安全漏洞等级划分关键技术研究

doi:10.3969/j.issn.1000-436x.2012.z1.011

摘要/Abstract

摘要：

针对安全漏洞管理过程中涉及到的威胁等级划分问题，选取了访问途径、利用复杂度和影响程度3组安全漏洞评估要素，采用层次分析法建立安全漏洞等级划分模型，将安全漏洞等级评定为超危、高危、中危和低危4个级别。最终为安全漏洞国家标准制定、安全漏洞管理、安全漏洞处理、风险评估、风险减缓等方面的工作提供参考。

关键词: 信息安全, 安全漏洞, 安全漏洞评估, 安全漏洞管理

Abstract:

In order to solve the vulnerability assessment problem of vulnerability management,three attribute groups were selected to qualitatively evaluate vulnerability threat.After the selection of vulnerability attributes,analytic hierarchy process method was used to establish vulnerability classification model,which can divide vulnerabilities into four risk levels:critical,high,moderate and low.The method provides a reference for national standard,vulnerability management,vulnerability handling,risk assessment,risk mitigation,etc.

Key words: information security, vulnerability, vulnerability evaluation, vulnerability management

刘奇旭,张翀斌,张玉清,张宝峰. 安全漏洞等级划分关键技术研究[J]. 通信学报, 2012, 33(Z1): 79-87.

Qi-xu LIU,Chong-bin ZHANG,Yu-qing ZHANG,Bao-feng ZHANG. Research on key technology of vulnerability threat classification[J]. Journal on Communications, 2012, 33(Z1): 79-87.

图/表 15

图1

图2

表1

表2

图3

表3

图4

表4

表5

表6

图5

表7

表8

图6

图7

参考文献 35

[1]	刘奇旭, 张玉清, 宫亚峰 ,等. 安全漏洞标识与描述规范的研究[J]. 信息网络安全, 2011,(7): 4-6. LIU Q X , ZHANG Y Q , GONG Y F ,et al. The development of the vulnerability identification and description specification[J]. Netinfo Security, 2011,(7): 4-6.
[2]	Stuxnet[EB/OL]. , 2012.
[3]	The open source vulnerability database(OSVDB)[EB/OL]. , 2012.
[4]	MELL P , SCARFONE K , ROMANOSKY S . Common vulnerability scoring system[J]. IEEE Security and Privacy, 2006,4(6): 85-89.
[5]	SCHIFFMAN M , ESCHELBECK G , AHMAD D ,et al. CVSS:A Common Vulnerability Scoring System[R]. National Infrastructure Advisory Council(NIAC), 2004.
[6]	MELL P , SCARFONE K , ROMANOSKY S.A Complete Guide to the Common Vulnerability Scoring System Version 2 . 0[R]. 2007.
[7]	NVD vulnerability severity ratings available[EB/OL]. , 2012.
[8]	IBM IIS X-Force[EB/OL]. , 2012.
[9]	Vupen[EB/OL]. , 2012.
[10]	Microsoft security response center security bulletin severity rating system[EB/OL]. , 2012.
[11]	Secunia advisories[EB/OL]. , 2012.
[12]	Symantec security response—glossary[EB/OL]. , 2012.
[13]	CORPORATION M . Common weakness scoring system(CWSS)[EB/OL]. , 2012.
[14]	US-CERT.Vulnerability notes database field descriptions[EB/OL]. , 2012.
[15]	LIU Q , ZHANG Y . VRSS:a new system for rating and scoring vulnerabilities[J]. Computer Communications, 2011,34(3): 264-273.
[16]	JONES J . CVSS Severity Analysis[R]. http://www.first.org/cvss/jones-jeff-slides.pdf, 2008.
[17]	FRUHWIRTH C , MANNISTO T . Improving CVSS-based vulnerability prioritization and response with context information[A]. 2009 3rd International Symposium on Empirical Software Engineering and Measurement[C]. Lake Buena Vista,FL,USA, 2009. 535-544.
[18]	WANG L , JAJODIA S , SINGHAL A ,et al. K-zero day safety:measuring the security risk of networks against unknown attacks[A]. 15th European Symposium on Research in Computer Security[C]. Athens,Greece, 2010. 573-587.
[19]	BHATT S , HORNE W , RAO P . On computing enterprise IT risk metrics[A]. 26th IFIP TC-11 International Information Security Conference on Future Challenges in Security and Privacy for Academia and Industry[C]. Lucerne,Switzerland, 2011. 271-280.
[20]	中国国家信息安全漏洞库[EB/OL]. , 2012.China national vulnerability database of information security[EB/OL]. , 2012.
[21]	国家信息安全漏洞共享平台[EB/OL]. , 2012.China national vulnerability database[EB/OL]. , 2012.
[22]	国家安全漏洞库[EB/OL]. , 2012.Security vulnerability database[EB/OL]. , 2012.
[23]	张玉清, 吴舒平, 刘奇旭 ,等. 国家安全漏洞库的设计与实现[J]. 通信学报, 2011,32(6): 93-100. ZHANG Y Q , WU S P , LIU Q X ,et al. Design and implementation of national security vulnerability database[J]. Journal on Communications, 2011,32(6): 93-100.
[24]	绿盟科技安全漏洞通报[EB/OL]. , 2012.Security advisory of NSFOCUS[EB/OL]. , 2012.
[25]	启明星辰每日漏洞播报[EB/OL]. , 2012.Vulnerability database of venusense[EB/OL]. , 2012.
[26]	WooYun漏洞共享平台[EB/OL]. , 2012.Vulnerability database of wooyun[EB/OL]. , 2012.
[27]	Sebug漏洞信息库[EB/OL]. , 2012.Vulnerability database of sebug[EB/OL]. , 2012.
[28]	LIU Q X , ZHANG Y Q , KONG Y ,et al. Improving VRSS-based vulnerability prioritization using analytic hierarchy process[J]. Journal of Systems and Software, 2012,85(8):pages 1699-1708.
[29]	CORPORATION M . Common Platform Enumeration(CPE)[R]. http://cpe.mitre.org/files/cpe-specification_2.2.pdf, 2012.
[30]	陈秀真, 郑庆华, 管晓宏 ,等. 层次化网络安全威胁态势量化评估方法[J]. 软件学报, 2006,17(4): 885-897. CHEN X Z , ZHENG Q H , GUAN X H ,et al. Quantitative hierarchical threat evaluation model for network security[J]. Journal of Software, 2006,17(4): 885-897.
[31]	周亮, 李俊娥, 陆天波 ,等. 信息系统漏洞风险定量评估模型研究[J]. 通信学报, 2009,30(2): 71-76. ZHOU L , LI J E , LU T B ,et al. Research on quantitative assessment model on vulnerability risk for information system[J]. Journal on Communications, 2009,30(2): 71-76.
[32]	杨宏宇, 谢丽霞, 朱丹 . 漏洞严重性的灰色层次分析评估模型[J]. 电子科技大学学报, 2010,39(5): 778-782. YANG H Y , XIE L X , ZHU D . A vulnerability severity grey hierarchy analytic evaluation model[J]. Journal of University of Electronic Science and Technology of China, 2010,39(5): 778-782.
[33]	SAATY T L . Analytic Hierarchy Process[M]. New York: McGrawHillPress, 1980.
[34]	SAATY T L GONZáLEZ L . Prediction,Proyection and Forecasting:Applications of the Analytic Hierarchy Process in Economics,Finance,Politics,Games and Sports[M]. Boston: Klawer Academic PublishersPress, 1991.
[35]	ALONSO J A , LAMATA M T . Consistency in the analytic hierarchy process:a new approach[J]. International Journal of Uncertainty,Fuzziness and Knowlege-Based Systems, 2006,14(4): 445-459.

组织机构	国别	类型	评估结果	备注
ISS X-Force^[8]	美国	定性	3级	厂商自建
VUPEN^[9]	法国	定性	4级	厂商自建
Microsoft^[10]	美国	定性	4级	厂商自建
Secunia^[11]	丹麦	定性	5级	厂商自建
Symantec^[12]	美国	定性	5级	厂商自建
NVD^[7]	美国	定性	3级	国家级
CVSS^[6]	美国	定量	0~10
CWSS^[13]	美国	定量	0~100
US-CERT^[14]	美国	定量	0~180

组织机构	类型	等级	备注
中国国家信息安全漏洞库^[20]	定性	4级	国家级
国家信息安全漏洞共享平台^[21]	定性	3级	国家级
国家安全漏洞库^[22,23]	定性	4级	国家级
绿盟科技漏洞库^[24]	N/A	N/A	企业级
启明星辰漏洞库^[25]	定性	3级	企业级
乌云WooYun漏洞库^[26]	定性	3级	自建
SEBUG漏洞库^[27]	N/A	N/A	自建

ID	漏洞属性	NVD	Microsoft	VUPEN	US-CERT	Secunia	X-Force	使用次数
1	访问向量(Access Vector)	√	√	√	√	√	√	6
2	新的访问向量(New Access Vector)		√					1
3	访问复杂度(Access Complexity)	√		√	√	√	√	5
4	授权(Authentication)	√		√	√		√	4
5	机密性影响(Confidentiality impact)	√		√	√	√	√	5
6	完整性影响(Integrity impact)	√	√	√	√	√		5
7	可用性影响(Availability impact)	√	√	√	√	√		5
8	报告可信度(Report Confidence)	√			√		√	3
9	攻击代码可利用性(Exploitability)	√			√		√	3
10	修补情况(Remediation Level)	√	√		√			3
11	目标分布(Target Distribution)	√	√		√			3
12	间接破坏风险(Collateral Damage Potential)	√						1

ID	机密性影响	完整性影响	可用性影响	程度
1	完全	完全	完全	完全
2	完全	完全	部分	完全
3	完全	部分	完全	完全
4	完全	部分	部分	完全
5	部分	完全	完全	完全
6	部分	完全	部分	完全
7	部分	部分	完全	完全
8	完全	完全	无	部分
9	完全	部分	无	部分
10	完全	无	完全	部分
11	完全	无	部分	部分
12	完全	无	无	部分
13	部分	无	完全	部分
14	部分	完全	无	部分
15	无	完全	完全	部分
16	无	完全	部分	部分
17	无	部分	完全	部分
18	部分	部分	部分	部分
19	部分	部分	无	轻微
20	部分	无	部分	轻微
21	部分	无	无	轻微
22	无	完全	无	轻微
23	无	部分	部分	轻微
24	无	部分	无	轻微
25	无	无	完全	轻微
26	无	无	部分	轻微
27	无	无	无	忽略

标度	含义
1	表示2个因素相比，具有相同重要性
3	表示2个因素相比，前者比后者稍重要
5	表示2个因素相比，前者比后者明显重要
7	表示2个因素相比，前者比后者强烈重要
9	表示2个因素相比，前者比后者极端重要
2,4,6,8	表示上述相邻判断的中间值
倒数	若因素i的重要性低于j因素，则a_ij=1/a_ji