鄧維立 申大武

?

信息系統(tǒng)缺陷評(píng)估與CVSS體系

鄧維立 申大武

山東省泰安市公安局信息通信處，山東 泰安 271000

鑒于計(jì)算機(jī)信息系統(tǒng)的安全性問題越來越嚴(yán)重，許多計(jì)算機(jī)安全解決方案提供商和一些非營利性組織研究、制定并實(shí)施了信息系統(tǒng)缺陷的評(píng)估標(biāo)準(zhǔn)，但是這些企業(yè)標(biāo)準(zhǔn)間沒有互操作性。分析了信息系統(tǒng)缺陷評(píng)估要素和評(píng)估模式，重點(diǎn)介紹了由NIAC領(lǐng)導(dǎo)下受全球最具影響力的IT廠商支持的“通用缺陷評(píng)估體系”。通過對(duì)IOS DOS、Microsoft LSASS（Sasser Worm）、Microsoft Outlook Express Scripting三個(gè)知名漏洞的評(píng)估過程，展示了如何進(jìn)行基于CVSS的系統(tǒng)缺陷評(píng)分定級(jí)。隨著包括思科在內(nèi)的一些大軟件廠商開始使用CVSS，相信不遠(yuǎn)的將來CVSS將會(huì)迅速盛行。

通用缺陷評(píng)估體系（CVSS）；信息系統(tǒng)缺陷；遠(yuǎn)程侵入

隨著信息系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，不斷傳出各種侵犯安全的事件報(bào)道，如非法侵入他人主機(jī)、盜取他人私人密碼、偷窺他人私人信息甚至使用“木馬”等黑客工具控制他人主機(jī)進(jìn)行非法攻擊。信息安全成為關(guān)系國家安全、經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定的關(guān)鍵性問題。

1 信息系統(tǒng)漏洞是導(dǎo)致安全問題的關(guān)鍵

廣義上信息系統(tǒng)漏洞定義為導(dǎo)致軟件、設(shè)備、系統(tǒng)、服務(wù)等安全性、完整性、可操作性失效的缺陷、設(shè)計(jì)紕漏或系統(tǒng)特性。通常情況下，可以用以下幾個(gè)方面要素描述漏洞。

（1）漏洞的利用位置、是否需要認(rèn)證、侵入的復(fù)雜性；（2）漏洞對(duì)系統(tǒng)機(jī)密性、有效性、完整性影響；（3）漏洞的可利用程度、解決程度以及可信程度。

此外，評(píng)價(jià)漏洞的嚴(yán)重程度還得考慮時(shí)間因素，比如軟件安全補(bǔ)丁推出的速度以及潛在的附帶損失等。

作為網(wǎng)絡(luò)安全中的一個(gè)重要因素，在多種安全產(chǎn)品如漏洞掃描、入侵檢測、防病毒、補(bǔ)丁管理等均涉及對(duì)漏洞及其可能造成的影響的評(píng)價(jià)，對(duì)漏洞的評(píng)分定級(jí)是信息安全領(lǐng)域研究熱點(diǎn)[1]。目前，IT安全產(chǎn)品提供商、微軟、思科等軟硬件提供商以及相關(guān)政府部門和計(jì)算機(jī)專業(yè)協(xié)會(huì)都制定了一系列標(biāo)準(zhǔn)用于系統(tǒng)安全漏洞評(píng)分和定級(jí)，在業(yè)界比較知名的評(píng)估系統(tǒng)主要有：微軟威脅評(píng)估體系[2]，賽門鐵克威脅評(píng)估系統(tǒng)，CERT漏洞評(píng)分[3]，Qualys漏洞知識(shí)庫以及Mitre公司發(fā)布的OVAL標(biāo)準(zhǔn)和評(píng)分工具。

鑒于軟件提供廠商各自評(píng)級(jí)的混亂狀況，思科、微軟和賽門鐵克在內(nèi)的全球知名IT廠商計(jì)劃建立了一套評(píng)級(jí)體系——通用缺陷評(píng)估系統(tǒng)（Common Vulnerability Scoring System，簡稱CVSS），由統(tǒng)一語言對(duì)電腦安全漏洞的嚴(yán)重性進(jìn)行評(píng)估。此評(píng)估體系是美國國家基礎(chǔ)設(shè)施顧問委員會(huì)（NIAC）實(shí)施項(xiàng)目的一個(gè)部分。此項(xiàng)目旨在建立一套全球范圍內(nèi)的披露軟件安全漏洞信息的框架機(jī)制。CVSS體系于2005年在舊金山舉行的RSA大會(huì)上首次亮相并得到了眾多來自政府及業(yè)界代表的支持，其中包括eBay、Qualys、互聯(lián)網(wǎng)安全體系和Mitre。本文將對(duì)CVSS體系進(jìn)行重點(diǎn)探討。

2 通用漏洞評(píng)估體系CVSS

2.1 體系結(jié)構(gòu)

通用缺陷評(píng)估系統(tǒng)（CVSS）是由NIAC開發(fā)、FIRST維護(hù)的一個(gè)開放并且能夠被產(chǎn)品廠商免費(fèi)采用的標(biāo)準(zhǔn)。CVSS利用漏洞一系列要素和特征評(píng)價(jià)和描述漏洞，它使用標(biāo)準(zhǔn)數(shù)學(xué)方程對(duì)新發(fā)現(xiàn)漏洞進(jìn)行評(píng)估。CVSS體系將與漏洞評(píng)估有關(guān)的因素劃分為三大類：基本因素組、生命周期因素組及環(huán)境因素組。基本因素指的是該漏洞本身固有的一些特點(diǎn)及這些特點(diǎn)可能造成的影響的評(píng)價(jià)分值；因?yàn)槁┒赐瑫r(shí)間是緊密關(guān)聯(lián)的，因此CVSS也列舉出三個(gè)與時(shí)間緊密關(guān)聯(lián)的要素構(gòu)成生命周期因素組。此外，考慮到每個(gè)漏洞會(huì)造成的影響大小都與用戶自身的實(shí)際環(huán)境密不可分，因此CVSS可選項(xiàng)中也包括了環(huán)境評(píng)價(jià)。這可以由用戶自評(píng)，所有要素及相互關(guān)系如圖1所示。

2.2 評(píng)分要素取值

圖1中各評(píng)分要素的取值詳見表1，其中有些要素的評(píng)分需要注意。如果漏洞既可遠(yuǎn)程利用又可以本地利用，取值應(yīng)該為遠(yuǎn)程利用的分值；需要認(rèn)證是指，是否需要預(yù)先有Email、FTP賬號(hào)等。CVSS綜合評(píng)分以下我們通過對(duì)Cisco IOS Interface Blocked DoS（IOS DOS）、Microsoft LSASS（Sasser Worm）、Microsoft Outlook Express Scripting三個(gè)知名漏洞的評(píng)分來展示CVSS系統(tǒng)的應(yīng)用，詳見表2。

表1 CVSS各評(píng)估要素取值

圖2 CVSS評(píng)估公式

表2 CVSS評(píng)估應(yīng)用案例

過程中，涉及的計(jì)算公式參見圖2，以上公式計(jì)算結(jié)果均圓整至小數(shù)點(diǎn)后一位。

2.3 CVSS實(shí)例分析

CVSS實(shí)例分析見表2。

3 討論與展望

CVSS之前，每個(gè)廠商在缺陷評(píng)級(jí)方面都有它們各自的標(biāo)準(zhǔn)，給企業(yè)在決定優(yōu)先部署哪個(gè)補(bǔ)丁軟件帶來了困難。CVSS就是計(jì)劃建立一種評(píng)估軟件中缺陷的統(tǒng)一方法，取代許多高科技廠商和安全廠商的專有方法。如果CVSS得到普及，企業(yè)風(fēng)險(xiǎn)經(jīng)理或安全代表能夠利用該系統(tǒng)決定哪個(gè)缺陷需要首先修正。它能夠使機(jī)構(gòu)對(duì)多個(gè)廠商的多種平臺(tái)中的缺陷進(jìn)行比較，并利用統(tǒng)一的標(biāo)準(zhǔn)評(píng)估危險(xiǎn)性。其最終目標(biāo)是制訂一個(gè)有助于用戶對(duì)缺陷做出恰當(dāng)反應(yīng)的系統(tǒng)，從而解決這方面存在的混亂。

盡管CVSS得到重量級(jí)IT廠商的支持，但截至目前該體系還沒有一個(gè)主要的執(zhí)行者。CVSS組織者考慮讓NIAC或Mitre等廠商承擔(dān)CVSS的運(yùn)行，并建立網(wǎng)站向網(wǎng)絡(luò)用戶及IT提供商提供信息。FIRST 正在呼吁軟件產(chǎn)業(yè)在它們的安全公告中包括CVSS評(píng)級(jí)。它使所有廠商都站在了同一平臺(tái)上，思科已經(jīng)在其MySDN安全網(wǎng)站上提供CVSS評(píng)級(jí)，但沒有在它的安全公告中提供CVSS評(píng)級(jí)。包括賽門鐵克、互聯(lián)網(wǎng)安全系統(tǒng)、Qualys在內(nèi)的數(shù)家安全廠商都支持CVSS，將在它們的產(chǎn)品中采用該標(biāo)準(zhǔn)。雖然微軟仍然堅(jiān)持使用它自己的評(píng)級(jí)系統(tǒng)，但其安全響應(yīng)中心主任表示如果客戶有要求，微軟將采用CVSS。

有一種被大多數(shù)廠商都采用的安全缺陷標(biāo)準(zhǔn)評(píng)級(jí)系統(tǒng)對(duì)于IT產(chǎn)業(yè)而言是一件好事。如果用戶意識(shí)到了CVSS的價(jià)值，如果包括思科在內(nèi)的一些大軟件廠商開始使用CVSS。相信不久的將來，隨著微軟、谷歌亞馬遜等國際巨頭的響應(yīng)，國內(nèi)BATJ這些互聯(lián)網(wǎng)寡頭也會(huì)迅速應(yīng)用CVSS。

[1]P. García-Teodoro， J. Díaz-Verdejo， G. Maciá- Fernández，E. Vázquez，Anomaly-based network intrusion detection：Techniques，systems and challenges， Computers & Security，2009，28（1/2）：18-28.

[2]朱麗娜，張作昌，馮力. 層次化網(wǎng)絡(luò)安全威脅態(tài)勢評(píng)估技術(shù)研究[J]. 計(jì)算機(jī)應(yīng)用研究，2011，28（11）：4303-4310.

[3]周亮，李俊娥，陸天波，等. 信息系統(tǒng)漏洞風(fēng)險(xiǎn)定量評(píng)估模型研究[J]. 通信學(xué)報(bào)，2009 30（2）：71-76.

Information System Defect Evaluation and CVSS System

Deng Weili Shen Dawu

Shandong Tai’an Public Security Bureau Information and Communication Department, Shandong Taian 271000

In view of the increasing security of computer information systems, many computer security solution providers and some non-profit organizations have researched, developed and implemented evaluation criteria for information system defects, but there is no interoperability between these enterprise standards. The paper analyzes the information system defect assessment elements and evaluation models, and focuses on the “general defect assessment system” supported by the most influential IT vendors in the world under the leadership of NIAC. Through the evaluation process of three well-known vulnerabilities of IOS DOS, Microsoft LSASS (Sasser Worm), and Microsoft Outlook Express Scripting, how to perform CVSS-based system defect scoring is demonstrated. As some major software vendors, including Cisco, begin to use CVSS. It is believed that CVSS will quickly become popular in the near future.

Common Defect Assessment System (CVSS); information system defects; remote intrusion

TP309

A