关于漏洞概念 cvss 工业漏洞分级评分标准
cvss 有三个不同方面的metric标准计算出来的值
微软漏洞编号MS
补丁编号MSKB
cve是使用最管的
cce如何吧一个软件产品安装好 更加安全
cwe 其实对漏洞进行打的分类不同的类进行分配管理
前面这些都是在scap下的 scap是一个大的框架的 scap 是一个非常完善的框架 只需要吧框架里面的事情做好 完善
完全按照scap 很少
实现漏洞的管理 : 准确性 有更多的时间和自然
时间 需要的时间也就
资源
关于漏洞概念 cvss 工业漏洞分级评分标准
cvss 有三个不同方面的metric标准计算出来的值
微软漏洞编号MS
补丁编号MSKB
cve是使用最管的
cce如何吧一个软件产品安装好 更加安全
cwe 其实对漏洞进行打的分类不同的类进行分配管理
前面这些都是在scap下的 scap是一个大的框架的 scap 是一个非常完善的框架 只需要吧框架里面的事情做好 完善
完全按照scap 很少
实现漏洞的管理 : 准确性 有更多的时间和自然
时间 需要的时间也就
资源
漏洞基本概念
CVSS(Common Vulnerablity Scoring System)
通用漏洞评分系统----工业标准
描述安全漏洞严重程度的统一评分方案
Basic Metric :基础的恒定不变的弱点权重
Temporal Metric:依赖时间因素的弱点权重
Enviromental Metric:利用弱点的环境要求的实 施难度的权重
CVSS是安全内容自动化协议(SCAP)的一部分
通常CVSS与CVE 一同由美国国家漏洞库(NVD)发布并保持数据的更新
分值范围:0----10
不同机构按CVSS分值定义威胁的中、高、低威胁级别
CVSS体现弱点的风险,威胁级别表示弱点对企业的影响程度
CVSS分值是工业标准,但威胁级别不是
Vulerablity Reference
CVE(Common Vulerablity and Exposures)
已公开的信息安全漏洞字典,统一的漏洞标号标准
MTRE公司负责维护
扫描器的大部分扫描项都对应一个CVE编号
实现不同厂商之间信息交换的统一标准
CVE发布流程
发现漏洞
CAN负责指定CVE ID
发布到CVE List-----CVE-2008-4250
MTRE负责对内容进行编辑和维护
很多厂商维护自己的Vulerablity Reference
MS
MSKB
其他Vulerablity Reference
CERT TA08-297A
BID 31784(英国)
IAVM 2008-A-0081
OVAL OVAL6093
OVAL(Open Vulerablity and Assessment Language)
扫描漏洞检测方法的机器可识别语言
详细的描述漏洞检测的技术细节,可导入自动化检测工具中实施漏洞检测工作
OVAL使用XML语言描述,包含了严密的语法错误
CCE
描述软件配置缺陷的一种标准化格式
在信息安全评估中,配置却显得检测时一项重要内容 ,使用CCE可以让配置缺陷一标准的方式展现来,便于配置缺陷评估的可量化操作
CPE(Common Product Enumeration)
信息技术产品、系统、软件包的结构化命名规范,分类命名
CWE(Common Weakness Enumeration)
常见漏洞类型的字典,描述不同类型漏洞的特征(访问控制、信息泄露、拒绝服务)
SCAP
基本介绍
集合了多种安全标准框架
六个元素:CVE,OVAL,CCE,CPE,CVSS,XCCDF
目的是以标准的方法展示和操作安全数据
主要解决的问题
实现高层政策法规等到底层实施的落地(如FISMA,ISO2700系列)
将信息安全所涉及的各个要素标准化(如统一漏洞的命名及严重性度量)
将复杂的系统配置核查工作自动化
NVD(National Vulerablity Database)
美国政府的漏洞管理标准数据
完全基于SCAP框架
实现自动化漏洞管理、安全测量、合规要求
包含以下库:
安全检查列表
软件安全漏洞
配置错误
产品名称
影响度量
漏洞管理
周期性扫描跟踪漏洞
高危漏洞优先处理
扫描注意事项
CVSS(Common Vulnerability Scoring System)
通用漏洞评分系统——工业标准-描述安全漏洞严重程度的统一评分方案
评分标准中的三个概念、分类:
Basic Metric:基础的恒定不变的弱点权重
Temporal Metric:依赖时间因素的弱点权重
Environmental Metric:利用弱点的环境要求和实施难度的权重
CVE(Common Vulnerabilites and Exposures)
已公开的信息安全漏洞字典,统一的漏洞编号标准
实现不同厂商之间信息交换的统一标准(每个厂商也有自己的漏洞编号 微软 MS 微软补丁 MSKB)
OVAL(Open Vulnerability and Assessment Language)
描述漏洞检测方法的机器可识别语言
详细的描述漏洞监测的技术细节,可导入自动化监测工具中实施漏洞监测工作
OVAL使用XML语言描述,包含了严密的语法逻辑
CCE(Common Configuration Enumeration)
描述软件配置缺陷的一种标准化格式
让配置缺陷以标准的方式展现出来,便于配置缺陷评估的可量化操作
CPE(Common Product Enumeration)
信息技术产品、系统、软件包的结构化命名规范,分类命名
CWE(Common Weakness Enumeration)
常见漏洞类型的字典,描述不同类型漏洞的特征(访问控制、信息泄露、拒绝服务)
SCAP(Security Content Automation Protocal)
SCAP是一个集合了多种安全标准框架
六个元素:CVE OVAL CCE CPE CVSS XCCDF
目的是以标准的方法展示和操作安全数据
解决问题:
实现高层法规等到底层实施的落地(FISMA 、ISO27000等)
将信息安全所涉及各个要素标准化(如统一漏洞的命名及严重性度量)
将复杂的系统配置核查工作自动化
基于SCAP的系统:
NVD(National Vulnerability Database)
漏洞的基本概念:
CVSS(Common Vulnerability Scoring System)
Basic Metric
Temporal Metric
Enviromental Metric
威胁级别(severity)
CVE漏洞分配编号:
1.发现漏洞。2.CAN指定CVE ID。3发布到CVE List。4.MITRE负责对内容进行编辑维护。
OVAL(Open Vulnerability and Assessment Language) 检测方法
CCE 软件配置缺陷
CPE(Common Product Enumeration) 结构化命名规范,分类命名
CWE(Common Weakness Enumeration) 常见漏洞类型的字典
SCAP(Security Content Automation Protocol)多种安全标准框架
https://nvd.nist.gov
CVSS(Common Vulnerability Scoring System)
通用漏洞评分系统——工业标准
Basic Metric :基础的恒定不变的弱点权重
Temporal Metric:依赖时间因素的弱点权重
Environment Metric :利用弱点的环境要求和实施难度的权重
CVSS体现弱点的风险,威胁级别(severity)表示弱点风险对企业的影响程度
CVE(Common Vulnerabilities and Exposures)
已公开的信息安全漏洞字典,统一的漏洞编号标准
MS //微软的漏洞编号
MSKB //微软漏洞补丁的编号
BID //英国的编号
CERT //国际计算机应急小组的编号
IAVM
OVAL(Open Vulnerability and Assessment Language) //描述漏洞检测方法的机器可识别语言
CCE //描述软件配置缺陷的一种标准化格式
CPE(Common Product Enumera) //信息技术产品、系统、软件包的结构化命名规范,分类命名
CWE(Common Weakness Enumeration)
//常见漏洞类型的字典,描述不同类型漏洞的特征(访问控制、信息泄露、拒绝服务)
SCAP(Security Content Automation Protocol)
NVD(National Vulnerability Database)
·美国政府的漏洞管理标准数据
https://nvd.nist.gov/
cvss通用漏洞评分系统
cve统一的漏洞编号标准
oval开放漏洞描述语言
cce描述软件配置缺陷的一种标准化格式
cpe结构化命名规范
cwe描述不同类型漏洞的特征
SCAP安全标准框架
NVD美国国家漏洞库
https://nvd.nist.gov/
漏洞管理三要素