信息系統缺陷評估與CVSS體系

鄧維立 申大武

?

信息系統缺陷評估與CVSS體系

鄧維立 申大武

山東省泰安市公安局信息通信處，山東 泰安 271000

鑒于計算機信息系統的安全性問題越來越嚴重，許多計算機安全解決方案提供商和一些非營利性組織研究、制定并實施了信息系統缺陷的評估標準，但是這些企業標準間沒有互操作性。分析了信息系統缺陷評估要素和評估模式，重點介紹了由NIAC領導下受全球最具影響力的IT廠商支持的“通用缺陷評估體系”。通過對IOS DOS、Microsoft LSASS（Sasser Worm）、Microsoft Outlook Express Scripting三個知名漏洞的評估過程，展示了如何進行基于CVSS的系統缺陷評分定級。隨著包括思科在內的一些大軟件廠商開始使用CVSS，相信不遠的將來CVSS將會迅速盛行。

通用缺陷評估體系（CVSS）；信息系統缺陷；遠程侵入

隨著信息系統和計算機網絡的發展，不斷傳出各種侵犯安全的事件報道，如非法侵入他人主機、盜取他人私人密碼、偷窺他人私人信息甚至使用“木馬”等黑客工具控制他人主機進行非法攻擊。信息安全成為關系國家安全、經濟發展和社會穩定的關鍵性問題。

1 信息系統漏洞是導致安全問題的關鍵

廣義上信息系統漏洞定義為導致軟件、設備、系統、服務等安全性、完整性、可操作性失效的缺陷、設計紕漏或系統特性。通常情況下，可以用以下幾個方面要素描述漏洞。

（1）漏洞的利用位置、是否需要認證、侵入的復雜性；（2）漏洞對系統機密性、有效性、完整性影響；（3）漏洞的可利用程度、解決程度以及可信程度。

此外，評價漏洞的嚴重程度還得考慮時間因素，比如軟件安全補丁推出的速度以及潛在的附帶損失等。

作為網絡安全中的一個重要因素，在多種安全產品如漏洞掃描、入侵檢測、防病毒、補丁管理等均涉及對漏洞及其可能造成的影響的評價，對漏洞的評分定級是信息安全領域研究熱點[1]。目前，IT安全產品提供商、微軟、思科等軟硬件提供商以及相關政府部門和計算機專業協會都制定了一系列標準用于系統安全漏洞評分和定級，在業界比較知名的評估系統主要有：微軟威脅評估體系[2]，賽門鐵克威脅評估系統，CERT漏洞評分[3]，Qualys漏洞知識庫以及Mitre公司發布的OVAL標準和評分工具。

鑒于軟件提供廠商各自評級的混亂狀況，思科、微軟和賽門鐵克在內的全球知名IT廠商計劃建立了一套評級體系——通用缺陷評估系統（Common Vulnerability Scoring System，簡稱CVSS），由統一語言對電腦安全漏洞的嚴重性進行評估。此評估體系是美國國家基礎設施顧問委員會（NIAC）實施項目的一個部分。此項目旨在建立一套全球范圍內的披露軟件安全漏洞信息的框架機制。CVSS體系于2005年在舊金山舉行的RSA大會上首次亮相并得到了眾多來自政府及業界代表的支持，其中包括eBay、Qualys、互聯網安全體系和Mitre。本文將對CVSS體系進行重點探討。

2 通用漏洞評估體系CVSS

2.1 體系結構

通用缺陷評估系統（CVSS）是由NIAC開發、FIRST維護的一個開放并且能夠被產品廠商免費采用的標準。CVSS利用漏洞一系列要素和特征評價和描述漏洞，它使用標準數學方程對新發現漏洞進行評估。CVSS體系將與漏洞評估有關的因素劃分為三大類：基本因素組、生命周期因素組及環境因素組。基本因素指的是該漏洞本身固有的一些特點及這些特點可能造成的影響的評價分值；因為漏洞往往同時間是緊密關聯的，因此CVSS也列舉出三個與時間緊密關聯的要素構成生命周期因素組。此外，考慮到每個漏洞會造成的影響大小都與用戶自身的實際環境密不可分，因此CVSS可選項中也包括了環境評價。這可以由用戶自評，所有要素及相互關系如圖1所示。

2.2 評分要素取值

圖1中各評分要素的取值詳見表1，其中有些要素的評分需要注意。如果漏洞既可遠程利用又可以本地利用，取值應該為遠程利用的分值；需要認證是指，是否需要預先有Email、FTP賬號等。CVSS綜合評分以下我們通過對Cisco IOS Interface Blocked DoS（IOS DOS）、Microsoft LSASS（Sasser Worm）、Microsoft Outlook Express Scripting三個知名漏洞的評分來展示CVSS系統的應用，詳見表2。

表1 CVSS各評估要素取值

圖2 CVSS評估公式

表2 CVSS評估應用案例

過程中，涉及的計算公式參見圖2，以上公式計算結果均圓整至小數點后一位。

2.3 CVSS實例分析

CVSS實例分析見表2。

3 討論與展望

CVSS之前，每個廠商在缺陷評級方面都有它們各自的標準，給企業在決定優先部署哪個補丁軟件帶來了困難。CVSS就是計劃建立一種評估軟件中缺陷的統一方法，取代許多高科技廠商和安全廠商的專有方法。如果CVSS得到普及，企業風險經理或安全代表能夠利用該系統決定哪個缺陷需要首先修正。它能夠使機構對多個廠商的多種平臺中的缺陷進行比較，并利用統一的標準評估危險性。其最終目標是制訂一個有助于用戶對缺陷做出恰當反應的系統，從而解決這方面存在的混亂。

盡管CVSS得到重量級IT廠商的支持，但截至目前該體系還沒有一個主要的執行者。CVSS組織者考慮讓NIAC或Mitre等廠商承擔CVSS的運行，并建立網站向網絡用戶及IT提供商提供信息。FIRST 正在呼吁軟件產業在它們的安全公告中包括CVSS評級。它使所有廠商都站在了同一平臺上，思科已經在其MySDN安全網站上提供CVSS評級，但沒有在它的安全公告中提供CVSS評級。包括賽門鐵克、互聯網安全系統、Qualys在內的數家安全廠商都支持CVSS，將在它們的產品中采用該標準。雖然微軟仍然堅持使用它自己的評級系統，但其安全響應中心主任表示如果客戶有要求，微軟將采用CVSS。

有一種被大多數廠商都采用的安全缺陷標準評級系統對于IT產業而言是一件好事。如果用戶意識到了CVSS的價值，如果包括思科在內的一些大軟件廠商開始使用CVSS。相信不久的將來，隨著微軟、谷歌亞馬遜等國際巨頭的響應，國內BATJ這些互聯網寡頭也會迅速應用CVSS。

[1]P. García-Teodoro， J. Díaz-Verdejo， G. Maciá- Fernández，E. Vázquez，Anomaly-based network intrusion detection：Techniques，systems and challenges， Computers & Security，2009，28（1/2）：18-28.

[2]朱麗娜，張作昌，馮力. 層次化網絡安全威脅態勢評估技術研究[J]. 計算機應用研究，2011，28（11）：4303-4310.

[3]周亮，李俊娥，陸天波，等. 信息系統漏洞風險定量評估模型研究[J]. 通信學報，2009 30（2）：71-76.

Information System Defect Evaluation and CVSS System

Deng Weili Shen Dawu

Shandong Tai’an Public Security Bureau Information and Communication Department, Shandong Taian 271000

In view of the increasing security of computer information systems, many computer security solution providers and some non-profit organizations have researched, developed and implemented evaluation criteria for information system defects, but there is no interoperability between these enterprise standards. The paper analyzes the information system defect assessment elements and evaluation models, and focuses on the “general defect assessment system” supported by the most influential IT vendors in the world under the leadership of NIAC. Through the evaluation process of three well-known vulnerabilities of IOS DOS, Microsoft LSASS (Sasser Worm), and Microsoft Outlook Express Scripting, how to perform CVSS-based system defect scoring is demonstrated. As some major software vendors, including Cisco, begin to use CVSS. It is believed that CVSS will quickly become popular in the near future.

Common Defect Assessment System (CVSS); information system defects; remote intrusion

TP309

A