團體標準StandardforCommonCentralProcessingUnitIntVulnerabilityClassificationandRati中國互聯網協會發布 3.1通用處理器GeneralCentralProce 3.2硬件漏洞Hardw 3.3知識產權核I A.1騎士漏洞評分示例 A.1.1漏洞分級指標賦值 A.1.2漏洞指標評級 A.1.3漏洞危害分級 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定——V效評價不同漏洞的攻擊復雜度及危害性，從而對處理器芯片硬件漏洞的風險有更準確的評少，因此主要采納領域內專家意見，對指標量化賦分進1通用處理器芯片硬件漏洞分類分級標準GB/T25069、GB/T20984、GB/T30276和GB/T30279中界定的以通用處理器GeneralCentralProcessing采用馮諾依曼體系結構的現代處理器，包括運算器、控制器、存儲器等基本處理器結構硬件漏洞HardwareVulnerab2芯片設計中可以重復使用，具有知識產權的集成電指令集架構的具體實現，它包括了中央處理CPU中央處理器（CentralProcesIP知識產權（IntellectualPropSMM系統管理模式（SystemManageme5通用處理器芯片硬件漏洞分類5.1概述集成電路設計、微架構設計和芯片I/O接口上，這類此類漏洞指處理器芯片設計代碼開發過程中，因可以訪問其他電路中的私密信息，或惡意修改電路中35.3微架構設計缺陷處理器安全流程設計瑕疵導致的缺陷，例如沒有啟動訪問控制前，過早啟用DMA、啟動過程缺乏認處理器的某些指令序列導致處理器執行后出45.4.2非預期的寄存器配置行為寄存器的配置行為與其預期行為不符，如電源狀態轉換后處理器未正確地清除配置狀態，從而導致不5.4.4不安全的權限管理和訪問控制5.5.2未實現密碼算法中所需的所有步驟5.5.6未采用側信道防護機制密碼模塊缺乏物理或邏輯側信道防護機制，導致加密運算側效應可觀測和敏感信息泄5通用處理器芯片硬件漏洞分級根據場景不同，分為危害分級和修復必要性分級兩種分級方式。技術特點對其危害程度進行等級劃分，主要面向漏洞分析人員、產品考慮特定應用需求情況下，對漏洞修復的必中漏洞指標類評級方法是對上述三類指標進行評級的方法，是漏洞技術分級和綜合分級的重要表1攻擊途徑賦值說明表1攻擊者需要利用處理器芯片的物理接口或物理信息才攻擊確定性指實現攻擊的確定性，描述處理器邏輯設計導致攻擊的確表2攻擊確定性賦值說明表高漏洞觸發原理清楚，按照一定流程觸發則攻擊成功概率可達1中漏洞觸發原理清楚，但觸發條件達到需要隨機測試，測試成功概低漏洞觸發原理不清楚，或漏洞觸發原理清楚，但觸發條件達到需6表3權限需求賦值說明表無1低高表4交互條件賦值說明表攻擊過程中，不需要攻擊者以外的其他用戶或系統配1攻擊過程中，需要攻擊者以外的其他用戶或系統配合、參與利用代碼成熟度反映攻擊者是否可以獲取可用的漏洞利表5利用代碼成熟度賦值說明表高1中攻擊者可獲取漏洞利用代碼，但需要進行修改后低修復難度反映處理器廠商或操作系統廠商對該漏洞進行修復的修復難度指標賦值包括高、中、低。通常修復難度越高，漏洞危害越大。見表7表6補丁水平賦值說明表高1中低造成的損害程度。性能影響描述評價漏洞修復對性能的影響機密性、完整性和可用性指標賦值均包括高、中、低、無。見表表7機密性、完整性、可用性指標賦值說明表高嚴重影響處理器芯片存儲的信息資源的安全屬性，造中低無表8權限正確性賦值說明表008123456781表9性能影響賦值情況表高1中低表10被利用成本指標賦值低19中設備連接到互聯網，安全防護充分，有較完善的高設備未連接到互聯網，安全防護充分，有完善的表11影響范圍指標賦值高產造成影響，或者受到影響的實體在環境中處于重要位置，有重要1中觸發漏洞會對系統、資產等造成中等程度影響。例如對環境中的低的資產造成影響，或者受到影響的實體在環境中處于不重要位置，無性能要求的指標賦值包括：高、中、低，見表12性能要求指標賦值高該環境對處理器芯片運行性能要求高，性能重要性中該環境對處理器芯片運行性能有中等程度要求，安全性與性能同等低該環境對處理器芯片運行性能有較低要求，安全重要危害分級均包括超危、高危、中危和低危四個等級，表13處理器芯片漏洞危害分級賦值說明漏洞可以非常容易對處理器芯片內存儲的數據信息造成特別嚴重的漏洞容易對處理器芯片內存儲的數據信息造成特別嚴重的修復必要性分級包括高、中、低三個等級，表14修復必要性分級賦值說明高在當前環境下，漏洞修復必要性很高，應立即中在當前環境下，漏洞修復必要性中等，可擇期低在當前環境下，漏洞修復必要性較低，可暫時不進行被利用性=攻擊途徑╳攻擊確定性╳權限需求╳交互條件╳利用代碼成熟度╳根據被利用性的評分，對被利用性進行整體評級。評分與等級對應關系見表15被利用性評級表被利用性評分被利用性等級低中高影響程度=（1-（1-機密性）╳（1-可用性）╳（1-完整性╳權限正確性╳1.1根據影響程度的評分，對影響程度進行整體評級。評分與等級對應關系見表16影響范圍評級表影響程度評分影響程度等級低中高據被利用性和環境因素指標組中各指標的量化評分進行計算。計算方法如修正被利用性=攻擊途徑╳攻擊確定性╳權限需求╳交互條件╳利用代碼成熟度╳修復難度╳被利根據修正被利用性的評分，對修正被利用性進行整體評級。評分與等級對應關系見表表17修正被利用性評級表修正被利用性評分修正被利用性評級低中高影響程度=（機密性要求╳機密性+完整性要求╳完整性+可用性要求╳可用性）╳權限正確性╳影表18修正影響程度評級修正影響程度評分修正影響程度評級低中高性和影響程度的評級。根據被利用性和影響程度評級結果，計算得到漏洞危害分級，見表表19漏洞危害評級表低中高得到修正被利用性和修正影響程度的評級。根據修正被利用性和修正影響程度評級結果，見表表20漏洞修復必要性分級評級表修正影響程度低低低中低低中中低中中高中中高?——A.1騎士漏洞評分示例被利用性1高1高1利用代碼成低高1影響程度中中中被利用性評級=1*1*0.7*