地任意代码执行。|漏洞综合危害一般,利用难度较大或被利用后不会造成严重影响。| |低危 | 1-4 |在特定场景下或漏洞风险有限的漏洞。(例:轻微信息泄露、本地拒绝服务漏洞、URL跳转等)|漏洞综合危害较低,攻击中起到辅助作用。| 0x03 漏洞整改时效规范漏洞整改的时间范围需根据各家公司的行业特性以及内部要求定制。例如金融行业受监管要求,以及本身行业的特殊性,可以将高中低危漏洞的时间继续压缩,如:严重及高危漏洞一天修复完成;中危3天内修复完成;低危7天内修复完成。行业普遍的漏洞修复时效大概如下范围(仅供参考): | 漏洞等级| 漏洞修复时间(天)| | ----| ----| |严重| 1| |高危| 1-3| |中危| 3-7| |低危| 15-20| 0x04 相关参考1、《企业安全建设之漏洞管理与运营》 2、《信息安全技术 网络安全漏洞分类分级指南》 3、《TSRC 漏洞处理和评分标准》 4、《银行互联网渗透测试指南》 |
| CopyRight 2018-2019 实验室设备网 版权所有 |