漏洞基本概念

  1. SCAP(Security Content Automation Protocol)
    • SCAP是一个集合了多种安全标准框架
    • 其中含有六个元素:CVE、OVAL、CCE、CPE、CVSS、XCCDF
    • 目的是以标准的方法展示和操作安全数据
    • 由NIST负责维护
    • 解决的三个问题
      • 实现高层政策法规等到底层实施的落地(如FISMA、ISO27000系列)
      • 将信息安全所涉及的各个要素标准化(如统一漏洞的命名以及严重性度量)
      • 将复杂的系统配置核查自动化
  1. NVD (National Vulnerability Database)

    • 美国政府的漏洞管理标准数据
    • 完全基于SCAP框架
    • 实现自动化漏洞管理、安全测量、合规要求
    • 包含以下库
      • 安全检查列表
      • 软件安全漏洞
      • 配置错误
      • 产品名称
      • 影响度量
    • 网址 https://nvd.nist.gov/
  2. OVAL(Open Vulnerability and Assessment Language)

    • 描述漏洞检测方法的机器可识别语言
    • 详细的描述漏洞检测的技术细节,可导入自动化检测工具中实施漏洞检测工作
    • OVAL使用XML语言描述,包含了严密的语法逻辑
  3. CCE

    • 描述软件配置缺陷的一种标准化格式
    • 在信息安全风险评估中,配置缺陷的检测是一项重要内容,使用CCE可以让配置缺陷以标准的方式展现出来,便于配置缺陷评估的可量化操作
  4. CPE(Common Product Enumeration)

    • 信息技术产品、系统、软件包的结构化命名规范,分类命名
  5. CWE(Common Weakness Enumeration)

    • 常见的漏洞类型的字典,描述不同类型漏洞的特征(访问控制,信息泄漏,拒绝服务)
  6. CVSS (Common Vulnerability Scoring System)

    • CVSS是安全内容自动化协议(SCAP)的一部分
    • 通常CVSS和CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新
    • 分值范围由0-10
    • 不同机构按照CVSS分值定义威胁的中高低威胁级别
    • CVSS体现弱点的风险,威胁级别表示弱点风险对企业的影响程度
    • CVSS分值是工业标准,但是威胁级别不是
    • 描述安全漏洞严重程度的统一评分方案
    • Basic Metric :基础的恒定不变的弱点权重
    • Temporal Metric: 依赖时间因素的弱点权重
    • Enviromental Metric: 利用弱点的环境要求和实施难度的权重
  7. CVE (Common Vulnerabilities and Exposures)

    • 已公开的信息安全漏洞字典,统一的漏洞编号标准
    • MITRE公司负责维护(非盈利机构)
    • 扫描器的大部分扫描项都对应一个CVE编号
    • 可以实现不同厂商之间信息交换的统一标准
  8. 常见的Vulnerability Reference

    • MS

    • CERT

    • BID
    • IAVM
    • OVAL
文章目录
,