漏洞基本概念
CVSS(Common Vulnerablity Scoring System)
通用漏洞评分系统----工业标准
描述安全漏洞严重程度的统一评分方案
Basic Metric :基础的恒定不变的弱点权重
Temporal Metric:依赖时间因素的弱点权重
Enviromental Metric:利用弱点的环境要求的实 施难度的权重
CVSS是安全内容自动化协议(SCAP)的一部分
通常CVSS与CVE 一同由美国国家漏洞库(NVD)发布并保持数据的更新
分值范围:0----10
不同机构按CVSS分值定义威胁的中、高、低威胁级别
CVSS体现弱点的风险,威胁级别表示弱点对企业的影响程度
CVSS分值是工业标准,但威胁级别不是
Vulerablity Reference
CVE(Common Vulerablity and Exposures)
已公开的信息安全漏洞字典,统一的漏洞标号标准
MTRE公司负责维护
扫描器的大部分扫描项都对应一个CVE编号
实现不同厂商之间信息交换的统一标准
CVE发布流程
发现漏洞
CAN负责指定CVE ID
发布到CVE List-----CVE-2008-4250
MTRE负责对内容进行编辑和维护
很多厂商维护自己的Vulerablity Reference
MS
MSKB
其他Vulerablity Reference
CERT TA08-297A
BID 31784(英国)
IAVM 2008-A-0081
OVAL OVAL6093
OVAL(Open Vulerablity and Assessment Language)
扫描漏洞检测方法的机器可识别语言
详细的描述漏洞检测的技术细节,可导入自动化检测工具中实施漏洞检测工作
OVAL使用XML语言描述,包含了严密的语法错误
CCE
描述软件配置缺陷的一种标准化格式
在信息安全评估中,配置却显得检测时一项重要内容 ,使用CCE可以让配置缺陷一标准的方式展现来,便于配置缺陷评估的可量化操作
CPE(Common Product Enumeration)
信息技术产品、系统、软件包的结构化命名规范,分类命名
CWE(Common Weakness Enumeration)
常见漏洞类型的字典,描述不同类型漏洞的特征(访问控制、信息泄露、拒绝服务)
SCAP
基本介绍
集合了多种安全标准框架
六个元素:CVE,OVAL,CCE,CPE,CVSS,XCCDF
目的是以标准的方法展示和操作安全数据
主要解决的问题
实现高层政策法规等到底层实施的落地(如FISMA,ISO2700系列)
将信息安全所涉及的各个要素标准化(如统一漏洞的命名及严重性度量)
将复杂的系统配置核查工作自动化
NVD(National Vulerablity Database)
美国政府的漏洞管理标准数据
完全基于SCAP框架
实现自动化漏洞管理、安全测量、合规要求
包含以下库:
安全检查列表
软件安全漏洞
配置错误
产品名称
影响度量
漏洞管理
周期性扫描跟踪漏洞
高危漏洞优先处理
扫描注意事项