Microsoft 安全反應中心安全性公告嚴重性等級系統 (2002 年 11 月修訂)
Microsoft 安全反應中心 (MSRC) 的宗旨是協助客戶更安全的使用其系統和網路。 此項任務的主要內容包括評估客戶對 Microsoft 產品的可疑弱點之報告,並在必要時確保開發和發行補充程式與安全性公告,作為對真實報告的回應。
MSRC 將根據自己的判斷,對可能導致客戶系統受到影響 (不論這種影響的可能性或限制性為何) 的所有產品弱點發佈公告。但是,這種非要我們採取行動才能識別弱點的傳統作法,可能會讓許多客戶更難識別出會造成嚴重風險的弱點。
從業界經驗來看,攻擊者很少利用之前未知的弱點來攻擊客戶的系統,以對其造成影響。 更確切的說,在 Code Red 與 Nimda 蠕蟲病毒案例中,攻擊者通常會利用已有補充程式但尚未套用的弱點進行攻擊。
並非所有弱點對所有使用者造成的影響都相同。 本文件顯示出我們的安全性公告嚴重性等級系統。 本系統已根據客戶意見於 2002 年 11 月修訂,旨在協助客戶決定應套用的補充程式,以避免在其特定環境下受到影響,並協助客戶決定需要採取行動的緊急程度。 客戶支持我們在公告中提供此資訊,以協助其評估所遇到的風險。
嚴重性等級系統
嚴重性等級系統為各項弱點提供等級類別。等級定義如下:
| 等級 | 定義 |
重大 | 遭利用後不需使用者動作即可傳播網際網路蠕蟲的弱點。 |
重要 | 遭利用後會危及使用者資料的機密性、完整性或可用性,或導致處理資源的完整性或可用性受損的弱點。 |
中度 | 預設設定、稽核或利用困難度等因素,將會大幅緩和弱點的可利用程度。 |
低度 | 難以利用或造成的影響極低的弱點。 |
我們會在適當情況下,指出相應系統環境或使用狀況下的弱點嚴重性。等級系統將會持保守的態度,假設已知弱點,以及利用此弱點的代碼或指令碼無所不在。
使用等級系統
從今之後,我們會對新發佈的安全性公告套用此嚴重性等級系統。 對於可解決多個弱點問題的補充程式,我們會根據其能夠解決的最嚴重的新弱點進行分級。此外,相關公告還會提供各個所述問題的等級。
使用受影響產品的客戶應經常套用可解決重大或重要等級之弱點的補充程式。 還應該適時套用與重大弱點相關的補充程式。 客戶應閱讀與任何中度或輕微弱點相關的安全性公告,以決定弱點是否會影響其特定設定。 我們相信與輕微弱點相關的補充程式對大多數客戶造成的影響最小。
由於此嚴重性等級系統的目的在於對各種問題進行廣泛客觀的評估,因此我們強烈建議客戶先評估自己的環境,然後再決定保護其系統所需的補充程式。
有關此嚴重性等級系統之 2002 年 11 月修改內容的常見問題集,請參閱此處。
