文档介绍:安全漏洞评级的研究
安全漏洞如何评级
HowHow toto ScoreScore thethe VulnerabilityVulnerability
张玉清
国家计算机网络入侵防范中心国家计算机网络入侵防范中心
work Intrusion and Protection Center
20020066--0303--3030
安全漏洞评级的研究
主要内容主要内容
ContentContent
安全漏洞评级的意义安全漏洞评级的意义
The Significance of Vulnerability Scoring
安全漏洞评级的现状及问题安全漏洞评级的现状及问题
Current state and Problems on Vulnerability Scoring
通用缺陷评估系统通用缺陷评估系统CVSSCVSS
Common Vulnerability Scoring System
防范中心对安全漏洞评级的实践防范中心对安全漏洞评级的实践
Related work on Security Vulnerability Scoring by NCNIPC
安全漏洞评级的思考和研讨安全漏洞评级的思考和研讨
Discussions and Suggestions on Vulnerability Scoring
2006-4-6 国家计算机网络入侵防范中心 2/39
/
安全漏洞评级的研究
安全漏洞评级的意义安全漏洞评级的意义
The Significance of Vulnerability Scoring
¾ 消除来自不同安全机构和商家在漏洞级别评价消除来自不同安全机构和商家在漏洞级别评价
上的不连贯性上的不连贯性,,建立一致的漏洞级别建立一致的漏洞级别
To eliminate the incoherency among various Vulnerability Scoring
Systems and set up mon Scoring System
¾ 使得安全产品之间更好地兼容和高效协作使得安全产品之间更好地兼容和高效协作
To Increase patibility among the various security product
¾ 合理和有效的安全漏洞评级有利于安全漏洞研合理和有效的安全漏洞评级有利于安全漏洞研
究进一步的发展究进一步的发展
To contribute to the development of the scientific research on the
Vulnerability
2006-4-6 国家计算机网络入侵防范中心 3/39
/
安全漏洞评级的研究
安全漏洞评级的研究现状安全漏洞评级的研究现状
Current State of the research on Vulnerability Scoring
不同的机构都有各自不同的评级体系和评级标准。
国际上承认的一些标准如下:
There are many vulnerability scoring system ,which are
put forward by anizations. And the following
famous scoring systems are accepted all over the world.
(1) Microsoft
(2) USCERT
(3) NVD
(4) Oracle
(5) FrSIRT
2006-4-6 国家计算机网络入侵防范中心 4/39
/
安全漏洞评级的研究
研究现状-微软标准
Microsoft Vulnerability Severity Rating Standards
¾ 危急:无需用户激活的网络蠕虫传播的漏洞
Critical -- A vulnerability which can be spread even if not
activated
¾ 高:漏洞的利用会危及到用户数据的机密性,完整性和有
效性
Important -- A vulnerability which can threat the
confidentiality ,integrity and availability of the data on the
target system.
¾ 中:开发利用该漏洞比较困难,漏洞的利用受限于默认配
置,验证等因素。
Moderate – A vulnerabili