admin 管理员组文章数量: 1086019
2024年3月13日发(作者:分布式和微服务)
CAVD漏洞分级指南
一、适用范围
本标准规定了汽车信息安全漏洞危害程度的评价指标和等级划分方法。凡是被中国汽车
行业漏洞库(CAVD)收录的漏洞,均适用此分级规范,包括采集的公开漏洞以及收录的未
公开漏洞,通用型漏洞及汽车专有漏洞。
二、术语和定义
下列术语和定义适用于本文件。
(一)汽车漏洞(vehicle vulnerability)
汽车漏洞是在智能网联汽车相关的硬件、软件、协议的具体实现或系统安全策略上存在
的缺陷,可使攻击者能够在未授权的情况下以远程、短距离或接触的方式进行访问或破坏系
统,造成人身、财产的危害或有价值信息的泄漏等危害。
(二)脆弱性组件(vulnerable component)
脆弱性组件指车辆中包含漏洞的组件,通常是软件应用、软件模块、驱动、甚至硬件设
备等。攻击者通过利用脆弱性组件中的漏洞来发动对车辆的攻击。
(三)受影响组件(impacted component)
受影响组件指车辆的漏洞被成功利用后遭受危害的组件,如软件应用、硬件设备、网络
资源等。受影响组件可以是脆弱性组件本身,可以是车辆中其他软件、硬件或网络组件。
(四)影响范围(impacted scope)
影响范围指车辆漏洞被成功利用后遭受危害的资源的范围。若受漏洞影响的资源超出了
脆弱性组件的范围,则受影响组件和脆弱性组件不同;若受漏洞影响的资源局限于脆弱性组
件内部,则受影响组件和脆弱性组件相同。
三、漏洞评分要素
本标准使用三级指标对漏洞进行评分,分别是场景参数指标、威胁参数指标和影响参数
指标。
(一)场景参数
场景参数指发动攻击前,对要利用的漏洞相关技术掌握情况、对影响车辆的状态及范围
进行描述的相关因子,包括技术掌握、车辆工况、攻击范围等三类因子。
1、技术掌握
技术掌握指对被利用的攻击漏洞了解程度以及对技术的掌握程度的总和考量,分为低,
中,高三等:
低:模糊知悉漏洞位置,掌握攻击流程,包括攻击工具、攻击步骤等;
中:可获取详细的漏洞资料及信息,在“低”的基础上,知悉漏洞的相关原理;
高:在“中”的基础上,熟练掌握漏洞触发工作模式,已积累成熟的相关原理。
2、车辆工况
车辆工况指车辆被攻击时所处的状态,以行驶速度区分,分为静止、低速、中速、较高
速、高速等四等:
静止:汽车处于驻车、怠速状态,即汽车车速为0;
低速:汽车处于0到15km/h行驶;
中速:汽车处于16km/h到25km/h行驶;
较高速:汽车处于26km/h到50km/h行驶;
高速:汽车处于50km/h以上行驶
版权声明:本文标题:CAVD漏洞分级指南 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/p/1710260257a564895.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论