安全漏洞标识与描述规范的研究.doc

2012-07-13#安#全#漏#洞#2标012识-07-13#2#012-07-13#与描述规范的研究刘奇旭 1，张玉清 1，宫亚峰 2，王宏 2 （1. 中国科学院研究生院国家计算机网络入侵防范中心，北京 100049 ；2. 国家信息技术安全研究中心，北京 100090）摘 要 ：文章主要介绍了中国首个安全漏洞相关国家标准安全漏洞标识与描述规范的制定背景及其主要内容。该标准以 CVD 作为安全漏洞的唯一标识，用于满足国内互联网对漏洞进行统一引用的需求，是 中国有效管理安全漏洞的基础标准。关键词 ：安全漏洞 ；安全漏洞标识 ；安全漏洞描述 ；安全漏洞库中图分类号 ：TP393.08 文献标识码 ：A 文章编号 ：1671-1122（2011）07-0004-03The Development of the Vulnerability Identification andDescription SpecificationLIU Qi-xu1, ZHANG Yu-qing1, GONG Ya-feng2, WANG Hong2( 1. National Computer Network Intrusion Protection Center, GUCAS, Beijing 100049, China2. National Research Center For Information Technology Security, Beijing 100090, China )Abstract: This paper mainly introduces the background and content of the vulnerability identification and description, which is the Chinas first national standard for vulnerabilities. In order to satisfy domestic demand for a unified reference of vulnerabilities, the standard proposes CVD (Common Vulnerabilities Description) as a unique identifier to describe the vulnerability, which is a basic standard to effectively manage the vulnerabilities in China.Key words: vulnerability; vulnerability identification; vulnerability description; vulnerability database0 引言2010 年，我国公共互联网继续保持较快速度发展。截至 2010 年 12 月底，我国网民规模达到 4.57 亿，互联网普及率 攀升至 34.3%。大部分网络应用在网民中更加普及，各类网络应用的用户规模持续扩大 1。与此同时，网民在使用这些互联网应用时 所面对的安全威胁也越来越复杂，越来越严重。绝大多数的安全威胁是利用安全漏洞来达到破坏系统、窃取机密信息等目的， 由此引发的安全事件也层出不穷，例如 2010 年 6 月发现的“震网”（S t u x net）2 蠕虫，同时利用了包括 M S10-046、M S10-061、 MS08-067 等在内的 7 个最新安全漏洞进行攻击。在对这种名为“震网”的蠕虫进行深入分析后，各国公认这是全球公报道的第 一种投入实战的网络战武器，它的打击对象是伊朗布舍尔核电站。震网事件同时也说明网络安全已上升到国家安全高度。随着软件数量的增多、安全漏洞挖掘技术的发展，安全漏洞数目越来越多。截至 2011 年 6 月 22 日，具 有 C V E（C om mon Vulnerability and Exposure）3 编号的安全漏洞数目已经达到 46,406 条。如何有效管理安全漏洞有关信息，减少安全漏洞对国家 信息安全带来的影响，成为国内外研究人员在信息安全领域的工作重点，其中漏洞标识和描述工作是整个安全漏洞管理工作的 基础。本文主要介绍我国首个安全漏洞相关国家标准安全漏洞标识与描述规范的制定背景及标准报批稿主要内容。1 国内外漏洞描述现状1.1 国际现状欧美发达国家对安全漏洞的研究投入较早，一些组织和政府机构在漏洞库的建设过程中已经具备了很深的资历，并拥有一批在国际上颇具影响力的安全漏洞库，如美国国家漏洞库 NVD4、澳大利亚的 Aus-CERT5、丹麦的 Secunia6、法国的 VUPEN7 等。收稿时间 ：2011-06-242012-0作7者简-介1：刘3奇#旭#（#198#4-#），#男#，#江#苏，#讲#师#，#博士#后#，2主0要 研1究2方-向0：7网络-与1信3息#系统#安#全#；#张#玉清#（2#109661-）2，男-，0汉7，-陕西1，3副#主#任，#博士生导师，教授，博士，主要研究方向 ：网络与信息系统安全 ；宫亚峰（1956-），男，吉林，总工程师，主要研究方向 ：信息安全 ；王宏图1 CVE统一引用示意图图2 CVE收录国内信息系统安全漏洞情况国际上安 全漏洞以 C V E 为 统一 引用标准，C V E 是国际上安 全漏 洞领域 最有影 响力的 标准， 由美国国土安 全 部 下 属的美国国家 应 急响应组（US - C E RT） 于 1999 年发 起和主 办，M I T R E 公司管理。2002 年，美国国家标准与技术委员会 NIST 把 CVE 作为国家标准发布 NIST SP800-51。2011 年 2 月， 发布修订版本 NIST SP800-51rev18。CV E 解决了安全漏洞标识混乱的问题，CV E 使得不同的安全工具和漏洞数据库可以共享漏洞资源，如图 1 所示。表1 国内主要漏洞库及安全漏洞描述情况介绍NNNN网络入侵防范中心联 合 制定了安全漏洞标 识与描述规范。下面将主要介绍该标准报批稿的主要内容。2安全漏洞标识与描述规范的内容国 际 上 安 全 漏 洞 以 C V E (C om mon Vu l ner a bi l it y a ndExposure) 为统一引用标准，然而 CVE 对大多数中文软件安全 漏洞并不收录 9，如图 2 所示。2.1 安全漏洞定义安全漏洞（Vu l ner a bi l it y）是计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷。这 些缺陷以不同形式存在于计算机信息系统的各 个层次和环节 之中，一旦被恶意主体所利用，就会对计算机信息系统的安全 造成损害，从而影响计算机信息系统的正常运行。2.2 描述原则1）简明原则 ：对安全漏洞信息进行筛选，提炼安全漏洞管理所需基本内容，保证安全漏洞描述简洁明确。2）客观原则 ： 安全漏洞描述便于发布和安全漏洞库建设等管理。2.3 描述项安全漏洞描述项如图 3 所示，包括标识号、名称、发布时间、发布单位、类别、等级、影响系统等必须的描述项（图 3 实线 框描述项），并可根据需要扩充（但不限于）相关编号、利用方法、解决方案建议、其他描述等描述项（图 3 虚线框描述项）。 安全漏洞描述所采用文字、字符、数字等书写形式，采用国家标准GB 7713-87 ：科学技术报告、学位论文和学术论 文的编写格式和国家标准GB / T 15835-1995 ：出版物上数 字用法的规定。1）标识号。安全漏洞以 CVD-YYY Y-NNNNNN 格式为标 识号。CVD 为 Common Vulnerabilities Description 的缩写 ；YYYY 为4 位十进制数字，表示产生本安全漏洞的年份 ；NNNNNN 为6 位十进制数字，表示当年内产生该安全漏洞的序号。2）名称。 安全漏洞标题，概括性描述安全漏洞信息的短语，例如 Internet Explorer 8.0 缓冲区溢出漏洞。3）发布时间。安全漏洞信息发布 日期。日期书写采用GB/ T 7408-2005: 数据和交换格式信息交 换日期和时间表示法国家标准中 小节完全表示法中的 扩展格式。4）发布单位。发布安全漏洞的单位全称。5）类别。 安全漏洞所属分类，说明安全漏洞分类归属的信息，具体参见1.2 国内现状随着信息安全的发展，国内部分 安全公司根据自身的需求，也开始建立自己的漏洞库，如绿盟科技安全漏洞库 10 和 启明星辰漏洞库 11，并产生了较大的影响。2009 年，我国漏 洞库建设 工作有了突破性 进展，先后有中国国家信息安全漏 洞库 12、国家信息安全漏洞共享平台 13、国家安全漏洞库 14 等颇具规模的漏洞库推出，在网络安全界引起了强烈的反响。 表 1 对比了这三个漏洞库中安全漏洞的描述方式。从表 1 可以看出，国内现有三大漏洞库在标识、描述、分 类和 评 级 方 式 上存 在不一 致 现 象， 进而容 易造 成 用户的 误 解，也给信息共享、流通和应用造成障碍。例如，CVE 编号为 CVE-2006-6183 的安全漏洞代表 3com T F T P 服务器中存在的 可以远程执行任意代码的缓冲区溢出漏洞，能够完全控制目标 服务器。中国国家信息安全漏洞库中针对该安全漏洞的标识为 CNNVD-200611-528，国家信息安全漏洞共享平台中针对该安 全漏洞的标识为 CNVD-2009-09571，而国家安全漏洞库中针对 该安全漏洞的标识为 NIPC-2006-1388。针对同一个漏洞，国内 三个漏洞库具有三种不同的标识。鉴于安全漏洞在信息安全领 域中的重要地位，国家标准的制定在实际应用中是万分迫切的。 目前我国在安全漏洞相关方面尚缺乏基础标准，为此国 家信息技术安全研究中心和中国科学院研究生院国家计算机中国国家信息安全漏洞库国家信息安全漏洞共享平台国家安全漏洞库运营单位中国信息安全测评中心国家 互联网应 急中心 与国 家信息 技术安 全 研 究中心发起， 联 合国内 重 要信息 系 统 单 位、 电信运营 商、 网 络 安全厂 商、 软件厂 商和互联网企 业 共同建设国家计算机网络入 侵防范中心、国家 计算 机 病 毒 应 急 处理中心和计算机 网络与信息安全教 育部重点实验室共 同建设漏洞标识（1）C N N V D -YYYY M M -NNNC N V D - Y Y Y Y -NNNNNN I P C - Y Y Y Y -漏洞描述十四个属性十四个属性十九个属性漏洞分类不详11 个类别23 个类别危害评级危急、高、中、低高、中、低紧急、高、中、低注释：（1）漏洞标识中 Y 代表年份，M 代表月份，D 代表日期，N 代表漏 洞编号。参考文献：1 CNNIC. 第 27 次中国互联网络发展状况统计报告 R. 北京 ：中 国互联网络信息中心 . 2011.2 Common Vulnerability and ExposureEB/OL. /. 3 Stuxnet EB/OL. /wiki/Stuxnet.4 美国国家漏洞库 NVD(National Vulnerability Database)EB/OL. /.5 澳大利亚国家计算机应急响应小组 Aus-CERTEB/OL. .au/.6 丹麦安全公司 SecuniaEB/OL. /.7 法国安全公司 VUPENEB/OL. /english/.8 NIST Special Publication 800-51, Use of Common Vulnerabilities and Exposures(CVE) Vulnerability Naming SchemeEB/OL. http:/csrc.nist. gov/publications/nistpubs/800-51-rev1/SP800-51rev1.pdf9 Chen Zheng, Yuqing Zhang, Yingfei Sun, Qixu Liu. IVDA: International Vulnerability Database Alliance AC. THE SECOND WORLDWIDE CYBERSECURITY SUMMIT, London. 2011.610 绿盟科技安全漏洞库 EB/OL. /vulndb. 11 启明星辰漏洞库 EB/OL. /Safe/124/ 12 中国国家信息安全漏洞库 EB/OL. /. 13 国家信息安全漏洞共享平台 EB/OL. /. 14 国家安全漏洞库 EB/OL. /.安全漏洞分类规范（待制定）。6）等级。安全漏洞危害级别，说明安全漏洞能够造成的危害程度，具体 参见安全漏洞等 级划分指南（待制定）。7）影响系统。安全漏洞所影响系统 的信息，例如厂商、产品名称和版本号等。8）相关编号。安 全漏洞的其他相关编号，例如 Bugtraq 编号、CVE 编号等。9） 利用方法。安全漏洞利用的方法，例如安全漏洞攻击方案或 利用代码。10）解决方案建议。安全漏洞的解决方案，例如补 丁信息等。11）其他描述。安全漏洞描述需要说明的其他相关 信息，例如安全漏洞产生的具体原因。3 结束语安全漏洞标识与描述规范规定了计算机信息系统安全 漏洞的标 识与描述规范。该标准的执行必定能够解决国内漏 洞发布机构对漏洞标 识、描述上的不一致问题，适用于计算 机信息系统安全管理部门进行安全漏洞发布等管理，进而为 我国网络安全环境的健康发展奠定坚实基础。 （责编 张岩）上接部长之声栏目 ：促进和谐发展 共享互联网未来2 中国互联网市场将始终保持开放中国互联网市场的大门是敞开的，我们欢迎世界各国互 联网企 业到中国来开展 业 务。外资互联网企 业的先 进技 术、 管理经验、创新理念对中国互联网的进步产生了积极影响，对 中国互联网的繁荣发展作出了贡献。开放的中国互联网市场也 使外资企业 从中明显受益，现在，越 来越多的企业进入中国 互联网市场。即使在国际金融危机冲击最严重的时候，外资 互联网企业在中国运营情况也是好的，不少外资互联网企业的 中国市场成为其稳定的利润增长点。事实证明，只要遵守中国 的法律，尊重中国的文化传统，外资互联网企业在中国就有良 好的发展前景。中国政府将继续完善涉外经济法律法规和政 策，遵循世界贸易组织有关规则，努力提供一个稳定、透明、 可预期的投资环境。我们真诚欢迎美国企业积极参与中国改 革开放进程，共享中国互联网繁荣发展的机遇和成果。发展，保障企业的合法权益，保障宪法和法律赋予公民的合法权益。将依法惩处网络诈骗、网络赌博、网络淫秽色情等犯罪 活动，遏制违法信息对国家安全、社会公众利益和未成年人的 危害。将依法惩处网络盗版侵权行为，创造有利于公平竞争的 市场环境。中国有自己的国情，包括自己的文化传统和发展特点。 我们愿意借鉴世界各国立法经验、管理经验，并根据自己的