漏洞库发展现状的研究及启示.pdf

年会论文选登

漏洞库发展现状的研究及启示

吴舒平，张玉清

（中国科学院研究生院国家计算机网络入侵防范中心，北京100049）

摘要：漏洞库保存了各类漏洞的基本信息、特征、解决方案等属性，是信息安全基础设施中重要的一环。美国等发达国家对

漏洞库的研究投入较早，在漏洞库的建设过程中积累了有益的经验。主要工作包括全面调研中美两国漏洞库的发展现状，总

结美国在同领域的经验和教训，客观分析我国当前漏洞库建设工作中的优势和不足。在此基础上结合我国国情和安全保障的

需求，为我国漏洞库未来的发展提供建议和参考。

关键词：信息安全；漏洞；漏洞库

1引言2美国漏洞库的发展现状

漏洞是信息技术、信息产品、信息系统在需求、设美国漏洞相关技术的研究始于上世纪90年代，漏洞

计、实现、配置、运行等过程中，有意或无意产生的缺挖掘、分类、评级等领域的研究都较为透彻，并形成了

陷，这些缺陷以不同形式存在于信息系统的各个层次和行业内有影响力的标准，为漏洞库的发展奠定了坚实的

环节之中，一旦被恶意主体所利用，就会对信息系统的基础。经过多年的完善，在漏洞库的建设中积累了丰富

安全造成损害，从而影响构建于信息系统之上正常服务的经验，已初步形成政府部门、安全组织及商业公司合

的运行，危害信息系统及信息的安全[1]。近年来由漏洞作密切、各有优势、互为补充的良好局面；发布的漏洞

导致的网络安全事件层出不穷，如2009年暴风影音漏信息全面、及时、权威；基于漏洞库的应用丰富。美国

洞导致了大规模的断网事件，2010年微软极光漏洞导致拥有的知名漏洞库的数量较多，限于篇幅，本节仅重点

Google被攻击事件。漏洞给国家政治、经济和社会造成分析美国国家漏洞库NVD，然后概要介绍其他几个有代

危害，并对Internet及国家关键基础设施构成严重威胁。表性的漏洞库，最后总结美国在漏洞库建设工作中的经验。

漏洞库是网络安全隐患分析的核心，收集和整理漏2.1美国国家漏洞库介绍

洞信息，建设漏洞库有十分重要的意义。一个结构合理、美国国家漏洞库NVD由美国国家标准与技术委员

信息完备的漏洞库有利于为安全厂商基于漏洞发现和攻会中的计算机安全资源中心创建，由美国国土安全部的

击防护类的产品提供技术和数据支持；有利于政府部门国家网络安全司提供赞助。NVD是漏洞库领域的集大成

从整体上分析漏洞的数量、类型、威胁要素及发展趋势，者，拥有高质量的漏洞数据资源，是漏洞发布和安全预

指导他们制定未来的安全策略；有利于用户确认自身应警的重要平台，同时NVD和学术界、产业界保持高度

用环境中可能存在的漏洞，及时采取防护措施。合作，将漏洞数据广泛应用于安全风险评估，终端安全

漏洞库关系国家安全，世界各国都十分重视漏洞库配置检查等领域，为国家信息安全保障做出了巨大贡献。

的建设工作。欧美发达国家对漏洞库的研究投入较早，NVD的特点：

一些组织和政府机构在漏洞库的建设过程中已经具备了（1）数据资源丰富、漏洞描述全面详尽。NVD包

很深的资历，并拥有一批在国际上颇具影响力的漏洞库，含四万多条漏洞条目，每个漏洞条目包含漏洞编号、发

如美国国家漏洞库NVD[2]、澳大利亚的Aus-CERT[3]、布日期、更新日期、数据来源、漏洞描述、CVSS评分、

[4][5]危害评分、利用评分、攻击途径、攻击复杂度、认证级

丹麦的Secunia