漏洞分类标准

说明

1

CVE漏洞分类

CVE是国际上权威的网络安全漏洞发布组织，是美国MITRE公司建设和维护的安全漏洞字典。CVE给出已公开的安全漏洞的统一标识和规范化描述，目标是便于共享漏洞数据

CVE条目包含标识数字、安全漏洞简要描述和至少一个公开参考

标识数字简称CVE ID，其格式由年份数字和其他数字组成，如CVE-2019-1543为OpenSSL安全漏洞编号

2

CVSS漏洞分级标准

CVSS是通用漏洞计分系统，分数计算依据由基本度量计分、时序度量计分、环境度量计分组成

基本度量计分：由攻击向量、攻击复杂性、特权要求、用户交互、完整性影响、保密性影响、可用性影响、影响范围等参数决定

时序度量计分：由漏洞利用代码成熟度、修补级别、漏洞报告可信度等参数决定

环境度量计分：由完整性要求、保密性要求、可用性要求、修订基本得分等决定

3

我国信息安全漏洞分类

我国网络安全管理部门建立了国家信息安全漏洞库（CNNVD）漏洞分类分级标准、国家信息安全漏洞共享平台（CNVD）漏洞分类分级标准

CNNVD信息安全漏洞分类：

①配置错误

②代码问题（绝大多数）

③资料不足

CNVD根据漏洞产生原因，将漏洞分为11种类型

依据行业划分安全漏洞

①行业漏洞（电信、移动互联网、工控系统）

②应用漏洞（Web应用、安全产品、应用程序、操作系统、数据库、网络设备等）

在漏洞分级方面，分为高、中、低三种危害级别

4

OWSP漏洞分类

OWASP（Open Web Application Security Program）组织发布了有关Web应用程序前10种安全漏洞

5

厂商漏洞分类

如IBM、微软、赛门铁克（Symantec）、思科（Cisco）、甲骨文（Oracle）等自行推出漏洞分类规范