工业互联网系统脆弱性检测专家打分指标值分类说明、判断矩阵表、检测列表、漏洞严重性等级评定表、计算示例.docx

附录A （规范性） 工业互联网系统脆弱性检测专家打分指标值分类说明 A.1访问赋值路径说明 访问路径的赋值包括本地、邻接和远程，通常可被远程利用的平安漏洞危害程度高于可被邻接利用 的平安漏洞，本地平安漏洞次之。 表A.1访问赋值路径说明表 赋值 描述 本地 利用该平安漏洞要求攻击者物理接触到受攻击的系统，或者已具有一个本地账号。本地攻击示 例：本地权限提升等 邻接 利用该平安漏洞要求攻击者与受攻击系统处于同一个广播域或冲突域中。邻接攻击例如：蓝牙、 IEEE802. 11 等 远程 不局限与本地和邻接。远程攻击例如：RPC缓冲区溢出漏洞 A.2攻击复杂度赋值说明表A. 2攻击复杂度赋值说明表 赋值 描述 简单 无需借助外部条件，例如自动操作、无需授权即可完成攻击 复杂 需要借助外部条件，例如需要人工参与点击文件，点击按钮或者用户授权 A.3保密性、完善性和可用性影响赋值说明 影响程度的赋值由平安漏洞对目标的保密性、完整性和可用性三个方面的影响共同导出，每个方面 的影响赋值为完全、局部和无。 表A.3保密性、完善性和可用性影响赋值说明表 赋值 描述 完全 平安漏洞对保密性、完整性和可用性的影响较严重 局部 平安漏洞对保密性、完整性和可用性影响相对较轻 无 平安漏洞对保密性、完整性和可用性无影响 表A. 4访问赋值路径量化表 赋值分类 指标分类量化值 赋值说明 本地 0 W本地V 3 邻接 3 W邻接V 7 远程 7 W远程V 10 表A. 5攻击复杂度量化值表 E. 3.1 一致性验证及确定指标权重 由步骤（1）得到的判断矩阵，计算各层指标权重171 =(0.8,0.27^1 =(0.8,0,2)7 （矩阵Ci的特征向量）(2) (2) %二(0.089,0.3234,0.5876)7（矩阵C2的特征向量） 犷 3 =(0.7439,0.0633,0.1939)7（矩阵C3的特征向量） %4 二(0.637,0.1047.0.2583)丁 (4) （矩阵C4的特征向量） 昨(0.0614,0.1811,0.6294,0.1281》（矩阵8的特征向量） 对各判断矩阵进行一致性验证，结果如下各矩阵的最大特征值: 2（Cl）ma 4（C2）maW（C2,ax 丸（C3）ma J（C3）max 几（C4）max%（B）ma xA（B）max 各矩阵相对一致性指标: C7?(C.) = C/(C1) = 0<0.10C7?(C2)= a©) = 0.0079 <0.10 7?/(n = 3) C/?(C2)= C"C2)= 0.0079 <0.10 7?/(n = 3)CR(C3)= 67(°3)= o.O614< 0.10 RI(n = 3)C/?(C4)= O,©) = 0.0332 <0.10 RI(n = 3)CR(B) = C'(B)= 0.0497 <0.10 RI(n = 4) 经验证，各矩阵的相对一致性指标均小于0.10,故各判断矩阵均具有满意的一致性，判 断结果合理。 一致性检验RI值假设有一位专家，于是Mijknfij&Sij。，请专家打分，获得由各二级指标得分组成的评分样本矩阵D, 阶 数 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 R 0 0 0.5 0.8 1. 1 1.2 1.3 1.4 1.4 0.4 0.5 1.5 1.5 1.5 1.5 I 2 9 2 6 6 1 6 9 2 4 6 8 9 值 7.5,7.0,8.0,5.0,7.0,9.0 7.5,7.0,8.0,5.0,7.0,9.0 11, dl2bd211,^211,1231, d311, 6?321, ^331, t/441, 6^421, 6^431 把各二级指标的分值代入各灰类的白化权函数, x + 2 22 - x ~2~ ,xe(0,2)0,%£[—2,2] x + 2 ~T, 2-x ~2~心(-2,0]£ 心（0,2） 0,x^[0,4](0,2] f]=< 4 — x 小彳、 ,xe(2,4) 0,xe[0,4] Y-,xe(0,2] 2 4 — x —八 ——,xe(2,4) 0,冗任[2,6]0”e[2,6] 0,无。[4,8]0,%任[4,8] x-22 6-x r ,xe(2,4]f/2=</ £(4,6) x-2 "T- 6-x K,xe(2,4]/； = / £(4,6) x-4 2 8 - xF 心(4,6/=<,xe(6,8) x-42 8 — x千 ,x£(4,6]/ £(6,8) fj 0,x^[8,12]0,xe[8,12] 7%e(8,10]-5= 之二X£ (10,12) 以士X£ (10,12) 2、 2 0, % .[6,10]?%e(6,8] f；= 10 — X /Q 1八\ ,x g (8,10) 0/e[6,10] Y 一 £< --,xe(6,8] f：=< 1° - X /Q 1 ,X € (8,10) 计算各2级指标Q属于各个灰类的灰色评价系数(如表2.2所示), 品7旨标 权函数 diii di2i ^211 ^221 ^231 ^311 ^321 ^331 ^411 ^421 ^431 A) 0 0 0 0 0 0 0 0 0 0 0 fi 0 0 0 0 0 0 0 0 0 0 0 fl 0 0 0 0 0 0 0 0 0.5 0 0 h 0 0 0 0 0.5 0.25 0.5 0 0.5 0.5 0 A 1 1 1 0.5 0.5 0.75 0.5 1 0 0.5 0.5 fs 0 0 0 0.5 0 0 0 0 0 0 0.5 表E. 1表2.2各二级指标属于各个灰类的灰色评价权得到1级指标8•的所有2级指标Q对于各个评价灰类的灰色评价权矩阵: M 2 = (M 2\y M 22. M 23)T = 0 0 00 0.5 0.5 0 0 0 0.5 0.50 0 0 0.25 0.75 0 M3 = (A/3L“32,M33)7 = 0 0 00.50.5 0 0 0 0010_0 0 0.5 M 4 = (M 4\, M 42. M= 0 000 0 0 0.5 00.5 0.5 0 0.50 0 0.5 (l) 计算0级指标A下属所有1级指标3对于各评价灰类的灰色评价权矩阵N如 N1 = WixA/iNi = WixA/i N = [Nl, N2, N3, N4]7 N = [Nl, N2, N3, N4『0 00 00 00 00 0 0 0.3185 0 0.2938 0.2173 0.3709 1 0.5445 0.7827 0.1815 0 0.1617 0 0.1291 0100.2938 0.5445 0.1617 0.2173 0.782700 0 0.3185 0.3709 0.1815 0 0 0.3185 0.3709 0.1815 0.1291 计算总指标A的灰色评价权向量V V = WT X NV = WT xN = (0,0,0.0408,0.2375,0.6759,0.0458)由 max{v/} = V5 = 0.6759max{vz} = V5 = 0.6759 l</<6l<z<6可知，该漏洞严重性属于灰类5 （高）的评价权最高，此外该漏洞严重性属于灰类4 （中）的评 价权也比拟大为0.3472,仅次于0.4009,故该漏洞的严重性等级是介于中和高之间且偏向于高。 （2） 计算该漏洞严重性的综合量化值由 ST=[2.0,4.0,6.0,8.0,10.0][/v = Vx5r =7.4534 可得漏洞严重性的综合量化值为7. 4534。 赋值分类 指标分类量化值 赋值说明 简单 0 W简单V 5 复杂 5 W复杂< 10 表A. 6保密性、完善性和可用性三个方面的量化值 赋值分类 指标分类量化值 赋值说明 无 0 局部 1 W局部V 7 完全 7 W完全< 10 表A.7官方补丁、临时补丁、临时解决方案三个方面的量化值 赋值分类 指标分类量化值 赋值说明 没有 0 有 7 W 有 V 10 表A.8漏洞存在的可能性、技术细节报告的可信度的量化值 赋值分类 指标分类量化值 赋值说明 低 0 W 低 < 3 中 3〈中 V 7 高 7 W 高 V 10 表A. 9授权认证的量化值 赋值分类 指标分类量化值 赋值说明 屡次 0 W屡次V 3 一次 3 < 一次 V 7 不需要认证 7 W不需要认证V 10 附录B （资料性） 判断矩阵表 表B. 1第二层中漏洞存在的可能性C11和技术细节报告的可信度C12相对于可信度B1的重要性 名称 漏洞存在的 可能性C11 技术细节 报告的可 信度C12 C1 漏洞存在 的可能性 C11 技术细节 报告的可 信度C12 表B. 2第二层中访问向量C21、访问复杂度C22和授权认证C23相对于可利用B2的重要性 名称 访问向量 C21 访问复杂度 C22 授权认证 C23 访问向量C21 访问复杂度C22 授权认证C23 表B. 3第二层中保密性C31、完整性C32和可利用性C33相对于对目标系统平安性影响B3的重要性 C3 名称 保密性 C31 完整性 C32 可利用 性C33 保密性 C31 完整性 C32 可利用 性C33 表B. 4第二层中官方补丁 C41、临时补丁 C42和临时解决方案C43相对于修复水平B4的重要性 C4 名称 官方补丁 C41 临时补丁 C42 临时解决方 案C43 官方补 T C41 临时补 T C42 临时解 决方案 C43 表B.5表F.5第一层中可信度B1、可利用B2、对目标系统平安性影响B3和修复水平B4相对于漏洞严重 性的重要性 B 名称 可信度B1 可利用B2 对目标系统安 全性影响B3 修复水平B4 可信度B1 可利用B2 对目标系统安 全性影响B3 修复水平B4 附录c （规范性） 弱点脆弱性检测列表 表C. 1弱点脆弱性检测列表 检测 环境与封装 对错误会话暴露数据元素 遗留调试代码 数据信任边界的违背 类的错误比拟 私有数组类型数据域的不平安操作 包含敏感数据类的平安 暴露危险的方法或函数 存储不可序列化的对象到磁盘 API调用 参数指定错误 堆内存释放问题 忽略函数返回值 端口多重绑定 指针平安 不兼容的指针类型 利用指针减法确定内存大小 将固定地址赋值给指针 试图访问非结构体类型的域 释放一个不在缓冲区起始位置的指针 指针偏移越界 无效指针使用 初始化与清理环节 资源与变量不平安初始化 引用计数的更新不恰当 过期的文件描述符 初始化失败后未退出 异常状态的处理 启用后台线程前主线程未完成类的初始化 发布未完成初始化的对象 资源不平安清理 错误处理 时间和状态 关键状态数据外部可控 隐蔽通道 未加限制的外部可访问锁 会话过期机制缺失 将资源暴露给错误范围 未经控制的递归 无限循环 信号错误 共享资源的并发平安问题 不平安的临时文件 符号名称未映射到正确对象 Web重定向后执行额外代码 通用平安特性 权限、特权与访问控制问题 密码平安问题 随机数平安问题 数据真实性验证问题 个人信息保护 数据处理 非预期数据类型处理不当 数据/内存布局问题 绕过净化和验证 在字符串验证前未进行过滤 条件比拟不充分 泛型和非泛型原始数据类型 字节序使用问题 结构体长度 数值越界回绕错误 除零问题 边界值检查缺失 敏感信息暴露 信息丧失或遗漏 数据结构控制域平安问题 内存缓冲区边界操作 忽略字符串结尾符 对环境变量长度做出假设 缓冲区复制造成溢出 使用错误长度访问缓冲区 路径遍历 文件访问解析为链接不恰当 非可信环境下命令执行 循环条件输入导致拒绝服务 外部控制文件名或路径检查 外部控制格式化字符串问题 对方法或函数参数验证问题 URL重定向 命令行注入 SQL执行语句注入 跨站脚本 未恰当处理语法形式不完全符合预期规范的输入 对输出日志中特殊字符处理问题 对 头Web脚本特殊字符处理问题 代码质量 文件描述符穷尽问题 内存未释放 对网络消息容量的控制 算法复杂度问题 早期放大问题 子进程访问父进程敏感资源问题 堆空间耗尽问题 重复释放资源 访问已释放内存 内存释放指针赋值问题 内存管理函数成对调用 条件语句缺失默认情况问题 无法执行的死代码问题 返回栈上变量地址问题 可达断言 实现不一致函数问题 表达式永真或永假问题 附录D （资料性） 工业互联网系统漏洞严重性等级评定表 参见表H. 1表D. 1 漏洞严重性计算量化值 分类 描述 0.0 很低 2.0 低 4.0 中 6.0 较高 8.0 高 10.0 很高 注：计算出的综合量化值与表E.1的等级量化值进行比拟，差的绝对值小的就属于那一个分类。 附录E（资料性） 工业互联网系统脆弱性计算例如E.1严重性漏洞检测信息 漏洞名称 Android seccomp权限提升漏洞 发布日期 2019-05-10 影响产品 Android 来源 国家信息平安漏洞共享平台 描述 Android 一套以Linux为基础的开源操作系统。 Android Kernel组件seccomp存在权限提升漏洞。攻击者可利用该漏洞绕过 seccomp,提升权限。 访问向量 远程网络攻击 访问复杂度 低 授权认证 不需要 影响类型 通用型漏洞 临时解决方 案 厂商已发布漏洞修复程序，请及时关注更新： s:〃source, android, com/security/bulletin/2019-05-01 厂商补丁 Android seccomp权限提升漏洞的补丁 E.2专家打分获得由各二级指标得分组成的评分样本 0级指标 1级指标 2级指标 专家赋值 漏洞严重性A 可信度Bi 漏洞存在的可能性C” 8.0 技术细节报告的可信度C|2 8.0 可利用b2 访问向量c21 8.0 访问复杂度c22 9.0 授权认证C23 7.0 对目标系统平安性 影响b3 保密性C.3. 7.5 完整性C32 7.0 可利用性C33 8.0 修复水平B, 官方补丁 c“ 5.0 临时补丁 C42 7.0 临时解决方案C.3 9.0 E.3检测值的计算和级别判定 构造检测体系中每一层的判断矩阵，分别如下: