产品安全事件定级评分方法

本章为该系列的第五篇，主要介绍产品安全事件定级及方法。从实际需求来看，在应急响应时仅有流程和SOP还不够，缺少一个维度对SOP中的动作进行分级分类，故诞生了事件定级方法。不同级别的事件，映射了不同的执行动作，使整个产品安全应急流程更加顺畅、合理和完善。

01

—

评分需求的出现

当发生产品安全事件时，按照应急响应流程执行，流程很顺畅但是在一些具体的动作时却难下手，比如：

• 流程在部分场景中显得复杂：在收到微信群传播产品存在漏洞的情报，按照流程需要第一时间建立相关领导群进行消息上报，并组织对应的产品线对外发布声明。但实际是因为漏洞是谣言、仅小范围传播等原因，并没有给值班人员指明既定操作，此时流程显得有点繁琐和不适用；
• 流程中一些环节缺少细节：又如一线传来客户侧的产品出现一个低危漏洞，按照响应流程需要输出修复方案、上传至指挥平台生成客户侧修复工单，但由于每次下发动作非常大，仅低危漏洞带来的风险与产品可用性、客户侧的操作成本、潜在带的舆论风险相比，很可能就不值一提了，所以在演戏过程中仅进行了单点的修复和修复方案准备。

从上面两个例子不难看出，产品应急响应流程是大而全但缺少执行细节，有时候执行不下去，存在不少待完善的空间。对于应急响应的要求和每个环节的动作，应该进一步明确执行条件，这样便能解决类似例一的问题。例二表现出来的问题，不太好在流程上优化。于是乎，往前追溯就想到了对事件进行定级，所有事件依旧遵守流程，但是不同等级的事件走流程中的不同节点，比如最高风险事件需要每个环节都执行到位，最低风险事件不需要立即到客户侧修复、不需要在演习期间输出对外升级公告、按照正常发版周期就行。

02

—

需要考虑的因素

在进行应急响应时，会遇到一些拦路虎：漏洞情报无漏洞细节、根据情报找不到具体产品、外部微信群或公众号在疯传...技术方面的问题最好解决，不清不楚的问题次之，最难得就是外部舆论，所以应该将舆论加入到产品安全事件的评分方法。

在这套方法中，设置了四个因素（产品重要程度、产品影响范围、事件社会舆论和漏洞通用评分），通过评分对事件进行四个档的定级（红色特别重大事件：9.0-10.0分；橙色重大事件：8.0-8.9分；黄色较大事件：7.0-7.9分；蓝色一般事件：4.0-6.9分），后续的应急响应动作参照定级结果执行变得更加合理。其中，四个因素的定义如下（每个因素分成四挡，每个档设置风险分数，从高到低依次为10分、8分、6分和4分）。

• 产品重要程度（10%）：指产品在演习中和公司的重要程度，若满足集权类产品、边界类产品或销售量高的产品任意一条，则该项风险极高、定为10分，其他情况依次递减标准和分数；
• 产品影响范围（20%）：受影响产品版本的客户实例数占产品总客户数百分比≥80%，则该项风险极高、定为10分，其他情况依次递减标准和分数；
• 事件社会舆论（30%）：外部已传播产品漏洞舆情，且范围和影响均较大（公众号、微信群等传播渠道），则该项风险极高、定为10分，其他情况依次递减标准和分数；
• 漏洞通用评分（40%）：按照CVSS3.1对漏洞进行评分，得分结果若是严重，则该项风险极高、定为10分，其他情况依次递减标准和分数；

03

—

定级评分模板

在此基础上形成了“产品安全事件评分标准-模板”，发生安全事件后在表格中评分后自动输出事件级别，模板示例如下：

未完待续，下期再见~