1 引言

隨著計(jì)算機(jī)硬件、軟件和互聯(lián)網(wǎng)絡(luò)的普及和發(fā)展，信息化的生活給人們帶來了便利，提高了人們的生活水平，促進(jìn)了社會(huì)的發(fā)展。但與此同時(shí)，也帶來了許多安全問題，病毒、木馬程序等在網(wǎng)絡(luò)中傳播，網(wǎng)站被攻擊等，而導(dǎo)致這些問題的根源就是計(jì)算機(jī)系統(tǒng)和應(yīng)用程序中出現(xiàn)了安全漏洞，并被攻擊者發(fā)現(xiàn)利用，對(duì)漏洞信息的研究越來越被人們重視。安全漏洞是網(wǎng)絡(luò)安全攻擊事件的核心所在，其對(duì)國家和社會(huì)帶來的危害與日俱增。圖1給出了國家信息安全漏洞共享平臺(tái)CNVD統(tǒng)計(jì)的近10年新增安全漏洞數(shù)量和新增高危漏洞的變化趨勢。從圖1可以看出，在過去的2016年，全年新增漏洞數(shù)量增長近50%，漏洞數(shù)量增加意味著更多從業(yè)者在關(guān)注安全漏洞，關(guān)注安全產(chǎn)業(yè)；自2008年以來，高危漏洞數(shù)量無論是在數(shù)量還是所占比例上都呈現(xiàn)下降趨勢，但在近兩年出現(xiàn)了較大的反彈；2015年，雖然漏洞數(shù)量有大幅的減少，但是高危漏洞數(shù)量所占的比例卻是猛增的趨勢；而2016年漏洞數(shù)量和高危漏洞數(shù)量增長較大，高危漏洞所占的比例與2015年持平，2016年安全漏洞質(zhì)量普遍偏高，影響和危害性均高于往年的水平。由此可見，安全漏洞所帶來的危害和影響范圍日益增長，成為安全事件中的核心所在。

圖1 近10年新增漏洞數(shù)量統(tǒng)計(jì)

這些安全事件的根源就是安全漏洞被攻擊者利用的后果，由此可見漏洞管理工作的重要性。漏洞庫作為對(duì)安全漏洞數(shù)據(jù)的收集和發(fā)布機(jī)構(gòu)，可以全面收納并總結(jié)漏洞的內(nèi)容。高質(zhì)量的漏洞庫系統(tǒng)有利于從事計(jì)算機(jī)安全的工程師查閱信息并起到安全事件預(yù)警的作用，更可以幫助政府部門從整體上把握網(wǎng)絡(luò)安全的發(fā)展態(tài)勢。由于當(dāng)前各漏洞庫對(duì)于安全漏洞信息的發(fā)布各自為戰(zhàn)，網(wǎng)絡(luò)設(shè)備廠商、互聯(lián)網(wǎng)企業(yè)、研究機(jī)構(gòu)、各領(lǐng)域機(jī)構(gòu)對(duì)漏洞的發(fā)布時(shí)間和描述方式不盡相同，導(dǎo)致漏洞庫的水平參差不齊。為了規(guī)范漏洞庫的建設(shè)和運(yùn)維，本文梳理了現(xiàn)有主流漏洞庫的大量漏洞數(shù)據(jù)，建立一套科學(xué)的漏洞庫評(píng)價(jià)體系，用于對(duì)漏洞庫的質(zhì)量進(jìn)行評(píng)估。

2 國內(nèi)外主流漏洞庫現(xiàn)狀綜述

2.1 安全漏洞庫現(xiàn)狀

歐美等發(fā)達(dá)國家在早期就開始深入研究并投入精力建設(shè)安全漏洞庫，其政府和民間機(jī)構(gòu)已經(jīng)建設(shè)完成了一批在世界上具有一定影響力的漏洞庫，例如M itre公司的CVE（Common Vulnerabilitiesand Exposures）漏洞庫、美國國家漏洞庫NVD、OSVDB（Open Source Vulnerability Database）漏洞庫、SecurityFocus漏洞庫、IBM ISS的X_Force漏洞庫、美國國家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心下屬的US-CERT（ComputerEmergency Readiness Term）漏洞庫、澳大利亞的Aus-CERT漏洞庫、丹麥的Secunia漏洞庫、法國的VUPEN漏洞庫等。我國國內(nèi)在數(shù)據(jù)庫研究領(lǐng)域投入較晚，但是隨著數(shù)據(jù)庫系統(tǒng)作用的顯現(xiàn)，在近幾年數(shù)據(jù)庫建設(shè)領(lǐng)域發(fā)展迅猛，特別是在2009年一年內(nèi)先后建立3個(gè)國家政府部門成立的漏洞庫，分別是中國國家漏洞庫CNNVD、國家信息安全漏洞共享平臺(tái)CNVD和國家安全漏洞庫NIPC；隨后，在2012年清華大學(xué)建設(shè)完成了SCAP中文漏洞庫，可見國家對(duì)此領(lǐng)域的投入力度之大。除了政府機(jī)關(guān)和科研單位，國內(nèi)的許多企業(yè)結(jié)合自身業(yè)務(wù)和技術(shù)特點(diǎn)，也建設(shè)了許多具有一定規(guī)模的漏洞庫，例如綠盟科技的NSFocus、烏云漏洞庫、SeBug、啟明星辰中文漏洞庫等。與此同時(shí)，各大互聯(lián)網(wǎng)企業(yè)，包括騰訊、阿里、百度、京東、360等都成立了應(yīng)急響應(yīng)中心，專門用來收集相關(guān)業(yè)務(wù)系統(tǒng)存在的安全漏洞信息，以減少安全漏洞帶來的損失。

在眾多漏洞庫中，美國國家漏洞庫NVD是最權(quán)威的，NVD擁有豐富的漏洞數(shù)據(jù)資源，并且擁有規(guī)范的漏洞信息描述、清晰的漏洞庫結(jié)構(gòu)和可靠權(quán)威的內(nèi)容，NVD發(fā)布的所有漏洞都對(duì)應(yīng)頒布一個(gè)CVE編號(hào)，目前CVE編號(hào)已經(jīng)被安全界普遍接受作為漏洞信息的一個(gè)重要描述字段；NVD中的漏洞威脅等級(jí)通過CVSS標(biāo)準(zhǔn)來劃分；NVD中對(duì)受影響軟件版本和平臺(tái)的描述嚴(yán)格執(zhí)行CPE的標(biāo)準(zhǔn)規(guī)范進(jìn)行描述；NVD按照SCAP中的CWE嚴(yán)格對(duì)漏洞進(jìn)行分類。NVD中的漏洞100%擁有CVE編號(hào)，而其他主流漏洞庫擁有CVE編號(hào)的漏洞數(shù)量大約占比為50%～60%，仍有大量的漏洞并沒有被普遍認(rèn)可的CVE編號(hào)來進(jìn)行標(biāo)識(shí)，這十分不利于漏洞標(biāo)準(zhǔn)化的推進(jìn)。

2.2 主流漏洞庫介紹

國內(nèi)外安全漏洞庫數(shù)量繁多，本文將對(duì)目前在線的主流漏洞庫進(jìn)行梳理總結(jié)。表1～4按照所屬組織類型匯總了主流的漏洞庫，表中標(biāo)注了這些漏洞庫的所屬組織名稱和英文簡稱。

表1 部分國際官方機(jī)構(gòu)知名漏洞庫

很多國家對(duì)國家機(jī)構(gòu)建設(shè)的漏洞庫十分重視，并將漏洞數(shù)據(jù)列為國家戰(zhàn)略資源。在未來的網(wǎng)絡(luò)戰(zhàn)爭中，安全漏洞尤其是ZeroDay漏洞必將是各個(gè)國家的終極武器，漏洞庫作為未來戰(zhàn)爭的彈藥庫已經(jīng)被越來越多的國家列為重點(diǎn)項(xiàng)目。美國、澳大利亞、日本等國在漏洞庫建設(shè)領(lǐng)域投入較早，已經(jīng)擁有相對(duì)成熟的技術(shù)，奠定了漏洞庫的基本發(fā)展方向。

由于美國在漏洞庫領(lǐng)域起步較早，所以國外著名的民間漏洞庫主要集中在美國，并以不同的形式呈現(xiàn)。這些漏洞庫包括一些商用漏洞庫、開源項(xiàng)目、交易平臺(tái)等。IBM的X-Force和Cisco的漏洞庫屬于軟硬件廠商為了更新自己的產(chǎn)品而建立的漏洞信息共享平臺(tái)；OSVDB等屬于漏洞庫開源項(xiàng)目（OSVDB博客于2016年宣布經(jīng)營了14年的開源漏洞數(shù)據(jù)庫關(guān)閉，并且未來不會(huì)重新開放）；ZeroDay、1337Day等屬于漏洞分享和交易平臺(tái)。

我國在漏洞庫研究領(lǐng)域起步較晚，但是隨著漏洞數(shù)據(jù)庫作用的顯現(xiàn)，我國在近幾年數(shù)據(jù)庫建設(shè)領(lǐng)域發(fā)展迅速，特別是在2009年先后建立了3個(gè)國家級(jí)的漏洞庫，分別是中國國家漏洞庫CNNVD、國家信息安全漏洞共享平臺(tái)CNVD和國家安全漏洞庫NIPC，可見國家在漏洞庫領(lǐng)域大力投入，效果顯著。隨后一些大學(xué)開始以漏洞庫相關(guān)標(biāo)準(zhǔn)、專業(yè)領(lǐng)域等方向?yàn)榍腥朦c(diǎn)，開始建立富有特色的漏洞庫，在各自領(lǐng)域內(nèi)發(fā)揮重要作用。

表2 部分國際民間機(jī)構(gòu)知名漏洞庫

表3 部分國際官方機(jī)構(gòu)知名漏洞庫

表4 部分國內(nèi)民間機(jī)構(gòu)知名漏洞庫

隨著信息安全產(chǎn)業(yè)的發(fā)展，國內(nèi)相關(guān)企業(yè)對(duì)漏洞庫的建設(shè)迎來高峰期，一批漏洞庫隨之誕生。綠盟科技的安全漏洞庫和啟明星辰的安全公告庫屬于較早成立的漏洞分享平臺(tái)；烏云漏洞庫開創(chuàng)了社區(qū)形式漏洞庫的先河，但是由于缺乏有效的管理和監(jiān)管機(jī)制，于2016年停止運(yùn)營；FreeBuf的漏洞盒子將漏洞和安全服務(wù)有機(jī)結(jié)合在一起，將漏洞信息轉(zhuǎn)化為安全能力提供給用戶，建立了溝通漏洞數(shù)據(jù)庫與普通用戶的橋梁；此外，各大互聯(lián)網(wǎng)企業(yè)均建立各自的安全應(yīng)急響應(yīng)中心，可供廣大白帽子提交相關(guān)漏洞信息，以提高自身相關(guān)業(yè)務(wù)的安全防護(hù)能力。

2.3 國外主流漏洞庫特點(diǎn)

（1）NVD

美國國家安全漏洞庫NVD（NationalVulnerability Database）是美國國家標(biāo)準(zhǔn)與技術(shù)局NIST（National InstituteofStandardsand Technology）于2005年建立，由美國國土安全部DHS（Department of Homeland Security）的網(wǎng)絡(luò)安全司和美國計(jì)算機(jī)應(yīng)急小組US-cert贊助支持。美國在安全漏洞領(lǐng)域的研究工作起源于20世紀(jì)90年代，研究內(nèi)容主要涉及安全漏洞挖掘、漏洞利用、漏洞評(píng)估、漏洞管理等，并都取得了比較成熟的研究成果，在全世界范圍內(nèi)成為行業(yè)標(biāo)準(zhǔn)，為安全漏洞庫的研究工作奠定了一個(gè)好的基礎(chǔ)。在美國漏洞庫研究領(lǐng)域，已經(jīng)形成了政府安全部門、安全技術(shù)研究機(jī)構(gòu)和民間安全企業(yè)3者間相互合作、相互取長補(bǔ)短、互利共贏的和諧局面，經(jīng)過數(shù)10年的發(fā)展已經(jīng)成為世界范圍內(nèi)漏洞庫領(lǐng)域的標(biāo)桿。以美國國家漏洞數(shù)據(jù)庫NVD為代表，其漏洞信息全面、及時(shí)且具有權(quán)威性，是業(yè)界的集大成者，擁有高質(zhì)量的數(shù)據(jù)庫和能起到安全預(yù)警作用的平臺(tái)系統(tǒng)，不僅為學(xué)術(shù)研究方面提供了良好的數(shù)據(jù)支持，更為國家在信息安全領(lǐng)域的發(fā)展提供了有力保障，做出了突出的貢獻(xiàn)。

NVD漏洞庫收錄了超過8萬條CVE漏洞信息，此外還收錄了NVD自己的US-CRET漏洞公告、USCRET安全警告、OVAL信息、CPE信息等，是世界上信息最完備的漏洞庫系統(tǒng)之一。NVD與CVE漏洞庫是相互兼容的，NVD漏洞庫中收錄了所有含有CVE編號(hào)的漏洞信息，完全包括了CVE的數(shù)據(jù)庫，在NVD漏洞庫中完全可以按照CVE編號(hào)搜索漏洞信息，所以NVD漏洞庫具有很好的通用性。截至2017年4月，NVD的數(shù)據(jù)庫已經(jīng)收錄了8.4248萬條CVE漏洞，且除了CVE漏洞信息外NVD中還有自己發(fā)布的漏洞和公告等，比CVE漏洞庫更全面、權(quán)威。

NVD漏洞庫采用SCAP標(biāo)準(zhǔn)協(xié)議，內(nèi)容非常完整翔實(shí)，每條漏洞信息都列出了該條漏洞的CVE編號(hào)、漏洞標(biāo)題、漏洞描述、CVSS分值、危害評(píng)級(jí)、發(fā)布日期、更新日期、利用情況、攻擊方法、危害類型、參考、受影響版本及平臺(tái)等多達(dá)15個(gè)屬性值，詳盡的內(nèi)容能滿足各類用戶的需要，在安全領(lǐng)域起到積極的作用。由于NVD對(duì)漏洞的審核周期較長，所以時(shí)效性較其他漏洞庫相比有明顯不足；NVD收錄的漏洞多集中在系統(tǒng)和協(xié)議層，Web漏洞收錄較少。

（2）CVN

1998年，美國國防高級(jí)研究計(jì)劃局DARPA（DefenseAdvanced Research ProjectsAgency）在卡耐基梅隆大學(xué)軟件工程研究所建立計(jì)算機(jī)緊急事件響應(yīng)小組/協(xié)調(diào)中心CERT/CC，其目的在于應(yīng)對(duì)互聯(lián)網(wǎng)安全時(shí)間，第一時(shí)間進(jìn)行應(yīng)急響應(yīng)。日常工作包括收集和發(fā)布互聯(lián)網(wǎng)安全事件和安全漏洞，提供安全技術(shù)支撐、安全更新建議和安全應(yīng)急響應(yīng)等。CERT/CC會(huì)定期在自己的網(wǎng)站上更新漏洞信息，基于此建立了CERT的漏洞數(shù)據(jù)庫CERTVulnerabilityNotes（CVN）。

CVN在收錄漏洞信息后不會(huì)直接公開，而是首先聯(lián)系相關(guān)廠商，允許存在漏洞的廠商在45天內(nèi)修復(fù)漏洞并發(fā)布更新補(bǔ)丁，然后才會(huì)在漏洞庫網(wǎng)站中發(fā)布漏洞信息。CVN擁有權(quán)威的數(shù)據(jù)來源，并提出了漏洞危害評(píng)估方案Metric，量化了漏洞危害程度。但是CVN的漏洞數(shù)據(jù)來源單一，漏洞數(shù)據(jù)不夠全面，漏洞數(shù)量少。

（3）OSVDB

OSVDB（Open Source Vulnerability Database）漏洞庫是一個(gè)建立于2002年的獨(dú)立安全漏洞信息的開放平臺(tái)，由非盈利性的組織OpenSecurity Foundation提供贊助支持，其通過募捐獲得資金支持維持運(yùn)營。OSVDB漏洞庫是一個(gè)相對(duì)獨(dú)立的開放式漏洞庫系統(tǒng)，它為廣大用戶無償提供翔實(shí)、準(zhǔn)確、權(quán)威、及時(shí)、全面的漏洞信息。到目前為止，該漏洞庫已經(jīng)收錄超過10萬條漏洞信息，是漏洞庫中漏洞數(shù)據(jù)量最大的，其數(shù)據(jù)資源充實(shí)、全面。此外，OSVDB漏洞庫系統(tǒng)為用戶提供友好的交互界面，且提供專業(yè)完善的檢索功能和分類體系，滿足用戶的需求。提供下載功能，用戶可以按照不同的格式要求或數(shù)據(jù)結(jié)構(gòu)要求下載漏洞條目和詳細(xì)說明。

2016年4月，OSVDB在博客中宣布已經(jīng)運(yùn)營了14年的開源漏洞數(shù)據(jù)庫OSVDB關(guān)閉，并且不會(huì)再重新開放。

（4）SecurityFocus

Symantec公司建立的SecurityFocus漏洞庫目前已經(jīng)收錄了超過9萬條漏洞信息，該漏洞庫公布的漏洞信息不僅包括簡要描述，最大的特點(diǎn)是包含了許多技術(shù)的細(xì)節(jié)，是針對(duì)專業(yè)技術(shù)人員和信息安全愛好者的漏洞庫系統(tǒng)，其中攻擊方法、腳本實(shí)例等內(nèi)容為安全工作者分析漏洞提供了便利。SecurityFocus漏洞庫因?yàn)槠鋵I(yè)性深受廣大資深安全專家的喜愛，并且相對(duì)于NVD這類官方的漏洞庫，SecurityFocus的漏洞發(fā)布途徑更加便捷，經(jīng)常會(huì)有新漏洞曝出，是漏洞信息的重要來源，更新及時(shí)準(zhǔn)確，在國際上具有較大的影響力。

SecurityFocus在對(duì)漏洞數(shù)據(jù)的整理上存在不足，沒有對(duì)漏洞數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化的系統(tǒng)分類，沒有對(duì)漏洞進(jìn)行權(quán)威的危害等級(jí)評(píng)估。

（5）X-Force

ISS擁有X-Force漏洞庫的版權(quán)，隸屬于IBM。X-Force對(duì)漏洞信息的發(fā)布修改等均受到ISS的嚴(yán)格控制，通過網(wǎng)址xforce.iss.net為廣大用戶提供漏洞信息查詢的基本服務(wù)。X-Force漏洞庫擁有最完整的漏洞信息數(shù)據(jù)，數(shù)據(jù)更新及時(shí)。依托于IBM的產(chǎn)品平臺(tái)，X-Force漏洞庫已經(jīng)被轉(zhuǎn)化為安全掃描器等安全產(chǎn)品，是為數(shù)不多可以將安全漏洞數(shù)據(jù)轉(zhuǎn)化為安全服務(wù)的漏洞庫之一。

（6）Secunia

Secunia漏洞庫由IT安全廠商Secunia于2002年組織成立，是Secunia公司為了更好地提供安全解決方案，幫助政府機(jī)關(guān)、企業(yè)和個(gè)人用戶管控安全漏洞帶來的風(fēng)險(xiǎn)而建立的數(shù)據(jù)集中管理平臺(tái)?；诼┒磶?，Secunia安全公司可以提供漏洞管理、漏洞情報(bào)和補(bǔ)丁管理的服務(wù)。

Secunia漏洞庫的數(shù)據(jù)來源一部分來自于Secunia公司獲取的漏洞信息，一部分則通過對(duì)主流IT企業(yè)的安全公告進(jìn)行數(shù)據(jù)收集。Secunia收錄的漏洞數(shù)據(jù)量龐大，數(shù)據(jù)來源權(quán)威嚴(yán)謹(jǐn)。但是Secunia的漏洞分類方案不夠權(quán)威。Secunia已于2015年年初停止了漏洞信息發(fā)布。

（7）EDB

OffensiveSecurity作為信息安全領(lǐng)域的服務(wù)提供商，可以為個(gè)人和團(tuán)體用戶提供多種信息安全相關(guān)的認(rèn)證服務(wù)和滲透測試服務(wù)。EDB（ExploitDatabase）是OffensiveSecurity開發(fā)并負(fù)責(zé)維護(hù)的非營利性安全漏洞庫，它向個(gè)人和機(jī)構(gòu)組織免費(fèi)提供安全漏洞查詢服務(wù)。EDB中包含了通用的唯一標(biāo)識(shí)編號(hào)CVE編號(hào)，并基于此提供部分安全漏洞的利用代碼，為安全研究人員和機(jī)構(gòu)提供了便利。

EDB的特點(diǎn)在于提供了大量漏洞驗(yàn)證代碼，在安全領(lǐng)域具有非常大的影響力。EDB的不足主要體現(xiàn)在沒有對(duì)漏洞進(jìn)行自然語言的描述和介紹，沒有對(duì)漏洞進(jìn)行分類和危害評(píng)估。

2.4 國外主流漏洞庫特點(diǎn)

（1）CNVD

國家信息安全漏洞共享平臺(tái)CNVD由國家信息技術(shù)安全研究中心和國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT聯(lián)合建立，并且聯(lián)合各大信息安全企業(yè)、國內(nèi)三大運(yùn)營商、軟件和硬件廠商、互聯(lián)網(wǎng)企業(yè)等共同運(yùn)營該漏洞平臺(tái)。該漏洞庫平臺(tái)于2009年10月的中國計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)上掛牌成立，共有23家成員單位，截至2017年4月已經(jīng)收錄漏洞信息超過9萬條，其唯一的漏洞標(biāo)識(shí)形式為：CNVD-YYYY-NNNNN，每條漏洞信息記錄其14個(gè)屬性，危害等級(jí)分為高、中、低，更新延遲1～2天。

CNVD在國內(nèi)具有很大的影響力，由于技術(shù)支撐單位眾多，它的數(shù)據(jù)來源豐富且數(shù)據(jù)量龐大，對(duì)英文翻譯準(zhǔn)確，是國內(nèi)漏洞庫的先驅(qū)領(lǐng)導(dǎo)者。

（2）CNNVD

中國國家漏洞庫CNNVD于2009年成立，其建設(shè)和運(yùn)營單位是中國信息安全測評(píng)中心，與CNVD一樣同屬于國家級(jí)漏洞庫，其優(yōu)勢與不足類似于CNVD。截至2017年4月，CNNVD共收錄漏洞信息9萬多條，其唯一的漏洞標(biāo)識(shí)形式為：CNNVD-YYYYMM-NNN，每條漏洞信息記錄其14個(gè)屬性，危害等級(jí)分為危急、高、中、低，更新延遲1～2天。

（3）NIPC

國家安全漏洞庫NIPC由國家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心、國家計(jì)算機(jī)病毒應(yīng)急處理中心和計(jì)算機(jī)網(wǎng)絡(luò)與信息安全教育部重點(diǎn)實(shí)驗(yàn)室3方共同建設(shè)，是中科院“十一五”科學(xué)數(shù)據(jù)庫建設(shè)專業(yè)數(shù)據(jù)庫項(xiàng)目之一。NIPC漏洞庫與CNVD、CNNVD一樣建立于2009年，屬于國內(nèi)最早一批建立的國家級(jí)漏洞庫，截至2017年4月，NIPC漏洞庫共收錄漏洞信息近9萬條，其唯一的漏洞標(biāo)識(shí)形式為：NIPC-YYYY-NNNNN，每條漏洞信息記錄其19個(gè)屬性，危害等級(jí)分為緊急、高、中、低，更新延遲1～2天。

NIPC漏洞庫依托于中科院濃厚的科研底蘊(yùn)，通過對(duì)漏洞庫相關(guān)標(biāo)準(zhǔn)的研究、異構(gòu)漏洞的融合算法等基礎(chǔ)理論的研究，不斷提高漏洞庫對(duì)數(shù)據(jù)的整合能力和利用率，為漏洞庫技術(shù)的發(fā)展做出貢獻(xiàn)。

（4）SCAP社區(qū)

SCAP社區(qū)于2012年由清華大學(xué)的安全研究員諸葛建偉建立，硬件和網(wǎng)絡(luò)環(huán)境由中國教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)小組（CCERT）提供。SCAP社區(qū)旨在能夠促進(jìn)中國信息安全領(lǐng)域的標(biāo)準(zhǔn)化進(jìn)程和SCAP標(biāo)準(zhǔn)在國內(nèi)應(yīng)用與安全漏洞庫的范圍。SCAP中文社區(qū)集成了大量來源不同漏洞庫的漏洞數(shù)據(jù)和部分安全漏洞相關(guān)的標(biāo)準(zhǔn)，形成了獨(dú)具特色的信息安全數(shù)據(jù)服務(wù)平臺(tái)。

SCAP中文社區(qū)收集并整理了大量的安全漏洞數(shù)據(jù)和大量安全漏洞相關(guān)的標(biāo)準(zhǔn)，對(duì)其進(jìn)行深入分析并剖析其中包含的關(guān)系，建立了具有自己特色的安全漏洞數(shù)據(jù)共享和服務(wù)社區(qū)平臺(tái)，社區(qū)不僅能為信息安全領(lǐng)域的發(fā)展做貢獻(xiàn)，同時(shí)也是安全研究人員的信息匯集和分享平臺(tái)，在社區(qū)中可以快速地查詢相關(guān)的安全漏洞信息，獲取詳細(xì)的資料和部分利用代碼。

SCAP中文在國內(nèi)擁有較大的影響力，它用中文對(duì)SCAP標(biāo)準(zhǔn)進(jìn)行了詳細(xì)的介紹，給出了CCE、CWE、OVAL中文庫、Android專用漏洞庫，并按照Android系統(tǒng)的結(jié)構(gòu)層次對(duì)漏洞重新進(jìn)行了分類的劃分。SCAP收集并整理包括NVD、OSVDB、Securityfocus、Packet-Storm、CNNVD在內(nèi)的漏洞庫信息。

（5）NSFocus

NSFocus由中聯(lián)綠盟信息技術(shù)（北京）有限公司開發(fā)并投入使用，是國內(nèi)民間企業(yè)成立最早的漏洞庫之一，至今共收錄漏洞信息3.6萬條。NSFocus基于大量的漏洞數(shù)據(jù)為用戶提供安全掃描和安全防護(hù)服務(wù)。

（6）Seebug

Seebug由知道創(chuàng)宇信息技術(shù)有限公司于2006年8月建立，漏洞信息通過人工整理發(fā)布。Seebug的漏洞數(shù)據(jù)權(quán)威，并且超過80%的漏洞提供了漏洞驗(yàn)證代碼，方便安全研究人員對(duì)漏洞進(jìn)行研究。

3 基于SCAP協(xié)議的漏洞庫質(zhì)量評(píng)價(jià)體系

美國提出基于漏洞庫系統(tǒng)的Security Content Automation Protocol（SCAP）當(dāng)下比較完整和成熟的一套標(biāo)準(zhǔn)化的漏洞評(píng)估機(jī)制，其最大的特點(diǎn)是標(biāo)準(zhǔn)化、自動(dòng)化的體系結(jié)構(gòu)。SCAP由美國國家標(biāo)準(zhǔn)與技術(shù)研究院 National Institute of Standards and Technology（NIST）提出設(shè)計(jì)，是NIST用來實(shí)現(xiàn)國家高層政策法規(guī)（如FISMA，ISO27000系列）等到底層實(shí)施的落地，SCAP還能將信息安全所涉及的所有方面內(nèi)容標(biāo)準(zhǔn)化（如統(tǒng)一漏洞的字段及威脅等級(jí)度量），也能將復(fù)雜的系統(tǒng)配置審查工作自動(dòng)化。

SCAP 包 括 CVE、CVSS、OVAL、CPE、CCE、XCCDF共6個(gè)因素。這些標(biāo)準(zhǔn)元素不是新生成的，而是早于SCAP出現(xiàn)并被使用的協(xié)議，它們?cè)诟髯员旧淼念I(lǐng)域發(fā)揮著重要作用，例如CVE、CVSS這些常見的標(biāo)準(zhǔn)。SCAP的出現(xiàn)是對(duì)它們的整合，而標(biāo)準(zhǔn)化成為SCAP相比于過去最大的優(yōu)勢。SCAP為其在安全領(lǐng)域的應(yīng)用提供了解決方案，包括數(shù)據(jù)標(biāo)準(zhǔn)的輸入格式、標(biāo)準(zhǔn)的處理方法和數(shù)據(jù)標(biāo)準(zhǔn)的輸出格式，這對(duì)在安全領(lǐng)域應(yīng)用中實(shí)現(xiàn)數(shù)據(jù)交換有重要的意義。

3.1 基于SCAP的漏洞庫評(píng)價(jià)體系

國內(nèi)外安全漏洞庫數(shù)量繁多，在構(gòu)建完整的漏洞庫評(píng)價(jià)體系前需要對(duì)主流漏洞庫的數(shù)據(jù)規(guī)模和基本情況進(jìn)行匯總，本文對(duì)目前在線的主流漏洞庫進(jìn)行了梳理總結(jié)。

表5列出了國內(nèi)外主流的15個(gè)漏洞庫，給出了漏洞庫國家、語言、漏洞數(shù)量、有CVE編號(hào)、CVSS和CWE值的漏洞所占比例等信息，可以看出NVD作為美國官方權(quán)威的漏洞庫，其中的漏洞100%含有CVE編號(hào)的信息；漏洞數(shù)量最多的是已經(jīng)停止運(yùn)營的OSVDB；只有少數(shù)漏洞庫包含漏洞POC；國內(nèi)大部分漏洞庫仍然依賴包含CVE編號(hào)的漏洞數(shù)據(jù)；每個(gè)漏洞庫的漏洞數(shù)量、字段情況都不盡相同。

本文通過對(duì)國內(nèi)外主流漏洞庫的機(jī)構(gòu)設(shè)置、數(shù)據(jù)特點(diǎn)、運(yùn)營模式等進(jìn)行分析，并參考漏洞數(shù)據(jù)的CVE編號(hào)、CVSS和CWE覆蓋率，分別從漏洞數(shù)據(jù)的規(guī)模、數(shù)據(jù)的獨(dú)立性、數(shù)據(jù)的標(biāo)準(zhǔn)化程度和數(shù)據(jù)的完整性4個(gè)方面對(duì)主流漏洞庫進(jìn)行數(shù)據(jù)分析；通過橫向?qū)Ρ劝盐瞻踩┒磶煅芯款I(lǐng)域的最新進(jìn)展和實(shí)踐成果，鞏固和更新漏洞庫評(píng)價(jià)體系，為安全研究人員快速、全面和準(zhǔn)確地評(píng)價(jià)安全漏洞庫提供了理論依據(jù)，也可以幫助漏洞管理機(jī)構(gòu)更好地維護(hù)和升級(jí)漏洞庫系統(tǒng)，推動(dòng)漏洞庫領(lǐng)域的發(fā)展。

通過數(shù)據(jù)橫向?qū)Ρ?，每個(gè)漏洞庫在漏洞數(shù)據(jù)的規(guī)模、數(shù)據(jù)獨(dú)立性、數(shù)據(jù)的標(biāo)準(zhǔn)化程度和數(shù)據(jù)完整性4個(gè)方面分別獲得一個(gè)評(píng)價(jià)等級(jí)，一級(jí)為最優(yōu)記3分、二級(jí)次之記2分、三級(jí)最后記1分。分?jǐn)?shù)和大于等于9的漏洞庫評(píng)定為優(yōu)秀，分?jǐn)?shù)范圍從8～5的漏洞庫評(píng)定為良好，分?jǐn)?shù)小于5的漏洞庫評(píng)定為一般。該漏洞庫評(píng)價(jià)體系的優(yōu)勢在于不設(shè)置固定參考值，避免漏洞庫的評(píng)價(jià)體系隨著該領(lǐng)域的研究進(jìn)展而失去準(zhǔn)確性，通過主流漏洞庫的橫向數(shù)據(jù)對(duì)比可以科學(xué)地對(duì)漏洞庫的每個(gè)評(píng)價(jià)標(biāo)準(zhǔn)進(jìn)行質(zhì)量判定，在整體上提高漏洞庫質(zhì)量評(píng)估的準(zhǔn)確性。

表5 部分漏洞庫數(shù)據(jù)統(tǒng)計(jì)

3.2 漏洞數(shù)據(jù)規(guī)模

漏洞庫的漏洞數(shù)據(jù)規(guī)模能在很大程度上體現(xiàn)一個(gè)漏洞庫的規(guī)模和數(shù)據(jù)的全面性，圖2給出了國內(nèi)外主流漏洞庫的漏洞數(shù)量，其中NVD、SecurityFocus、OSVDB、X-Force、Secunia、CNVD、CNNVD、NIPC、SCAP中文、Seebug的漏洞數(shù)據(jù)量均超過5萬，數(shù)據(jù)規(guī)模較大，OSVDB的漏洞數(shù)量最多。

參考正態(tài)分布的數(shù)據(jù)分布規(guī)律，將OSVDB、X-Force和CNNVD的數(shù)據(jù)規(guī)模質(zhì)量評(píng)定為一級(jí)，將CXSecurity、NSFocus和Wooyun評(píng)定為三級(jí)，其余評(píng)定為二級(jí)。

圖2 主流漏洞庫的漏洞數(shù)量統(tǒng)計(jì)

3.3 漏洞數(shù)據(jù)獨(dú)立性

漏洞庫的數(shù)據(jù)獨(dú)立性代表著一個(gè)漏洞庫的生存能力。目前，漏洞庫之間相互引用數(shù)據(jù)已經(jīng)成為普遍現(xiàn)象，獨(dú)立性越好的漏洞庫引用其他漏洞庫的數(shù)據(jù)量越小，通過自己的途徑獲得的漏洞數(shù)據(jù)量越大。如圖3所示，通過參考SCAP協(xié)議中的CVE編號(hào)在漏洞庫中的覆蓋率，可以發(fā)現(xiàn)PacketStorm、Seebug和Wooyun的數(shù)據(jù)獨(dú)立性較好，而SCAP中文的數(shù)據(jù)獨(dú)立性較差，數(shù)據(jù)全部引用于其他漏洞庫。

圖3 主流漏洞庫引用CVE比例統(tǒng)計(jì)

參考正態(tài)分布的數(shù)據(jù)分布規(guī)律，將PacketStorm、Seebug和Wooyun的數(shù)據(jù)獨(dú)立性質(zhì)量評(píng)定為一級(jí)，將SCAP中文、NIPC和NVD評(píng)定為三級(jí)，其余評(píng)定為二級(jí)。

3.4 漏洞數(shù)據(jù)完整性

一個(gè)漏洞庫擁有越多的有效字段，說明可以給出更全面的漏洞信息。常見的字段有漏洞名稱、CVE編號(hào)、發(fā)布時(shí)間、更新時(shí)間、危害等級(jí)、分類、受影響廠商、參考鏈接等。

如圖4所示，大部分主流漏洞庫的字段數(shù)量均為10個(gè)，其中 NVD、SecurityFocus、OSVDB、X-Force、CXSecurity、Secunia、CNVD、NIPC、SCAP 中 文 、NSFocus的字段數(shù)較多，對(duì)漏洞描述較為詳細(xì)。EDB、PacketStorm和Sebug雖然包含字段數(shù)量較少，但是通過給出POC來增強(qiáng)對(duì)漏洞的描述能力，增加用戶使用場景。

一個(gè)漏洞庫如果包含漏洞驗(yàn)證代碼POC，可以為安全研究人員提供很大便利，提高工作效率。擁有POC的漏洞庫可以吸引更多的信息安全從業(yè)者訪問漏洞庫，為漏洞庫帶來更大的流量和活力，讓更多的人為漏洞庫提交相關(guān)代碼，形成良好的生態(tài)圈，建立一個(gè)開源共享的健康網(wǎng)絡(luò)環(huán)境。是否含有POC是評(píng)價(jià)一個(gè)漏洞庫是否具有較大影響力的重要標(biāo)準(zhǔn)。目前，僅有 Security-Focus、EDB、CXSecurity、PacketStorm 和Sebug漏洞庫包含POC。

此外，通過對(duì)主流漏洞庫的內(nèi)容頁進(jìn)行對(duì)比發(fā)現(xiàn)，如今運(yùn)營中的主流漏洞庫中大部分漏洞庫對(duì)數(shù)據(jù)轉(zhuǎn)載沒有任何限制說明，小部分漏洞庫對(duì)其數(shù)據(jù)的版權(quán)進(jìn)行申明。

綠盟科技的NSFocus在版權(quán)說明中明確其數(shù)據(jù)不可轉(zhuǎn)載，并在每條漏洞詳情中都會(huì)在最后注明“本安全漏洞由綠盟科技翻譯整理，版權(quán)所有，未經(jīng)許可，不得轉(zhuǎn)載”的警告信息。

目前，國內(nèi)外漏洞庫之間相互引用數(shù)據(jù)已經(jīng)成為普遍現(xiàn)象，國外大部分漏洞庫并未對(duì)漏洞的版權(quán)進(jìn)行特別申明，在后面的章節(jié)中將對(duì)主流漏洞庫中引用數(shù)據(jù)的具體比例進(jìn)行分析。表6給出了我國國內(nèi)主流安全漏洞庫對(duì)版權(quán)申明的方式。

通過對(duì)比漏洞字段數(shù)量、是否包含POC代碼字段和是否有版權(quán)聲明等因素，將NVD、SecurityFocus、OSVDB、X-Force、CXSecurity、Secunia、CNVD、NIPC、SCAP中文、NSFocus的數(shù)據(jù)完整性質(zhì)量評(píng)定為一級(jí)，將EDB、PacketStorm和Sebug評(píng)定為二級(jí)。

3.5 漏洞數(shù)據(jù)標(biāo)準(zhǔn)化程度

圖4 主流漏洞庫設(shè)置字段數(shù)量統(tǒng)計(jì)

表6 國內(nèi)主流安全漏洞庫版權(quán)申明方式

漏洞庫的數(shù)據(jù)標(biāo)準(zhǔn)化程度可以很好地反應(yīng)漏洞庫數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)的科學(xué)合理性，擁有較高標(biāo)準(zhǔn)化程度的漏洞庫往往遵照國際相關(guān)標(biāo)準(zhǔn)進(jìn)行數(shù)據(jù)庫設(shè)計(jì)，統(tǒng)一合理的數(shù)據(jù)結(jié)構(gòu)便于不同漏洞庫之間的數(shù)據(jù)融合，減少數(shù)據(jù)庫之間的數(shù)據(jù)異構(gòu)，有利于推動(dòng)數(shù)據(jù)庫的標(biāo)準(zhǔn)化建設(shè)。如表7所示，NVD、CNNVD、NIPC和SCAP中文的相關(guān)協(xié)議覆蓋率均大于90%，數(shù)據(jù)標(biāo)準(zhǔn)化程度較高。

參考正態(tài)分布的數(shù)據(jù)分布規(guī)律，將NVD、CNNVD和SCAP中文的數(shù)據(jù)標(biāo)準(zhǔn)化程度評(píng)定為一級(jí)，將PacketStorm、Seebug和Wooyun評(píng)定為三級(jí)，其余評(píng)定為二級(jí)。

4 結(jié)束語

隨著信息技術(shù)的快速發(fā)展和網(wǎng)絡(luò)時(shí)代的到來，信息網(wǎng)絡(luò)安全問題越來越成為人們關(guān)注的焦點(diǎn)。在計(jì)算機(jī)信息安全問題研究領(lǐng)域中，對(duì)安全漏洞的研究占據(jù)最基礎(chǔ)和首要的地位，漏洞庫的建設(shè)在安全領(lǐng)域有非常重要的使用價(jià)值?，F(xiàn)有的主流漏洞庫數(shù)量繁多，質(zhì)量參差不齊，使用者在查閱漏洞信息時(shí)無法對(duì)漏洞庫的質(zhì)量和所收錄漏洞的準(zhǔn)確性進(jìn)行評(píng)判，這就需要一套科學(xué)的漏洞庫評(píng)價(jià)體系長期對(duì)現(xiàn)有漏洞庫進(jìn)行跟蹤評(píng)價(jià)，形成漏洞庫質(zhì)量體系規(guī)范。本文對(duì)現(xiàn)有的國內(nèi)外主流漏洞庫進(jìn)行了特點(diǎn)梳理和數(shù)據(jù)分析，系統(tǒng)地闡述了各漏洞庫的現(xiàn)狀和特點(diǎn)，并提出基于SCAP協(xié)議的漏洞庫評(píng)價(jià)體系，分別從漏洞數(shù)據(jù)的規(guī)模、數(shù)據(jù)的獨(dú)立性、數(shù)據(jù)的標(biāo)準(zhǔn)化程度和數(shù)據(jù)的完整性4個(gè)方面對(duì)漏洞庫進(jìn)行評(píng)價(jià)，漏洞庫在這4個(gè)方面的得分相加可以反映其綜合質(zhì)量水平。通過對(duì)主流漏洞庫大量漏洞數(shù)據(jù)的分析和對(duì)比，可以幫助漏洞庫建設(shè)者和使用者對(duì)現(xiàn)有漏洞庫進(jìn)行科學(xué)全面的認(rèn)識(shí)，有助于漏洞庫的完善和科學(xué)使用。

表7 主流漏洞庫SCAP相關(guān)協(xié)議覆蓋率

[1]吳舒平,張玉清.漏洞庫發(fā)展現(xiàn)狀的研究及啟示[J].計(jì)算機(jī)安全,2010(11):82-84.

[2]歐鑫鳳,胡銘曾,張濤,等.弱點(diǎn)數(shù)據(jù)庫的建構(gòu)及其應(yīng)用研究[J].計(jì)算機(jī)應(yīng)用研究,2007,24(3):213-214.

[3]Wang J A,Guo M,Wang H,et al.Ontology-based security assessment for software products[J].2009.

[4]張玉清,吳舒平,劉奇旭,等.國家安全漏洞庫的設(shè)計(jì)與實(shí)現(xiàn)[J].通信學(xué)報(bào),2011,32(6):93-100.

[5]楊剛,溫濤,張玉清.Android漏洞庫的設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全,2015(9):240-244.