安全漏洞标识与描述规范的研究.doc

2012-07-13#安###全#####漏####洞###2标012识-07-13#######2#012-07-13######## 与描述规范的研究 刘奇旭 1，张玉清 1，宫亚峰 2，王宏 2 （1. 中国科学院研究生院国家计算机网络入侵防范中心，北京 100049 ； 2. 国家信息技术安全研究中心，北京 100090） 摘 要 ：文章主要介绍了中国首个安全漏洞相关国家标准《安全漏洞标识与描述规范》的制定背景及其 主要内容。该标准以 CVD 作为安全漏洞的唯一标识，用于满足国内互联网对漏洞进行统一引用的需求，是 中国有效管理安全漏洞的基础标准。 关键词 ：安全漏洞 ；安全漏洞标识 ；安全漏洞描述 ；安全漏洞库 中图分类号 ：TP393.08 文献标识码 ：A 文章编号 ：1671-1122（2011）07-0004-03 The Development of the Vulnerability Identification and Description Specification LIU Qi-xu1, ZHANG Yu-qing1, GONG Ya-feng2, WANG Hong2 ( 1. National Computer Network Intrusion Protection Center, GUCAS, Beijing 100049, China 2. National Research Center For Information Technology Security, Beijing 100090, China ) Abstract: This paper mainly introduces the background and content of the vulnerability identification and description, which is the China’s first national standard for vulnerabilities. In order to satisfy domestic demand for a unified reference of vulnerabilities, the standard proposes CVD (Common Vulnerabilities Description) as a unique identifier to describe the vulnerability, which is a basic standard to effectively manage the vulnerabilities in China. Key words: vulnerability; vulnerability identification; vulnerability description; vulnerability database 0 引言 2010 年，我国公共互联网继续保持较快速度发展。截至 2010 年 12 月底，我国网民规模达到 4.57 亿，互联网普及率 攀升 至 34.3%。大部分网络应用在网民中更加普及，各类网络应用的用户规模持续扩大 [1]。与此同时，网民在使用这些互联网应用时 所面对的安全威胁也越来越复杂，越来越严重。绝大多数的安全威胁是利用安全漏洞来达到破坏系统、窃取机密信息等目的， 由此引发的安全事件也层出不穷，例如 2010 年 6 月发现的“震网”（S t u x net）[2] 蠕虫，同时利用了包括 M S10-046、M S10-061、 MS08-067 等在内的 7 个最新安全漏洞进行攻击。在对这种名为“震网”的蠕虫进行深入分析后，各国公认这是全球公报道的第 一种投入实战的网络战武器，它的打击对象是伊朗布舍尔核电站。震网事件同时也说明网络安全已上升到国家安全高度。 随着软件数量的增多、安全漏洞挖掘技术的发展，安全漏洞数目越来越多。截至 2011 年 6 月 22 日，具 有 C V E（C om mon Vulnerability and Exposure）[3] 编号的安全漏洞数目已经达到 46,406 条。如何有效管理安全漏洞有关信息，减少安全漏洞对国家 信息安全带来的影响，成为国内外研究人员在信息安全领域的工作重点，其中漏洞标识和描述工作是整个安全漏洞管理工作的 基础。本文主要介绍我国首个安全漏洞相关国家标准《安全漏洞标识与描述规范》的制定背景及标准报批稿主要内容。 1 国内外漏洞描述现状 1.1 国际现状 欧美发达国家对安全漏洞的研究投入较早，一些组织和政府机构在漏洞库的建设过程中已经具备了很深的资历，并拥有一 批在国际上颇具影响