业务脆弱性评估是业务持续性保障(BCM)的基础数据
---CVSS方法的理解
从风险评估的观点来看,业务的中断是由于系统自身的故障或外部的***,而这些***是因为系统本身存在“漏洞与弱点”,***者利用了这些漏洞与弱点,给系统造成了威胁。从软件设计的观点来看,任何系统的设计不可能没有“错误与Bug”,有系统平台带来的,有投资限制而不得以为之的,有开发时间紧张而难以考虑的,有开发者自身经验不足留下的,也有使用者“不良习惯”造成的…所以业务保障首先要了解这些系统弱点,综合评估系统弱点可能带来的威胁,为保障措施的设计提供依据。
系统的风险评估可以分为系统、业务、功能模块、具体资产四个部分。一个系统由多个业务组成,每个业务可以分为多个功能模块组成,每个功能模块落实到多个硬件、软件来具体实现。对弱点的评估从低层的具体资产开始,加上组成系统时的环境因素,最后构成对整个系统弱点的评价。对系统的风险评估有多种定性与定量的方法,这里介绍的是通用安全弱点评估系统(CVSS: Common Vulnerability Scoring System)。
CVSS是一个行业的标准,主要目的是评估安全漏洞的严重性。CVSS是由几个通信领域和计算机安全领域的公司发起制定的,并由FIRST(事件反应和安全小组论坛)全力支持的一种安全弱点评估系统,CVSS是一个开放并且能够被产品厂商免费采用的标准,它解决了先前安全弱点评估系统不相容的问题,并且提供一个简洁统一的安全弱点评分,从而方便了安全问题的交流与沟通,企业单位也可以在短时间内对安全漏洞作及时评估,把损失减小到最小。目前Microsoft、Oracle等软件公司把CVSS作为其系统软件漏洞的安全评价方法。
CVSS最初是2005年2月在美国国土安全部网站上公布的,2007年6月,FIRST发布了这个标准的第二版CVSS 2.0。CVSS的目标是为所有软件安全漏洞提供一个严重程度的评级。评分系统把能够完全攻破操作系统层的已知安全漏洞评为基准分数10分。可以解释为:CVSS基准分数为10分的安全漏洞是指能够完全攻破系统的安全漏洞,典型的结果是***者完全控制一个系统,包括操作系统层的管理或者“根”权限。
其实CVSS的设计思路可以扩展到对业务系统的脆弱性评估,甚至是整个组织系统的脆弱性评估,但是由于CVSS本身侧重于软件的漏洞分析,所以很多参数设计需要进一步的扩展,下面我们具体了解一下CVSS。
一、CVSS的漏洞评估思路:
CVSS把软件漏洞的评价分为三个纬度:基本度量、时间度量、环境度量。基本度量是基本安全属性,是对漏洞本身的安全度量,以及评价在其生命周期中的变化,也就是时间度量,最后,作为资产的使用、业务的运营,其所处的环境也起着重要的影响。所以CVSS的计算可以说是三个度量纬度的“滚动叠代”。
1、基本度量:主要是安全的基本属性,机密性(保密性)、一致性(完整性)、可用性是信息安全的三个基本属性(CIA),其重要性不说了。CVSS在度量中为了把三个属性相关联,采用了属性加权重的方式,把漏洞对每个安全属性的影响“分布”开来,每个属性拿出一半的权重给其它两个属性,最后三个属性值求和,这样做的可以突出漏洞在某一方面对整个软件的影响。其余的几个属性,是对CIA的补充,也是该漏洞可被利用的途径,也是软件设计者让用户使用软件必需经过的通道。
n         访问向量:也是访问者的“距离”,是从业务访问路径角度来定义的,CVSS认为本地的安全大,异地访问给识别用户带来困难,也给仿冒者提供方便,所以安全方面给值0.7,
n         访问复杂性:是对业务访问的***可能性来定义的,越复杂越安全,但业务访问是公开的,很容易获取,所以只给了0.8。
n         签权:是业务对用户的识别。没有用户鉴别,也就没有办法对用户的行为审计,对安全的影响是很大的,所以给值为0.6。
从基本度量的六个参数来看,CVSS是基于定性的评估,主观的因素很多,并且没有针对漏洞的性质进一步的区分,若对整个业务评估还显不足。
2、时间度量:CVSS在时间上的考虑有些不容易被理解,主要是从漏洞信息的传播与损失来着想,漏洞是否保密?若不被人所知,漏洞也不会形成威胁。漏洞被公布后,就看它被人利用的可能性,以及漏洞可被修复的等级,若能可以及时被修复,漏洞的威胁也要小很多,这也是我常见的漏洞补丁。
n         可被利用性:实际上是使用漏洞的技术门槛,CVSS给出了定性评价,从不知道是否可利用,到可以实际利用,到非常方便地利用。
n         可被修复性:补救措施的门槛,也就是补丁或替代方法,但毕竟是后续的补救,需要使用者另外关注,所以即使可修复,也是从0.87比例开始。
n         报告的机密性:就是漏洞的传播速度,漏洞是否为人所了解,能绝对保密,就没有威胁。这一方面很重要,因为很多漏洞的发现机构都“及时公开”,不仅方便了厂家的及时推出补丁,也方便了***者获得漏洞信息,开发新型***手段。
漏洞是软件开发中不可避免的,从它被发现开始,到可以很方便地被修复,是其“生命周期”。在其“生长”过程中,传播速度与可利用门槛是它能带来危害的重要参数。
3、环境度量:由于该漏洞的出现,也会对整个业务其他部分产生负面的影响,就是附带的损失影响,这是一个系数,最高到0.5。另外CVSS对资产是否分布式很关注,因为分布的管理相对困难,增加了漏洞的可被利用性。
环境度量值的范围是1~10,很多软件公司就以这个数值作为软件漏洞的评价数值,数值越大越危险。Oracle公司目前公布最威胁的漏洞为7.5。
在风险评估领域,把环境度量进一步变换成1~3之间的一个数值V,表示评估对象的脆弱性数值。其意义如下:
脆弱性值
定义
1
严重程度高,需要立即整改或加固
2
严重程度中,需要给予高度重视,在一定时间内整改或加固
3
严重程度低,需要给予关注,在适当时候加以整改或加固
二、CVSS的计算公式与参数
    1、基本度量值的计算公式与参数
    2、时间度量值的计算公式与参数
    3、环境度量值的计算公式与参数
 
  4、脆弱性值计算公式
      V = INT [ (环境度量值 * 3) / 10 +0.5 ]

业务脆弱性评估是业务持续性保障(BCM)的基础数据相关推荐

  1. 卫星导航系统脆弱性评估与对策

    随着卫星导航系统及其应用的发展,卫星导航系统已经成为重要的.不可或缺的空间基础设施,其应用已经渗透到几乎所有领域,成为国防能力的倍增器,经济发展的助推器,在保障国家安全与促进经济发展中发挥着不可替代的 ...

  2. 华为云计算IE面试笔记-华为云计算解决方案业务迁移支持哪些迁移?有哪些特点?请描述基本的业务交付流程、业务迁移流程和原则。

    1. 迁移场景:华为云计算解决方案按照源端环境来说,支持P2V.V2V(P2V:物理设备(操作系统及其上的应用软件和数据)迁移到华为虚拟化平台.V2V:其他厂商的虚拟化平台迁移到华为虚拟化平台.)以及 ...

  3. 无业务不伸缩之一,云计算有ESS(基础篇)

    云计算ESS弹性伸缩课程 无业务不伸缩之一,云计算有ESS(基础篇) 一名网工的情怀 从初出茅庐到资深网工也用了十年时间吧,在专业的运维公司呆过.在政府外包单位干过.再到生产型企业最后在化工行业.有过 ...

  4. To B 业务 vs To C 业务

    引言 | To B or Not to B, there is not a question. 上一篇文章我们聊了下To B 业务是什么,它的产品路径是怎样的. 本文我们来聊聊To B 和To C 的 ...

  5. 【业务架构】LEANIX : 业务能力

    业务能力是组织执行核心功能所需的能力.材料和专业知识的表达或发声.企业架构师使用业务能力来说明业务的总体需求,以便更好地制定满足这些业务需求的 IT 解决方案. 目录 介绍 业务能力建模 您可以通过业 ...

  6. python使用箱图法和业务规则进行异常数据处理并检查预测使用的数据特征是否有字段缺失的情况并补齐

    python使用箱图法和业务规则进行异常数据处理并检查预测使用的数据特征是否有字段缺失的情况并补齐 关于预测或者推理的时候特征补齐的情况是这样的: 你在模型训练的时候使用了多少特征,那么在模型预测和推 ...

  7. 【电信增值业务学习笔记】10基于业务节点的增值业务提供技术

    作者:gnuhpc 出处:http://www.cnblogs.com/gnuhpc/ 1.业务节点概念: 智能网有如下问题 交换机需要升级支持SSP和INAP: SCP系统技术门槛较高,成本较高: ...

  8. 使用 UML 进行业务建模:理解业务用例与系统用例的相似和不同之处

    來源:http://www.uml.org.cn/requirementproject/200707024.asp 作者:Arthur V. English 出处:IBM   本文来自于 Ration ...

  9. 如何查找业务用例和业务执行者

    查找业务参与者 业务参与者可以是与业务交互的任何个人.小组.组织.公司或机器,例如: 客户 合作伙伴 供应商 权威机构(法律.法规等等) 子公司 所有者和投资者(决定董事会是应为业务的一部分,还是应建 ...

最新文章

  1. mysql 和 oracle 的一些区别
  2. hybrid app、web app与native app工具
  3. httpservlet获取请求端IP地址
  4. PHP登录表单提交前端验证,form表单提交前先用ajax进行验证(前端)
  5. 获得1.5亿区块链投资后,矩阵元怎么做区块链?
  6. 通过CDN引入jQuery的几种方式
  7. 如何在云服务器上装系统吗,如何在云服务器上装系统吗
  8. php微信发送客服消息,微信公众号利用客服消息和模板消息实现微信群发
  9. ElementUI表格序号翻页后重置的解决办法
  10. ubuntu codename
  11. 什么是ASIC芯片?与CPU、GPU、FPGA相比如何?
  12. namecheap 添加二级域名
  13. ruby语言学习-开启篇
  14. linux使用光盘镜像(ISO)作为软件源安装软件
  15. Android隐藏的权限管理机制:AppOps
  16. 企业法律纠纷信息如何查询收集?
  17. SM4350 背光控制--关闭XBL WLED
  18. 【OpenCV 例程300篇】214. 绘制椭圆的参数详解
  19. 在线考试系统设计时必须考虑的问题之三----------考试题库问题
  20. Javaweb开发了解前端知识七、Servlet(一)

热门文章

  1. Unity3d 网络编程(一)(Unity3d内建网络Network介绍)
  2. 安装mysql和memcached
  3. 利用EntityFramework获得双色球数据库
  4. Oracle 升级10.2.0.5.4 OPatch 报错Patch 12419392 Optional component(s) missing 解决方法
  5. [歌曲]心愿(by 四个女生)
  6. HDU 2094 产生冠军
  7. flexi-streams用法简介
  8. 云计算如何重塑和简化大规模IT资产
  9. android—label窗口——基础编
  10. 在线答题系统开发经验mysql,php