公开漏洞检索.pdfVIP

信息系统安全与对抗实践 公开漏洞检索 内容提要 • 漏洞库的概念 • 漏洞库主要分类 - 全球通用漏洞库 - 国家漏洞库 - 国内SRC • 如何检索公开漏洞 - 漏洞库官网 • CVE官网 • CNNVD官网 • NVD官网 - 漏洞搜索引擎 • 乌云网 • 安全客 • E 2 漏洞库概念 • 安全漏洞就是信息系统在生命周期的各个阶段（设计、实现、运维等过程）中产 生的某类问题，这些问题会对系统的安全（机密性、完整性、可用性）产生影响。 • 漏洞库就是为了更方便的管理与收集国内外网络安全缺陷以及漏洞资料而建立。 • 通过各种渠道在整个互联网范围内，收集漏洞数据和一些补丁措施等信息，并且 将收集到的这些信息及时发布出去，让大家第一时间内了解并且解决自己信息系 统存在的问题。 • 国家漏洞库是世界各国为了更好的进行信息安全漏洞的管理及控制工作而建立的 一项国家安全数据库。 3 漏洞库主要分类 • CVE （通用漏洞库） • 国家漏洞库 - CNNVD （中国国家信息安全漏洞库） - NVD （美国国家信息安全漏洞库） • 国内SRC （安全应急响应中心） - TSRC - BSRC - JSRC - ASRC 4 CVE （通用漏洞库） • 英文全称是“Common Vulnerabilities Exposures” ，是公共网络安全漏洞的常见 标识符列表 - 是一个字典而不是数据库 - 是一个漏洞或暴露的标识符 - 为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出标准化描述。 • 由CNA （CVE Numbering Authority）编号，分配CVE ID ，并编写描述，然后将完成 的CVE条目添加到CVE列表，并由CVE团队在网站上发布。 • 是一个由企业界、政府界和学术界综合参与的国际性组织，采取一种非盈利的组织形式， 其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。 5 CNNVD （中国国家信息安全漏洞库） • 英文全称China National Vulnerability Database of Information Security ， 于2009年10月18日正式成立，面向国家、行业和公众提供灵活多样的信息安全 数据服务，为我国信息安全保障提供基础服务。 • 通过其漏洞收集、分析、通报和面向应用的工作机制，将极大提高中国应对信息 安全威胁的能力和风险管理水平。 • 国家漏洞库可以提供一些关于宏观态势的基础的分析数据。 6 NVD （美国国家信息安全漏洞库） • 英文全称“National Vulnerability Database” 7 CVE与NVD关系 • CVE - 由MITRE于1999年作为一个社区项目发起。 - 一个条目列表，每个条目包含一个公开已知的网络安全漏洞的标识号，描述和至少一个公共 参考。CVE条目用于来自世界各地的众多网络安全产品和服务，包括NVD。 • NVD - 由美国国家标准与技术研究所(NIST)于2005年发起。 - 是在CVE列表上并与其完全同步的漏洞数据库，会在NVD中立即显示对CVE的任何更新。 CV