工控安全漏洞标准化.pptVIP

知识点：工控安全漏洞标准化 标准化工作必要性 规范漏洞的描述体系，为漏洞的多种属性提供规则。 利于信息安全产品的研发和自动化。 为信息安全测评和风险评估提供基础。 是对漏洞进行合理、有效管控的重要手段，为漏洞的预防、收集、削减和发布等活动提供指导。 通用漏洞暴露CVE CVE（Common Vulnerability and Exposure） MITRE公司开发的一个为公开的信息安全漏洞或者暴露进行命名的国际标准。其目的在于建立连接不同漏洞数据源和安全工具之间的“关键字”，以方便彼此间共享数据。 格式：“CVE-YYYY-NNNN” 举例：“CVE-2013-3634” 通用平台枚举CPE CPE（Common Platform Enumeration） 对应用程序、操作系统以及硬件设备进行描述和标识的标准化方案 提供一个标准的机器可读的格式 对IT产品和平台进行编码 三个概念： wfn ( well-formed CPE name)， URI binding (uniform resource identifier)， Formatted string binding， CPE举例——微软IE8浏览器 Microsoft Internet Explorer 8.0.6001 Beta wfn: [part=“a”,vendor=“microsoft”,product=“internet_explorer”,version=“8\.0\.6001”,update=“beta”] URI binding: cpe:/a:microsoft:internet_explorer:8.0.6001:beta Formatted string binding: cpe:2.3:a:microsoft:internet_explorer:8.0.6001:beta:*:*:*:*:*:* 漏洞评分体系CVSS CVSS（Common Vulnerability Scoring System） 一个开放的安全漏洞评估框架，该框架使用统一的语言对信息技术产品漏洞的危害程度进行评估。 漏洞评分体系CVSS 基本指标组 攻击向量 (AV) 本地(L) 攻击复杂度 (AC) 高(H) 认证 (Au) 多次(M) 邻近网络(A) 中(M) 单次(S) 网络(N) 低(L) 不需要(N) 机密性影响 (C) 无影响(N) 完整性影响 (I) 无影响(N) 可用性影响 (A) 无影响(N) 部分(P) 部分(P) 部分(P) 完全(C) 完全(C) 完全(C) 漏洞评分体系CVSS 时间指标组 可利用性 (E) 未证明的(U) 补救水平 (RL) 官方补丁(OF) 报告可信度 (RC) 未确认(UC) 概念验证(POC) 临时官方补丁(TF) 未证实(UR) 实用的(F) 简易措施(W) 经确认(C) 高风险的(H) 无法获得(U) 未定义(ND) 未定义(ND) 未定义(ND) 漏洞评分体系CVSS 环境指标组 附带损失 (CDP) 无(N) 目标分布 (TD) 无(N) 低(L) 低(L) 低-中(LM) 中(M) 中-高(MH) 高(H) 高(H) 未定义(ND) 未定义(ND) 机密性要求 (CR) 低(L) 完整性要求 (IR) 低(L) 可用性要求 (AR) 低(L) 中(M) 中(M) 中(M) 高(H) 高(H) 高(H) 未定义(ND) 未定义(ND) 未定义(ND) 通用缺陷枚举CWE CWE（Common Weakness Enumeration） MITRE公司开发的一个统一的、可度量的缺陷描述体系，定位于创建一个软件弱点和漏洞的类目。 CWE为安全从业者和程序员提供了一个缺陷类型列表，目的在于： 作为一种通用语言描述软件在架构、设计以及编码等环节存在的安全弱点； 作为安全工具处理缺陷的标准规则； 为缺陷的识别、缓解以及预防提供一种通用的基础标准； 漏洞库建设现状 当前国际上较有影响力的漏洞库： 美国国家漏洞库NVD（/） 美国工控系统网络应急响应小组ICS-CERT（ / ） 澳大利亚Aus-CERT（.au/） 丹麦Secunia（/） 法国VUPEN（/english/） 漏洞库建设现状 漏洞库 特点 参考网址 US-CERT Vulnerability Notes Database 广泛同联邦部门、安全组织和商业公司密切合作； 支持多种数据浏览和检索方式； /vuls SecurityFocus Vulnerability Database 公布的漏洞包含较多技术细节，提供的攻击方法和脚本，对漏洞验证及分析帮助很大； 该站点社区活跃，拥有众多安全专家以及安全爱好者； 每日更新