!2 upload security-rating file

Merge pull request !2 from liujingang09/security-rating

security-rating.md

+# 严重性评估--我们如何进行漏洞评分
+业界普遍使用CVSS标准评估漏洞的严重性，openEuler在使用CVSSv3进行漏洞评估时，需要设定漏洞攻击场景，基于在该攻击场景下的实际影响进行评估。漏洞严重等级评估是指针对漏洞利用难易程度，以及利用后对机密性、完整性、可用性的影响进行评估，并生成一个评分值。
+## CVSSv3基本指标
+CVSS v3基本指标组涵盖了漏洞的各个方面：
+- 攻击向量（AV）-表示攻击的“远程性”以及如何利用此漏洞。
+- 攻击复杂性（AC）-讲述攻击执行的难度以及成功进行攻击需要哪些因素。
+- 用户交互（UI）-确定攻击是否需要用户参与。
+- 所需的权限（PR）-记录成功进行攻击所需的用户身份验证级别。
+- 范围（S）-确定攻击者是否可以影响具有不同权限级别的组件。
+- 机密性（C）-衡量信息泄露给非授权方后导致的影响程度。
+- 完整性（I）-衡量信息被篡改后导致的影响程度。
+- 可用性（A）-衡量用户在需要访问数据或服务时受影响的程度。
+## 严重等级评估
+基于CVSSv3评估标准，主要使用基础度量指标进行漏洞严重等级的评估，基础度量指标包含可利用性指标及影响指标。
+可利用性指标反映漏洞组件的特征。每个可利用性指标根据漏洞组件打分，反映能导致成功攻击的漏洞属性。
+影响指标指的是受影响组件的属性，根据成功攻击后影响最严重的组件进行打分，分析者应该将影响限制在合理的最终结果，确信攻击者能够达成这一结果。
+### 评估原则
+- 评估漏洞的严重等级，不是评估风险。
+- 评估时必须基于攻击场景，且保证在该场景下，攻击者成功攻击后能对系统造成机密性、完整性、可用性影响。
+- 当安全漏洞有多个攻击场景时，应以造成最大的影响，即CVSS评分最高的攻击场景为依据。
+- 被嵌入调用的库存在漏洞，要根据该库在产品中的使用方式，确定漏洞的攻击场景后进行评估。
+- 安全缺陷不能被触发或不影响CIA(机密性/完整性/可用性)，CVSS评分为0分。
+###	评估步骤
+对漏洞进行评估时，可根据下述步骤进行操作：
+1.	设定可能的攻击场景，基于攻击场景评分；
+2.	确定漏洞组件（Vulnerable Component）和受影响组件（Impact Component）；
+3.	选择基础指标的值：
+- 可利用指标（攻击向量/攻击复杂度/所需权限/用户交互/范围）根据漏洞组件选择指标值。
+- 影响指标（机密性/完整性/可用性）要么反映对漏洞组件的影响，要么反映对受影响组件影响，以结果最严重的为准。
+###	评估结果
+在评估漏洞严重级别时，评估人员需要输出以下内容
+1.	漏洞原理
+2.	该漏洞的攻击场景及产生的危害
+3.	评估指标值判定说明，确保每个CVSS指标值的判定有对应的依据
+###	严重等级划分
+|严重等级（Severity Rating） |	CVSS评分（Score）|
+| -----------------        |  --------------  |
+|  致命（Critical）	    |    9.0 - 10.0 |
+|  高（High）	        |    7.0 - 8.9  |
+|  中（Medium）	        |    4.0 - 6.9  |
+|  低（Low）	        |    0.1 - 3.9  |
+|  无（None）	        |       0.0     |
+##	和NVD评估分数差异说明
+CVSS基础评分与受影响组件的版本号，提供和使用的方式，平台以及软件的编译方式相关，NVD评分考虑了漏洞被利用的所有场景，而openEuler是基于上游社区自己构建的，主要应用于服务器场景，所以对于openEuler开源产品来说，直接采用NVD评分是不合适的，因此openEuler对所有受影响的CVE有自己的评分，并且多数打分可能和NVD不同。
\ No newline at end of file