鄧維立 申大武

?

信息系統(tǒng)缺陷評估與CVSS體系

鄧維立 申大武

山東省泰安市公安局信息通信處，山東 泰安 271000

鑒于計算機信息系統(tǒng)的安全性問題越來越嚴重，許多計算機安全解決方案提供商和一些非營利性組織研究、制定并實施了信息系統(tǒng)缺陷的評估標準，但是這些企業(yè)標準間沒有互操作性。分析了信息系統(tǒng)缺陷評估要素和評估模式，重點介紹了由NIAC領(lǐng)導(dǎo)下受全球最具影響力的IT廠商支持的“通用缺陷評估體系”。通過對IOS DOS、Microsoft LSASS（Sasser Worm）、Microsoft Outlook Express Scripting三個知名漏洞的評估過程，展示了如何進行基于CVSS的系統(tǒng)缺陷評分定級。隨著包括思科在內(nèi)的一些大軟件廠商開始使用CVSS，相信不遠的將來CVSS將會迅速盛行。

通用缺陷評估體系（CVSS）；信息系統(tǒng)缺陷；遠程侵入

隨著信息系統(tǒng)和計算機網(wǎng)絡(luò)的發(fā)展，不斷傳出各種侵犯安全的事件報道，如非法侵入他人主機、盜取他人私人密碼、偷窺他人私人信息甚至使用“木馬”等黑客工具控制他人主機進行非法攻擊。信息安全成為關(guān)系國家安全、經(jīng)濟發(fā)展和社會穩(wěn)定的關(guān)鍵性問題。

1 信息系統(tǒng)漏洞是導(dǎo)致安全問題的關(guān)鍵

廣義上信息系統(tǒng)漏洞定義為導(dǎo)致軟件、設(shè)備、系統(tǒng)、服務(wù)等安全性、完整性、可操作性失效的缺陷、設(shè)計紕漏或系統(tǒng)特性。通常情況下，可以用以下幾個方面要素描述漏洞。

（1）漏洞的利用位置、是否需要認證、侵入的復(fù)雜性；（2）漏洞對系統(tǒng)機密性、有效性、完整性影響；（3）漏洞的可利用程度、解決程度以及可信程度。

此外，評價漏洞的嚴重程度還得考慮時間因素，比如軟件安全補丁推出的速度以及潛在的附帶損失等。

作為網(wǎng)絡(luò)安全中的一個重要因素，在多種安全產(chǎn)品如漏洞掃描、入侵檢測、防病毒、補丁管理等均涉及對漏洞及其可能造成的影響的評價，對漏洞的評分定級是信息安全領(lǐng)域研究熱點[1]。目前，IT安全產(chǎn)品提供商、微軟、思科等軟硬件提供商以及相關(guān)政府部門和計算機專業(yè)協(xié)會都制定了一系列標準用于系統(tǒng)安全漏洞評分和定級，在業(yè)界比較知名的評估系統(tǒng)主要有：微軟威脅評估體系[2]，賽門鐵克威脅評估系統(tǒng)，CERT漏洞評分[3]，Qualys漏洞知識庫以及Mitre公司發(fā)布的OVAL標準和評分工具。

鑒于軟件提供廠商各自評級的混亂狀況，思科、微軟和賽門鐵克在內(nèi)的全球知名IT廠商計劃建立了一套評級體系——通用缺陷評估系統(tǒng)（Common Vulnerability Scoring System，簡稱CVSS），由統(tǒng)一語言對電腦安全漏洞的嚴重性進行評估。此評估體系是美國國家基礎(chǔ)設(shè)施顧問委員會（NIAC）實施項目的一個部分。此項目旨在建立一套全球范圍內(nèi)的披露軟件安全漏洞信息的框架機制。CVSS體系于2005年在舊金山舉行的RSA大會上首次亮相并得到了眾多來自政府及業(yè)界代表的支持，其中包括eBay、Qualys、互聯(lián)網(wǎng)安全體系和Mitre。本文將對CVSS體系進行重點探討。

2 通用漏洞評估體系CVSS

2.1 體系結(jié)構(gòu)

通用缺陷評估系統(tǒng)（CVSS）是由NIAC開發(fā)、FIRST維護的一個開放并且能夠被產(chǎn)品廠商免費采用的標準。CVSS利用漏洞一系列要素和特征評價和描述漏洞，它使用標準數(shù)學(xué)方程對新發(fā)現(xiàn)漏洞進行評估。CVSS體系將與漏洞評估有關(guān)的因素劃分為三大類：基本因素組、生命周期因素組及環(huán)境因素組?；疽蛩刂傅氖窃撀┒幢旧砉逃械囊恍┨攸c及這些特點可能造成的影響的評價分值；因為漏洞往往同時間是緊密關(guān)聯(lián)的，因此CVSS也列舉出三個與時間緊密關(guān)聯(lián)的要素構(gòu)成生命周期因素組。此外，考慮到每個漏洞會造成的影響大小都與用戶自身的實際環(huán)境密不可分，因此CVSS可選項中也包括了環(huán)境評價。這可以由用戶自評，所有要素及相互關(guān)系如圖1所示。

2.2 評分要素取值

圖1中各評分要素的取值詳見表1，其中有些要素的評分需要注意。如果漏洞既可遠程利用又可以本地利用，取值應(yīng)該為遠程利用的分值；需要認證是指，是否需要預(yù)先有Email、FTP賬號等。CVSS綜合評分以下我們通過對Cisco IOS Interface Blocked DoS（IOS DOS）、Microsoft LSASS（Sasser Worm）、Microsoft Outlook Express Scripting三個知名漏洞的評分來展示CVSS系統(tǒng)的應(yīng)用，詳見表2。

表1 CVSS各評估要素取值

圖2 CVSS評估公式

表2 CVSS評估應(yīng)用案例

過程中，涉及的計算公式參見圖2，以上公式計算結(jié)果均圓整至小數(shù)點后一位。

2.3 CVSS實例分析

CVSS實例分析見表2。

3 討論與展望

CVSS之前，每個廠商在缺陷評級方面都有它們各自的標準，給企業(yè)在決定優(yōu)先部署哪個補丁軟件帶來了困難。CVSS就是計劃建立一種評估軟件中缺陷的統(tǒng)一方法，取代許多高科技廠商和安全廠商的專有方法。如果CVSS得到普及，企業(yè)風(fēng)險經(jīng)理或安全代表能夠利用該系統(tǒng)決定哪個缺陷需要首先修正。它能夠使機構(gòu)對多個廠商的多種平臺中的缺陷進行比較，并利用統(tǒng)一的標準評估危險性。其最終目標是制訂一個有助于用戶對缺陷做出恰當(dāng)反應(yīng)的系統(tǒng)，從而解決這方面存在的混亂。

盡管CVSS得到重量級IT廠商的支持，但截至目前該體系還沒有一個主要的執(zhí)行者。CVSS組織者考慮讓NIAC或Mitre等廠商承擔(dān)CVSS的運行，并建立網(wǎng)站向網(wǎng)絡(luò)用戶及IT提供商提供信息。FIRST 正在呼吁軟件產(chǎn)業(yè)在它們的安全公告中包括CVSS評級。它使所有廠商都站在了同一平臺上，思科已經(jīng)在其MySDN安全網(wǎng)站上提供CVSS評級，但沒有在它的安全公告中提供CVSS評級。包括賽門鐵克、互聯(lián)網(wǎng)安全系統(tǒng)、Qualys在內(nèi)的數(shù)家安全廠商都支持CVSS，將在它們的產(chǎn)品中采用該標準。雖然微軟仍然堅持使用它自己的評級系統(tǒng)，但其安全響應(yīng)中心主任表示如果客戶有要求，微軟將采用CVSS。

有一種被大多數(shù)廠商都采用的安全缺陷標準評級系統(tǒng)對于IT產(chǎn)業(yè)而言是一件好事。如果用戶意識到了CVSS的價值，如果包括思科在內(nèi)的一些大軟件廠商開始使用CVSS。相信不久的將來，隨著微軟、谷歌亞馬遜等國際巨頭的響應(yīng)，國內(nèi)BATJ這些互聯(lián)網(wǎng)寡頭也會迅速應(yīng)用CVSS。

[1]P. García-Teodoro， J. Díaz-Verdejo， G. Maciá- Fernández，E. Vázquez，Anomaly-based network intrusion detection：Techniques，systems and challenges， Computers & Security，2009，28（1/2）：18-28.

[2]朱麗娜，張作昌，馮力. 層次化網(wǎng)絡(luò)安全威脅態(tài)勢評估技術(shù)研究[J]. 計算機應(yīng)用研究，2011，28（11）：4303-4310.

[3]周亮，李俊娥，陸天波，等. 信息系統(tǒng)漏洞風(fēng)險定量評估模型研究[J]. 通信學(xué)報，2009 30（2）：71-76.

Information System Defect Evaluation and CVSS System

Deng Weili Shen Dawu

Shandong Tai’an Public Security Bureau Information and Communication Department, Shandong Taian 271000

In view of the increasing security of computer information systems, many computer security solution providers and some non-profit organizations have researched, developed and implemented evaluation criteria for information system defects, but there is no interoperability between these enterprise standards. The paper analyzes the information system defect assessment elements and evaluation models, and focuses on the “general defect assessment system” supported by the most influential IT vendors in the world under the leadership of NIAC. Through the evaluation process of three well-known vulnerabilities of IOS DOS, Microsoft LSASS (Sasser Worm), and Microsoft Outlook Express Scripting, how to perform CVSS-based system defect scoring is demonstrated. As some major software vendors, including Cisco, begin to use CVSS. It is believed that CVSS will quickly become popular in the near future.

Common Defect Assessment System (CVSS); information system defects; remote intrusion

TP309

A