安全漏洞如何评级

  • 格式:pdf
  • 大小:801.04 KB
  • 文档页数:37
2006-4-6
国家计算机网络入侵防范中心 /
3/39
安全漏洞评级的研究
安全漏洞评级的研究现状
Current State of the research on Vulnerability Scoring 不同的机构都有各自不同的评级体系和评级标准。 国际上承认的一些标准如下: There are many vulnerability scoring system ,which are put forward by different organizations. And the following famous scoring systems are accepted all over the world. (1) Microsoft (2) USCERT (3) NVD (4) Oracle (5) FrSIRT
2006-4-6
国家计算机网络入侵防范中心 /
8/39
安全漏洞评级的研究
研究现状-Oracle标准
Vulnerability Security Ratings of Oracle
高,利用该漏洞基本不需要攻击者掌握专业知识。需立 刻对受影响的产品应用补丁。 High. The Vulnerability is easy to be used to attack the target system. 中,利用该漏洞需要攻击者掌握一些专业知识。对受影 响产品应用补丁的顺序在高级别之后。 Medium. The attacker must has some technical knowledge to exploit the vulnerability. 低,利用该漏洞需要攻击者具备相当的专业知识。对受 影响产品应用补丁的顺序在中级别之后。 Low. The attacker must has a large range of technical knowledge to exploit the vulnerability.
2006-4-6
国家计算机网络入侵防范中心 /
12/39
安全漏洞评级的研究
CVSS简介(CVSS introduction)
CVSS是Common Vulnerability Scoring System的缩写,即通用缺陷评估系统。 CVSS is the abbreviation of Common Vulnerability Scoring System.
2006-4-6
国家计算机网络入侵防范中心 /
9/39
安全漏洞评级的研究
研究现状-FrSIRT标准
FrSIRT Vulnerability Severity Ratings Standard
严重: 可远程利用的漏洞,可导致系统崩溃(不需要用户交互) Critical :The vulnerability can be exploited remotely, and can damage the whole target system. (needing no user interaction) 高 : 可远程利用的漏洞,可导致系统崩溃(需要用户交互); High: The vulnerability can be exploited remotely, and can damage the whole target system. (needing user interaction) 中 : 可被远程和本地利用,可导致拒绝服务和权限提升的漏洞。 Moderate: The vulnerability can be exploited remotely and locally. 低 :只可本地利用,不能危机系统安全 Low: The vulnerability can only be exploited locally.
2006-4-6
国家计算机网络入侵防范中心 /
10/39
安全漏洞评级的研究
研究现状-各标准的比较
Comparison of the Vulnerability Severity Standards
2006-4-6
国家计算机网络入侵防范中心 /
使得安全产品之间更好地兼容和高效协作
To Increase the compatibility among the various security product
合理和有效的安全漏洞评级有利于安全漏洞研 究进一步的发展
To contribute to the development of the scientific research on the Vulnerability
11/39
安全漏洞评级的研究
研究现状-问题的提出 Questions
目前安全漏洞的评级标准各树易帜,对风险评 估、应急响应等都带来了极大的不确定性。
Currently, there are a variety of security vulnerability rating standards ,which brings uncertain factors to risk evaluation, emergency response.
一个普遍适用的漏洞评级标准CVSS解决了以上 问题,它综合了以上各标准的优点,该标准得 到了思科等有巨大影响力的网络公司和政府部 门的支持。
CVSS can solve the problems above. CVSS combines the advantages of the existing Scoring Systems, and supported by the US Government and several famous network company such as Cisco.
2006-4-6
国家计算机网络入侵防范中心 /
7/39
安全漏洞评级的研究
研究现状- NVD标准
National Vulnerability Database
低 :CVSS基准值为0.0-3.9 Low: CVSS base score 0.0-3.9 中:CVSS基准值为4.0-6.9 Medium: CVSS base score 4.0-6.9. 高 :CVSS基准值为7.0-10.0 High: CVSS base score 7.0-10.0
The National Vulnerability Database (NVD) supports the Common Vulnerability Scoring System (CVSS) standard for all CVE vulnerabilities. NVD provides CVSS 'base scores' which represent the innate characteristics of each vulnerability.
6/39
安全漏洞评级的研究
研究现状-NVD标准
National Vulnerability Database NVD数据库中所有CVE命名的漏洞条目均支持通 用缺陷评估系统(CVSS),并提供CVSS漏洞分级 之一的漏洞基准值(Base Scores)。漏洞基准值 代表每个漏洞的内在属性。同时NVD自身也提供 CVSS分值计算器(CVSS score calculator),利 用该计算器可以计算CVSS其他两个漏洞属性分值
The Metric Value is used to score a vulnerability by USCERT, and the range of the metric value is from 0 to 180.
2006-4-6
国家计算机网络入侵防范中心 /
安全漏洞评级的意义
The Significance of Vulnerability Scoring
安全漏洞评级的现状及问题
Current state and Problems on Vulnerability Scoring
通用缺陷评估系统CVSS
Common Vulnerability Scoring System
防范中心对安全漏洞评级的实践
Related work on Security Vulnerability Scoring by NCNIPC
安全漏洞评级的思考和研讨
Discussions and Suggestions on Vulnerability Scoring
国家计算机网络入侵防范中心 /
2006-4-6
国家计算机网络入侵防范中心 /
5/39
安全漏洞评级的研究
研究现状-USCERT标准
Security Scoring Standards of USCERT
US-CERT用metric value来评价一条漏 洞的严重程度,metric value是一个在0 到180之间的数值。
2006-4-6
2/39
安全漏洞评级的研究
安全漏洞评级的意义
The Significance of Vulnerability Scoring
消除来自不同安全机构和商家在漏洞级别评价 上的不连贯性,建立一致的漏洞级别
To eliminate the incoherency among various Vulnerability Scoring Systems and set up a common Scoring System
安全漏洞评级的研究
安全漏洞如何评级
How to Score the Vulnerability
张玉清
国家计算机网络入侵防范中心
National Computer Network Intrusion and Protection Center
2006-03-30
安全漏洞评级的研究
主要内容
Content