APP下载

漏洞库现状分析及质量评价*

2018-03-22

信息通信技术与政策 2018年2期
关键词:安全漏洞漏洞信息安全

1 引言

随着计算机硬件、软件和互联网络的普及和发展,信息化的生活给人们带来了便利,提高了人们的生活水平,促进了社会的发展。但与此同时,也带来了许多安全问题,病毒、木马程序等在网络中传播,网站被攻击等,而导致这些问题的根源就是计算机系统和应用程序中出现了安全漏洞,并被攻击者发现利用,对漏洞信息的研究越来越被人们重视。安全漏洞是网络安全攻击事件的核心所在,其对国家和社会带来的危害与日俱增。图1给出了国家信息安全漏洞共享平台CNVD统计的近10年新增安全漏洞数量和新增高危漏洞的变化趋势。从图1可以看出,在过去的2016年,全年新增漏洞数量增长近50%,漏洞数量增加意味着更多从业者在关注安全漏洞,关注安全产业;自2008年以来,高危漏洞数量无论是在数量还是所占比例上都呈现下降趋势,但在近两年出现了较大的反弹;2015年,虽然漏洞数量有大幅的减少,但是高危漏洞数量所占的比例却是猛增的趋势;而2016年漏洞数量和高危漏洞数量增长较大,高危漏洞所占的比例与2015年持平,2016年安全漏洞质量普遍偏高,影响和危害性均高于往年的水平。由此可见,安全漏洞所带来的危害和影响范围日益增长,成为安全事件中的核心所在。

图1 近10年新增漏洞数量统计

这些安全事件的根源就是安全漏洞被攻击者利用的后果,由此可见漏洞管理工作的重要性。漏洞库作为对安全漏洞数据的收集和发布机构,可以全面收纳并总结漏洞的内容。高质量的漏洞库系统有利于从事计算机安全的工程师查阅信息并起到安全事件预警的作用,更可以帮助政府部门从整体上把握网络安全的发展态势。由于当前各漏洞库对于安全漏洞信息的发布各自为战,网络设备厂商、互联网企业、研究机构、各领域机构对漏洞的发布时间和描述方式不尽相同,导致漏洞库的水平参差不齐。为了规范漏洞库的建设和运维,本文梳理了现有主流漏洞库的大量漏洞数据,建立一套科学的漏洞库评价体系,用于对漏洞库的质量进行评估。

2 国内外主流漏洞库现状综述

2.1 安全漏洞库现状

欧美等发达国家在早期就开始深入研究并投入精力建设安全漏洞库,其政府和民间机构已经建设完成了一批在世界上具有一定影响力的漏洞库,例如M itre公司的CVE(Common Vulnerabilitiesand Exposures)漏洞库、美国国家漏洞库NVD、OSVDB(Open Source Vulnerability Database)漏洞库、SecurityFocus漏洞库、IBM ISS的X_Force漏洞库、美国国家互联网应急响应中心下属的US-CERT(ComputerEmergency Readiness Term)漏洞库、澳大利亚的Aus-CERT漏洞库、丹麦的Secunia漏洞库、法国的VUPEN漏洞库等。我国国内在数据库研究领域投入较晚,但是随着数据库系统作用的显现,在近几年数据库建设领域发展迅猛,特别是在2009年一年内先后建立3个国家政府部门成立的漏洞库,分别是中国国家漏洞库CNNVD、国家信息安全漏洞共享平台CNVD和国家安全漏洞库NIPC;随后,在2012年清华大学建设完成了SCAP中文漏洞库,可见国家对此领域的投入力度之大。除了政府机关和科研单位,国内的许多企业结合自身业务和技术特点,也建设了许多具有一定规模的漏洞库,例如绿盟科技的NSFocus、乌云漏洞库、SeBug、启明星辰中文漏洞库等。与此同时,各大互联网企业,包括腾讯、阿里、百度、京东、360等都成立了应急响应中心,专门用来收集相关业务系统存在的安全漏洞信息,以减少安全漏洞带来的损失。

在众多漏洞库中,美国国家漏洞库NVD是最权威的,NVD拥有丰富的漏洞数据资源,并且拥有规范的漏洞信息描述、清晰的漏洞库结构和可靠权威的内容,NVD发布的所有漏洞都对应颁布一个CVE编号,目前CVE编号已经被安全界普遍接受作为漏洞信息的一个重要描述字段;NVD中的漏洞威胁等级通过CVSS标准来划分;NVD中对受影响软件版本和平台的描述严格执行CPE的标准规范进行描述;NVD按照SCAP中的CWE严格对漏洞进行分类。NVD中的漏洞100%拥有CVE编号,而其他主流漏洞库拥有CVE编号的漏洞数量大约占比为50%~60%,仍有大量的漏洞并没有被普遍认可的CVE编号来进行标识,这十分不利于漏洞标准化的推进。

2.2 主流漏洞库介绍

国内外安全漏洞库数量繁多,本文将对目前在线的主流漏洞库进行梳理总结。表1~4按照所属组织类型汇总了主流的漏洞库,表中标注了这些漏洞库的所属组织名称和英文简称。

表1 部分国际官方机构知名漏洞库

很多国家对国家机构建设的漏洞库十分重视,并将漏洞数据列为国家战略资源。在未来的网络战争中,安全漏洞尤其是ZeroDay漏洞必将是各个国家的终极武器,漏洞库作为未来战争的弹药库已经被越来越多的国家列为重点项目。美国、澳大利亚、日本等国在漏洞库建设领域投入较早,已经拥有相对成熟的技术,奠定了漏洞库的基本发展方向。

由于美国在漏洞库领域起步较早,所以国外著名的民间漏洞库主要集中在美国,并以不同的形式呈现。这些漏洞库包括一些商用漏洞库、开源项目、交易平台等。IBM的X-Force和Cisco的漏洞库属于软硬件厂商为了更新自己的产品而建立的漏洞信息共享平台;OSVDB等属于漏洞库开源项目(OSVDB博客于2016年宣布经营了14年的开源漏洞数据库关闭,并且未来不会重新开放);ZeroDay、1337Day等属于漏洞分享和交易平台。

我国在漏洞库研究领域起步较晚,但是随着漏洞数据库作用的显现,我国在近几年数据库建设领域发展迅速,特别是在2009年先后建立了3个国家级的漏洞库,分别是中国国家漏洞库CNNVD、国家信息安全漏洞共享平台CNVD和国家安全漏洞库NIPC,可见国家在漏洞库领域大力投入,效果显著。随后一些大学开始以漏洞库相关标准、专业领域等方向为切入点,开始建立富有特色的漏洞库,在各自领域内发挥重要作用。

表2 部分国际民间机构知名漏洞库

表3 部分国际官方机构知名漏洞库

表4 部分国内民间机构知名漏洞库

随着信息安全产业的发展,国内相关企业对漏洞库的建设迎来高峰期,一批漏洞库随之诞生。绿盟科技的安全漏洞库和启明星辰的安全公告库属于较早成立的漏洞分享平台;乌云漏洞库开创了社区形式漏洞库的先河,但是由于缺乏有效的管理和监管机制,于2016年停止运营;FreeBuf的漏洞盒子将漏洞和安全服务有机结合在一起,将漏洞信息转化为安全能力提供给用户,建立了沟通漏洞数据库与普通用户的桥梁;此外,各大互联网企业均建立各自的安全应急响应中心,可供广大白帽子提交相关漏洞信息,以提高自身相关业务的安全防护能力。

2.3 国外主流漏洞库特点

(1)NVD

美国国家安全漏洞库NVD(NationalVulnerability Database)是美国国家标准与技术局NIST(National InstituteofStandardsand Technology)于2005年建立,由美国国土安全部DHS(Department of Homeland Security)的网络安全司和美国计算机应急小组US-cert赞助支持。美国在安全漏洞领域的研究工作起源于20世纪90年代,研究内容主要涉及安全漏洞挖掘、漏洞利用、漏洞评估、漏洞管理等,并都取得了比较成熟的研究成果,在全世界范围内成为行业标准,为安全漏洞库的研究工作奠定了一个好的基础。在美国漏洞库研究领域,已经形成了政府安全部门、安全技术研究机构和民间安全企业3者间相互合作、相互取长补短、互利共赢的和谐局面,经过数10年的发展已经成为世界范围内漏洞库领域的标杆。以美国国家漏洞数据库NVD为代表,其漏洞信息全面、及时且具有权威性,是业界的集大成者,拥有高质量的数据库和能起到安全预警作用的平台系统,不仅为学术研究方面提供了良好的数据支持,更为国家在信息安全领域的发展提供了有力保障,做出了突出的贡献。

NVD漏洞库收录了超过8万条CVE漏洞信息,此外还收录了NVD自己的US-CRET漏洞公告、USCRET安全警告、OVAL信息、CPE信息等,是世界上信息最完备的漏洞库系统之一。NVD与CVE漏洞库是相互兼容的,NVD漏洞库中收录了所有含有CVE编号的漏洞信息,完全包括了CVE的数据库,在NVD漏洞库中完全可以按照CVE编号搜索漏洞信息,所以NVD漏洞库具有很好的通用性。截至2017年4月,NVD的数据库已经收录了8.4248万条CVE漏洞,且除了CVE漏洞信息外NVD中还有自己发布的漏洞和公告等,比CVE漏洞库更全面、权威。

NVD漏洞库采用SCAP标准协议,内容非常完整翔实,每条漏洞信息都列出了该条漏洞的CVE编号、漏洞标题、漏洞描述、CVSS分值、危害评级、发布日期、更新日期、利用情况、攻击方法、危害类型、参考、受影响版本及平台等多达15个属性值,详尽的内容能满足各类用户的需要,在安全领域起到积极的作用。由于NVD对漏洞的审核周期较长,所以时效性较其他漏洞库相比有明显不足;NVD收录的漏洞多集中在系统和协议层,Web漏洞收录较少。

(2)CVN

1998年,美国国防高级研究计划局DARPA(DefenseAdvanced Research ProjectsAgency)在卡耐基梅隆大学软件工程研究所建立计算机紧急事件响应小组/协调中心CERT/CC,其目的在于应对互联网安全时间,第一时间进行应急响应。日常工作包括收集和发布互联网安全事件和安全漏洞,提供安全技术支撑、安全更新建议和安全应急响应等。CERT/CC会定期在自己的网站上更新漏洞信息,基于此建立了CERT的漏洞数据库CERTVulnerabilityNotes(CVN)。

CVN在收录漏洞信息后不会直接公开,而是首先联系相关厂商,允许存在漏洞的厂商在45天内修复漏洞并发布更新补丁,然后才会在漏洞库网站中发布漏洞信息。CVN拥有权威的数据来源,并提出了漏洞危害评估方案Metric,量化了漏洞危害程度。但是CVN的漏洞数据来源单一,漏洞数据不够全面,漏洞数量少。

(3)OSVDB

OSVDB(Open Source Vulnerability Database)漏洞库是一个建立于2002年的独立安全漏洞信息的开放平台,由非盈利性的组织OpenSecurity Foundation提供赞助支持,其通过募捐获得资金支持维持运营。OSVDB漏洞库是一个相对独立的开放式漏洞库系统,它为广大用户无偿提供翔实、准确、权威、及时、全面的漏洞信息。到目前为止,该漏洞库已经收录超过10万条漏洞信息,是漏洞库中漏洞数据量最大的,其数据资源充实、全面。此外,OSVDB漏洞库系统为用户提供友好的交互界面,且提供专业完善的检索功能和分类体系,满足用户的需求。提供下载功能,用户可以按照不同的格式要求或数据结构要求下载漏洞条目和详细说明。

2016年4月,OSVDB在博客中宣布已经运营了14年的开源漏洞数据库OSVDB关闭,并且不会再重新开放。

(4)SecurityFocus

Symantec公司建立的SecurityFocus漏洞库目前已经收录了超过9万条漏洞信息,该漏洞库公布的漏洞信息不仅包括简要描述,最大的特点是包含了许多技术的细节,是针对专业技术人员和信息安全爱好者的漏洞库系统,其中攻击方法、脚本实例等内容为安全工作者分析漏洞提供了便利。SecurityFocus漏洞库因为其专业性深受广大资深安全专家的喜爱,并且相对于NVD这类官方的漏洞库,SecurityFocus的漏洞发布途径更加便捷,经常会有新漏洞曝出,是漏洞信息的重要来源,更新及时准确,在国际上具有较大的影响力。

SecurityFocus在对漏洞数据的整理上存在不足,没有对漏洞数据进行标准化的系统分类,没有对漏洞进行权威的危害等级评估。

(5)X-Force

ISS拥有X-Force漏洞库的版权,隶属于IBM。X-Force对漏洞信息的发布修改等均受到ISS的严格控制,通过网址xforce.iss.net为广大用户提供漏洞信息查询的基本服务。X-Force漏洞库拥有最完整的漏洞信息数据,数据更新及时。依托于IBM的产品平台,X-Force漏洞库已经被转化为安全扫描器等安全产品,是为数不多可以将安全漏洞数据转化为安全服务的漏洞库之一。

(6)Secunia

Secunia漏洞库由IT安全厂商Secunia于2002年组织成立,是Secunia公司为了更好地提供安全解决方案,帮助政府机关、企业和个人用户管控安全漏洞带来的风险而建立的数据集中管理平台。基于漏洞库,Secunia安全公司可以提供漏洞管理、漏洞情报和补丁管理的服务。

Secunia漏洞库的数据来源一部分来自于Secunia公司获取的漏洞信息,一部分则通过对主流IT企业的安全公告进行数据收集。Secunia收录的漏洞数据量庞大,数据来源权威严谨。但是Secunia的漏洞分类方案不够权威。Secunia已于2015年年初停止了漏洞信息发布。

(7)EDB

OffensiveSecurity作为信息安全领域的服务提供商,可以为个人和团体用户提供多种信息安全相关的认证服务和渗透测试服务。EDB(ExploitDatabase)是OffensiveSecurity开发并负责维护的非营利性安全漏洞库,它向个人和机构组织免费提供安全漏洞查询服务。EDB中包含了通用的唯一标识编号CVE编号,并基于此提供部分安全漏洞的利用代码,为安全研究人员和机构提供了便利。

EDB的特点在于提供了大量漏洞验证代码,在安全领域具有非常大的影响力。EDB的不足主要体现在没有对漏洞进行自然语言的描述和介绍,没有对漏洞进行分类和危害评估。

2.4 国外主流漏洞库特点

(1)CNVD

国家信息安全漏洞共享平台CNVD由国家信息技术安全研究中心和国家互联网应急中心CNCERT联合建立,并且联合各大信息安全企业、国内三大运营商、软件和硬件厂商、互联网企业等共同运营该漏洞平台。该漏洞库平台于2009年10月的中国计算机网络安全年会上挂牌成立,共有23家成员单位,截至2017年4月已经收录漏洞信息超过9万条,其唯一的漏洞标识形式为:CNVD-YYYY-NNNNN,每条漏洞信息记录其14个属性,危害等级分为高、中、低,更新延迟1~2天。

CNVD在国内具有很大的影响力,由于技术支撑单位众多,它的数据来源丰富且数据量庞大,对英文翻译准确,是国内漏洞库的先驱领导者。

(2)CNNVD

中国国家漏洞库CNNVD于2009年成立,其建设和运营单位是中国信息安全测评中心,与CNVD一样同属于国家级漏洞库,其优势与不足类似于CNVD。截至2017年4月,CNNVD共收录漏洞信息9万多条,其唯一的漏洞标识形式为:CNNVD-YYYYMM-NNN,每条漏洞信息记录其14个属性,危害等级分为危急、高、中、低,更新延迟1~2天。

(3)NIPC

国家安全漏洞库NIPC由国家计算机网络入侵防范中心、国家计算机病毒应急处理中心和计算机网络与信息安全教育部重点实验室3方共同建设,是中科院“十一五”科学数据库建设专业数据库项目之一。NIPC漏洞库与CNVD、CNNVD一样建立于2009年,属于国内最早一批建立的国家级漏洞库,截至2017年4月,NIPC漏洞库共收录漏洞信息近9万条,其唯一的漏洞标识形式为:NIPC-YYYY-NNNNN,每条漏洞信息记录其19个属性,危害等级分为紧急、高、中、低,更新延迟1~2天。

NIPC漏洞库依托于中科院浓厚的科研底蕴,通过对漏洞库相关标准的研究、异构漏洞的融合算法等基础理论的研究,不断提高漏洞库对数据的整合能力和利用率,为漏洞库技术的发展做出贡献。

(4)SCAP社区

SCAP社区于2012年由清华大学的安全研究员诸葛建伟建立,硬件和网络环境由中国教育和科研计算机网应急响应小组(CCERT)提供。SCAP社区旨在能够促进中国信息安全领域的标准化进程和SCAP标准在国内应用与安全漏洞库的范围。SCAP中文社区集成了大量来源不同漏洞库的漏洞数据和部分安全漏洞相关的标准,形成了独具特色的信息安全数据服务平台。

SCAP中文社区收集并整理了大量的安全漏洞数据和大量安全漏洞相关的标准,对其进行深入分析并剖析其中包含的关系,建立了具有自己特色的安全漏洞数据共享和服务社区平台,社区不仅能为信息安全领域的发展做贡献,同时也是安全研究人员的信息汇集和分享平台,在社区中可以快速地查询相关的安全漏洞信息,获取详细的资料和部分利用代码。

SCAP中文在国内拥有较大的影响力,它用中文对SCAP标准进行了详细的介绍,给出了CCE、CWE、OVAL中文库、Android专用漏洞库,并按照Android系统的结构层次对漏洞重新进行了分类的划分。SCAP收集并整理包括NVD、OSVDB、Securityfocus、Packet-Storm、CNNVD在内的漏洞库信息。

(5)NSFocus

NSFocus由中联绿盟信息技术(北京)有限公司开发并投入使用,是国内民间企业成立最早的漏洞库之一,至今共收录漏洞信息3.6万条。NSFocus基于大量的漏洞数据为用户提供安全扫描和安全防护服务。

(6)Seebug

Seebug由知道创宇信息技术有限公司于2006年8月建立,漏洞信息通过人工整理发布。Seebug的漏洞数据权威,并且超过80%的漏洞提供了漏洞验证代码,方便安全研究人员对漏洞进行研究。

3 基于SCAP协议的漏洞库质量评价体系

美国提出基于漏洞库系统的Security Content Automation Protocol(SCAP)当下比较完整和成熟的一套标准化的漏洞评估机制,其最大的特点是标准化、自动化的体系结构。SCAP由美国国家标准与技术研究院 National Institute of Standards and Technology(NIST)提出设计,是NIST用来实现国家高层政策法规(如FISMA,ISO27000系列)等到底层实施的落地,SCAP还能将信息安全所涉及的所有方面内容标准化(如统一漏洞的字段及威胁等级度量),也能将复杂的系统配置审查工作自动化。

SCAP 包 括 CVE、CVSS、OVAL、CPE、CCE、XCCDF共6个因素。这些标准元素不是新生成的,而是早于SCAP出现并被使用的协议,它们在各自本身的领域发挥着重要作用,例如CVE、CVSS这些常见的标准。SCAP的出现是对它们的整合,而标准化成为SCAP相比于过去最大的优势。SCAP为其在安全领域的应用提供了解决方案,包括数据标准的输入格式、标准的处理方法和数据标准的输出格式,这对在安全领域应用中实现数据交换有重要的意义。

3.1 基于SCAP的漏洞库评价体系

国内外安全漏洞库数量繁多,在构建完整的漏洞库评价体系前需要对主流漏洞库的数据规模和基本情况进行汇总,本文对目前在线的主流漏洞库进行了梳理总结。

表5列出了国内外主流的15个漏洞库,给出了漏洞库国家、语言、漏洞数量、有CVE编号、CVSS和CWE值的漏洞所占比例等信息,可以看出NVD作为美国官方权威的漏洞库,其中的漏洞100%含有CVE编号的信息;漏洞数量最多的是已经停止运营的OSVDB;只有少数漏洞库包含漏洞POC;国内大部分漏洞库仍然依赖包含CVE编号的漏洞数据;每个漏洞库的漏洞数量、字段情况都不尽相同。

本文通过对国内外主流漏洞库的机构设置、数据特点、运营模式等进行分析,并参考漏洞数据的CVE编号、CVSS和CWE覆盖率,分别从漏洞数据的规模、数据的独立性、数据的标准化程度和数据的完整性4个方面对主流漏洞库进行数据分析;通过横向对比把握安全漏洞库研究领域的最新进展和实践成果,巩固和更新漏洞库评价体系,为安全研究人员快速、全面和准确地评价安全漏洞库提供了理论依据,也可以帮助漏洞管理机构更好地维护和升级漏洞库系统,推动漏洞库领域的发展。

通过数据横向对比,每个漏洞库在漏洞数据的规模、数据独立性、数据的标准化程度和数据完整性4个方面分别获得一个评价等级,一级为最优记3分、二级次之记2分、三级最后记1分。分数和大于等于9的漏洞库评定为优秀,分数范围从8~5的漏洞库评定为良好,分数小于5的漏洞库评定为一般。该漏洞库评价体系的优势在于不设置固定参考值,避免漏洞库的评价体系随着该领域的研究进展而失去准确性,通过主流漏洞库的横向数据对比可以科学地对漏洞库的每个评价标准进行质量判定,在整体上提高漏洞库质量评估的准确性。

表5 部分漏洞库数据统计

3.2 漏洞数据规模

漏洞库的漏洞数据规模能在很大程度上体现一个漏洞库的规模和数据的全面性,图2给出了国内外主流漏洞库的漏洞数量,其中NVD、SecurityFocus、OSVDB、X-Force、Secunia、CNVD、CNNVD、NIPC、SCAP中文、Seebug的漏洞数据量均超过5万,数据规模较大,OSVDB的漏洞数量最多。

参考正态分布的数据分布规律,将OSVDB、X-Force和CNNVD的数据规模质量评定为一级,将CXSecurity、NSFocus和Wooyun评定为三级,其余评定为二级。

图2 主流漏洞库的漏洞数量统计

3.3 漏洞数据独立性

漏洞库的数据独立性代表着一个漏洞库的生存能力。目前,漏洞库之间相互引用数据已经成为普遍现象,独立性越好的漏洞库引用其他漏洞库的数据量越小,通过自己的途径获得的漏洞数据量越大。如图3所示,通过参考SCAP协议中的CVE编号在漏洞库中的覆盖率,可以发现PacketStorm、Seebug和Wooyun的数据独立性较好,而SCAP中文的数据独立性较差,数据全部引用于其他漏洞库。

图3 主流漏洞库引用CVE比例统计

参考正态分布的数据分布规律,将PacketStorm、Seebug和Wooyun的数据独立性质量评定为一级,将SCAP中文、NIPC和NVD评定为三级,其余评定为二级。

3.4 漏洞数据完整性

一个漏洞库拥有越多的有效字段,说明可以给出更全面的漏洞信息。常见的字段有漏洞名称、CVE编号、发布时间、更新时间、危害等级、分类、受影响厂商、参考链接等。

如图4所示,大部分主流漏洞库的字段数量均为10个,其中 NVD、SecurityFocus、OSVDB、X-Force、CXSecurity、Secunia、CNVD、NIPC、SCAP 中 文 、NSFocus的字段数较多,对漏洞描述较为详细。EDB、PacketStorm和Sebug虽然包含字段数量较少,但是通过给出POC来增强对漏洞的描述能力,增加用户使用场景。

一个漏洞库如果包含漏洞验证代码POC,可以为安全研究人员提供很大便利,提高工作效率。拥有POC的漏洞库可以吸引更多的信息安全从业者访问漏洞库,为漏洞库带来更大的流量和活力,让更多的人为漏洞库提交相关代码,形成良好的生态圈,建立一个开源共享的健康网络环境。是否含有POC是评价一个漏洞库是否具有较大影响力的重要标准。目前,仅有 Security-Focus、EDB、CXSecurity、PacketStorm 和Sebug漏洞库包含POC。

此外,通过对主流漏洞库的内容页进行对比发现,如今运营中的主流漏洞库中大部分漏洞库对数据转载没有任何限制说明,小部分漏洞库对其数据的版权进行申明。

绿盟科技的NSFocus在版权说明中明确其数据不可转载,并在每条漏洞详情中都会在最后注明“本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载”的警告信息。

目前,国内外漏洞库之间相互引用数据已经成为普遍现象,国外大部分漏洞库并未对漏洞的版权进行特别申明,在后面的章节中将对主流漏洞库中引用数据的具体比例进行分析。表6给出了我国国内主流安全漏洞库对版权申明的方式。

通过对比漏洞字段数量、是否包含POC代码字段和是否有版权声明等因素,将NVD、SecurityFocus、OSVDB、X-Force、CXSecurity、Secunia、CNVD、NIPC、SCAP中文、NSFocus的数据完整性质量评定为一级,将EDB、PacketStorm和Sebug评定为二级。

3.5 漏洞数据标准化程度

图4 主流漏洞库设置字段数量统计

表6 国内主流安全漏洞库版权申明方式

漏洞库的数据标准化程度可以很好地反应漏洞库数据结构设计的科学合理性,拥有较高标准化程度的漏洞库往往遵照国际相关标准进行数据库设计,统一合理的数据结构便于不同漏洞库之间的数据融合,减少数据库之间的数据异构,有利于推动数据库的标准化建设。如表7所示,NVD、CNNVD、NIPC和SCAP中文的相关协议覆盖率均大于90%,数据标准化程度较高。

参考正态分布的数据分布规律,将NVD、CNNVD和SCAP中文的数据标准化程度评定为一级,将PacketStorm、Seebug和Wooyun评定为三级,其余评定为二级。

4 结束语

随着信息技术的快速发展和网络时代的到来,信息网络安全问题越来越成为人们关注的焦点。在计算机信息安全问题研究领域中,对安全漏洞的研究占据最基础和首要的地位,漏洞库的建设在安全领域有非常重要的使用价值。现有的主流漏洞库数量繁多,质量参差不齐,使用者在查阅漏洞信息时无法对漏洞库的质量和所收录漏洞的准确性进行评判,这就需要一套科学的漏洞库评价体系长期对现有漏洞库进行跟踪评价,形成漏洞库质量体系规范。本文对现有的国内外主流漏洞库进行了特点梳理和数据分析,系统地阐述了各漏洞库的现状和特点,并提出基于SCAP协议的漏洞库评价体系,分别从漏洞数据的规模、数据的独立性、数据的标准化程度和数据的完整性4个方面对漏洞库进行评价,漏洞库在这4个方面的得分相加可以反映其综合质量水平。通过对主流漏洞库大量漏洞数据的分析和对比,可以帮助漏洞库建设者和使用者对现有漏洞库进行科学全面的认识,有助于漏洞库的完善和科学使用。

表7 主流漏洞库SCAP相关协议覆盖率

[1]吴舒平,张玉清.漏洞库发展现状的研究及启示[J].计算机安全,2010(11):82-84.

[2]欧鑫凤,胡铭曾,张涛,等.弱点数据库的建构及其应用研究[J].计算机应用研究,2007,24(3):213-214.

[3]Wang J A,Guo M,Wang H,et al.Ontology-based security assessment for software products[J].2009.

[4]张玉清,吴舒平,刘奇旭,等.国家安全漏洞库的设计与实现[J].通信学报,2011,32(6):93-100.

[5]杨刚,温涛,张玉清.Android漏洞库的设计与实现[J].信息网络安全,2015(9):240-244.

猜你喜欢

安全漏洞漏洞信息安全
漏洞
基于模糊测试技术的软件安全漏洞挖掘方法研究
探析计算机安全漏洞检测技术
基于三级等级保护的CBTC信号系统信息安全方案设计
试论安全漏洞检测技术在软件工程中的应用
智能设备安全漏洞知多少
计算机网络信息安全及防护策略
高校信息安全防护
三明:“两票制”堵住加价漏洞
漏洞在哪儿