邓维立 申大武



信息系统缺陷评估与CVSS体系

邓维立 申大武

山东省泰安市公安局信息通信处，山东 泰安 271000

鉴于计算机信息系统的安全性问题越来越严重，许多计算机安全解决方案提供商和一些非营利性组织研究、制定并实施了信息系统缺陷的评估标准，但是这些企业标准间没有互操作性。分析了信息系统缺陷评估要素和评估模式，重点介绍了由NIAC领导下受全球最具影响力的IT厂商支持的“通用缺陷评估体系”。通过对IOS DOS、Microsoft LSASS（Sasser Worm）、Microsoft Outlook Express Scripting三个知名漏洞的评估过程，展示了如何进行基于CVSS的系统缺陷评分定级。随着包括思科在内的一些大软件厂商开始使用CVSS，相信不远的将来CVSS将会迅速盛行。

通用缺陷评估体系（CVSS）；信息系统缺陷；远程侵入

随着信息系统和计算机网络的发展，不断传出各种侵犯安全的事件报道，如非法侵入他人主机、盗取他人私人密码、偷窥他人私人信息甚至使用“木马”等黑客工具控制他人主机进行非法攻击。信息安全成为关系国家安全、经济发展和社会稳定的关键性问题。

1 信息系统漏洞是导致安全问题的关键

广义上信息系统漏洞定义为导致软件、设备、系统、服务等安全性、完整性、可操作性失效的缺陷、设计纰漏或系统特性。通常情况下，可以用以下几个方面要素描述漏洞。

（1）漏洞的利用位置、是否需要认证、侵入的复杂性；（2）漏洞对系统机密性、有效性、完整性影响；（3）漏洞的可利用程度、解决程度以及可信程度。

此外，评价漏洞的严重程度还得考虑时间因素，比如软件安全补丁推出的速度以及潜在的附带损失等。

作为网络安全中的一个重要因素，在多种安全产品如漏洞扫描、入侵检测、防病毒、补丁管理等均涉及对漏洞及其可能造成的影响的评价，对漏洞的评分定级是信息安全领域研究热点[1]。目前，IT安全产品提供商、微软、思科等软硬件提供商以及相关政府部门和计算机专业协会都制定了一系列标准用于系统安全漏洞评分和定级，在业界比较知名的评估系统主要有：微软威胁评估体系[2]，赛门铁克威胁评估系统，CERT漏洞评分[3]，Qualys漏洞知识库以及Mitre公司发布的OVAL标准和评分工具。

鉴于软件提供厂商各自评级的混乱状况，思科、微软和赛门铁克在内的全球知名IT厂商计划建立了一套评级体系——通用缺陷评估系统（Common Vulnerability Scoring System，简称CVSS），由统一语言对电脑安全漏洞的严重性进行评估。此评估体系是美国国家基础设施顾问委员会（NIAC）实施项目的一个部分。此项目旨在建立一套全球范围内的披露软件安全漏洞信息的框架机制。CVSS体系于2005年在旧金山举行的RSA大会上首次亮相并得到了众多来自政府及业界代表的支持，其中包括eBay、Qualys、互联网安全体系和Mitre。本文将对CVSS体系进行重点探讨。

2 通用漏洞评估体系CVSS

2.1 体系结构

通用缺陷评估系统（CVSS）是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准。CVSS利用漏洞一系列要素和特征评价和描述漏洞，它使用标准数学方程对新发现漏洞进行评估。CVSS体系将与漏洞评估有关的因素划分为三大类：基本因素组、生命周期因素组及环境因素组。基本因素指的是该漏洞本身固有的一些特点及这些特点可能造成的影响的评价分值；因为漏洞往往同时间是紧密关联的，因此CVSS也列举出三个与时间紧密关联的要素构成生命周期因素组。此外，考虑到每个漏洞会造成的影响大小都与用户自身的实际环境密不可分，因此CVSS可选项中也包括了环境评价。这可以由用户自评，所有要素及相互关系如图1所示。

2.2 评分要素取值

图1中各评分要素的取值详见表1，其中有些要素的评分需要注意。如果漏洞既可远程利用又可以本地利用，取值应该为远程利用的分值；需要认证是指，是否需要预先有Email、FTP账号等。CVSS综合评分以下我们通过对Cisco IOS Interface Blocked DoS（IOS DOS）、Microsoft LSASS（Sasser Worm）、Microsoft Outlook Express Scripting三个知名漏洞的评分来展示CVSS系统的应用，详见表2。

表1 CVSS各评估要素取值

图2 CVSS评估公式

表2 CVSS评估应用案例

过程中，涉及的计算公式参见图2，以上公式计算结果均圆整至小数点后一位。

2.3 CVSS实例分析

CVSS实例分析见表2。

3 讨论与展望

CVSS之前，每个厂商在缺陷评级方面都有它们各自的标准，给企业在决定优先部署哪个补丁软件带来了困难。CVSS就是计划建立一种评估软件中缺陷的统一方法，取代许多高科技厂商和安全厂商的专有方法。如果CVSS得到普及，企业风险经理或安全代表能够利用该系统决定哪个缺陷需要首先修正。它能够使机构对多个厂商的多种平台中的缺陷进行比较，并利用统一的标准评估危险性。其最终目标是制订一个有助于用户对缺陷做出恰当反应的系统，从而解决这方面存在的混乱。

尽管CVSS得到重量级IT厂商的支持，但截至目前该体系还没有一个主要的执行者。CVSS组织者考虑让NIAC或Mitre等厂商承担CVSS的运行，并建立网站向网络用户及IT提供商提供信息。FIRST 正在呼吁软件产业在它们的安全公告中包括CVSS评级。它使所有厂商都站在了同一平台上，思科已经在其MySDN安全网站上提供CVSS评级，但没有在它的安全公告中提供CVSS评级。包括赛门铁克、互联网安全系统、Qualys在内的数家安全厂商都支持CVSS，将在它们的产品中采用该标准。虽然微软仍然坚持使用它自己的评级系统，但其安全响应中心主任表示如果客户有要求，微软将采用CVSS。

有一种被大多数厂商都采用的安全缺陷标准评级系统对于IT产业而言是一件好事。如果用户意识到了CVSS的价值，如果包括思科在内的一些大软件厂商开始使用CVSS。相信不久的将来，随着微软、谷歌亚马逊等国际巨头的响应，国内BATJ这些互联网寡头也会迅速应用CVSS。

[1]P. García-Teodoro， J. Díaz-Verdejo， G. Maciá- Fernández，E. Vázquez，Anomaly-based network intrusion detection：Techniques，systems and challenges， Computers & Security，2009，28（1/2）：18-28.

[2]朱丽娜，张作昌，冯力. 层次化网络安全威胁态势评估技术研究[J]. 计算机应用研究，2011，28（11）：4303-4310.

[3]周亮，李俊娥，陆天波，等. 信息系统漏洞风险定量评估模型研究[J]. 通信学报，2009 30（2）：71-76.

Information System Defect Evaluation and CVSS System

Deng Weili Shen Dawu

Shandong Tai’an Public Security Bureau Information and Communication Department, Shandong Taian 271000

In view of the increasing security of computer information systems, many computer security solution providers and some non-profit organizations have researched, developed and implemented evaluation criteria for information system defects, but there is no interoperability between these enterprise standards. The paper analyzes the information system defect assessment elements and evaluation models, and focuses on the “general defect assessment system” supported by the most influential IT vendors in the world under the leadership of NIAC. Through the evaluation process of three well-known vulnerabilities of IOS DOS, Microsoft LSASS (Sasser Worm), and Microsoft Outlook Express Scripting, how to perform CVSS-based system defect scoring is demonstrated. As some major software vendors, including Cisco, begin to use CVSS. It is believed that CVSS will quickly become popular in the near future.

Common Defect Assessment System (CVSS); information system defects; remote intrusion

TP309

A