CVSS(Common Vulnerability Scoring System)
通用漏洞评分系统——工业标准-描述安全漏洞严重程度的统一评分方案
评分标准中的三个概念、分类:
Basic Metric:基础的恒定不变的弱点权重
Temporal Metric:依赖时间因素的弱点权重
Environmental Metric:利用弱点的环境要求和实施难度的权重
CVE(Common Vulnerabilites and Exposures)
已公开的信息安全漏洞字典,统一的漏洞编号标准
实现不同厂商之间信息交换的统一标准(每个厂商也有自己的漏洞编号 微软 MS 微软补丁 MSKB)
OVAL(Open Vulnerability and Assessment Language)
描述漏洞检测方法的机器可识别语言
详细的描述漏洞监测的技术细节,可导入自动化监测工具中实施漏洞监测工作
OVAL使用XML语言描述,包含了严密的语法逻辑
CCE(Common Configuration Enumeration)
描述软件配置缺陷的一种标准化格式
让配置缺陷以标准的方式展现出来,便于配置缺陷评估的可量化操作
CPE(Common Product Enumeration)
信息技术产品、系统、软件包的结构化命名规范,分类命名
CWE(Common Weakness Enumeration)
常见漏洞类型的字典,描述不同类型漏洞的特征(访问控制、信息泄露、拒绝服务)
SCAP(Security Content Automation Protocal)
SCAP是一个集合了多种安全标准框架
六个元素:CVE OVAL CCE CPE CVSS XCCDF
目的是以标准的方法展示和操作安全数据
解决问题:
实现高层法规等到底层实施的落地(FISMA 、ISO27000等)
将信息安全所涉及各个要素标准化(如统一漏洞的命名及严重性度量)
将复杂的系统配置核查工作自动化
基于SCAP的系统:
NVD(National Vulnerability Database)