3.4 风险评估
方法论
漏洞和产品的风险评估 (Risk Assessment) 基于既定标准:
- CVSS v3.1/v4.0 —— 通用漏洞评分系统 (Common Vulnerability Scoring System),用于单个 CVE 的评分
- SSVC —— 利益相关者特定漏洞分类 (Stakeholder-Specific Vulnerability Categorization),用于优先级排序
- CRA Annex I —— 要求目录作为评估框架
法律依据
Art. 10(2) CRA: "制造商应对含有数字元素的产品进行网络安全风险评估,并在产品的规划、设计、开发、生产、交付和维护过程中考虑该评估结果。"
CVE 风险评估(单个漏洞)
基于 CVSS 的初始评估
| CVSS 评分 | 严重程度 | CRA 优先级 |
|---|---|---|
| 9.0 -- 10.0 | Critical(严重) | P0/P1 |
| 7.0 -- 8.9 | High(高危) | P2 |
| 4.0 -- 6.9 | Medium(中等) | P3 |
| 0.1 -- 3.9 | Low(低危) | P4 |
上下文评估
CVSS 评分需通过上下文分析进行补充:
| 因素 | 评估内容 | 权重 |
|---|---|---|
| 可利用性 | 正在被积极利用 / PoC 可用 / 理论上可能 | 高 |
| 可达性 | 网络 / 本地 / 物理 | 高 |
| 数据暴露 | 个人数据 / 业务数据 / 无 | 中 |
| 影响范围 | 受影响的产品/客户数量 | 中 |
| 可缓解性 | 修复可用 / 临时方案 / 无 | 中 |
决策矩阵
可利用性
积极利用 PoC 理论上
严重程度 +----------------------------------+
Critical | P0 P1 P1 |
High | P1 P2 P2 |
Medium | P2 P3 P3 |
Low | P3 P4 P4 |
+----------------------------------+产品风险评估 (CRA Art. 10(2))
对每个 CRA 相关产品进行网络安全风险评估。使用风险评估模板。
评估类别
1. 威胁分析
- 潜在的攻击者是谁?(脚本小子、有组织犯罪、国家行为者)
- 存在哪些攻击向量?(网络、物理、供应链)
- 哪些资产面临风险?(数据、功能、可用性)
2. 影响分析
- 机密性 (Confidentiality):哪些数据可能被泄露?
- 完整性 (Integrity):哪些数据/功能可能被篡改?
- 可用性 (Availability):可接受的停机时间是多少?
- 安全性 (Safety):是否可能造成物理损害?(与固件/IoT 相关)
3. 可能性评估
- 攻击复杂度
- 所需权限
- 是否需要用户交互
- 攻击向量暴露程度
风险矩阵
可能性
高 中等 低
影响 +----------------------------------+
严重 | CRITICAL HIGH MEDIUM |
重大 | HIGH HIGH MEDIUM |
中等 | HIGH MEDIUM LOW |
轻微 | MEDIUM LOW LOW |
+----------------------------------+文档记录义务
每次风险评估必须记录:
- 评估日期
- 被评估的产品/版本
- 已识别的风险及评估结果
- 为风险缓解采取的措施
- 剩余残余风险及其理由
- 负责评估人
- 下次审查日期
风险评估是技术文档 (Annex VII) 的一部分,在产品发生重大变更或出现新的威胁态势时必须进行更新。