本文博主的经历与该博文处理绿盟科技安全评估的系统漏洞 - 博客园的经历相同:
处理【第三方网络安全公司】给【公司产品】的【客户的服务器】扫描后生成的【安全漏洞报告】。
1 前言
以网络安全行业中最大的、影响范围最广的CVE为例。
CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。
CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。
使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。
如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。
2 公共网络安全漏洞库
- CVE: Common Vulnerabilities and Exposures
常见漏洞和暴露(CVE)/通用漏洞披露
http://cve.mitre.org/ - CNCVE: China National Common Vulnerabilities and Exposures
中国国家通用漏洞披露 - CNVD/CNNVD: China National Vulnerability Database of Information Security
中国国家信息安全漏洞库 (运营方:中国信息安全测评中心)
http://www.cnnvd.org.cn/
3 延申: CVSS(通用漏洞评分系统)
CVSS
:= Common Vulnerability Scoring System
:= 通用漏洞评分系统
:= 一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”
:= 安全内容自动化协议(SCAP)的一部分
:= 由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的网络安全漏洞评分标准
通常地,CVSS同CVE一同由美国国家漏洞库(NVD)发布、并保持数据的更新.
- 关于评分
利用该标准————CVSS,可以对弱点进行评分,进而帮助我们判断修复不同弱点的优先等级。
它的主要目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。
CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。
- score in [7,10]: 高危漏洞 / High / Vulnerability High
- score in [4,6.9]: 中危漏洞 / Middle / Vulnerability Middle
- score in [0,3.9]: 低危漏洞 / Low / Vulnerability Low
CVSS系统包括三种类型的分数:基本分数、暂时分、环境分
基本得分和临时得分通常由安全产品卖主、供应商给出,因为他们能够更加清楚的了解漏洞的详细信息;
环境得分通常由用户给出,因为他们能够在自己的使用环境下更好的评价该漏洞存在的潜在影响。
[CVSS 官方定义]
通用漏洞评分系统(CVSS)提供了一种捕获漏洞的主要特征并产生反映其严重性的数字评分的方法。
然后,可以将数字分数转换为定性表示形式(例如低,中,高和关键),以帮助组织正确评估漏洞管理流程并确定其优先级。
CVSS是全世界组织使用的已发布标准,SIG的使命是继续对其进行改进。