信息与网络安全准与规范

《信息与网络安全准与规范》由会员分享，可在线阅读，更多相关《信息与网络安全准与规范（44页珍藏版）》请在金锄头文库上搜索。

1、中软信息安全博士后科研工作站马东平 博士2001-10-232001-10-23信息与网络信息与网络安全标准与规范安全标准与规范 Version 3Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-- 2Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-日程安排ISO 15408（CC)BS7799SSE-CMMCVEISO15408(CC)ISO15408(CC)Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x--

2、 4Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-ISO15408简介 ISO/IEC 15408-1999“信息技术/安全技术/信息技术安全性评估准则”（简称CC）国际标准化组织在现有多种评估准则的基础上，统一形成的在美国和欧洲等国分别自行推出并实践测评准则及标准的基础上，通过相互间的总结和互补发展起来的。 - 5Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-发展历程q1985年，美国国防部公布可信计算机系统评估准则（TCSEC）即桔皮书；q1989年，加拿大公布可

3、信计算机产品评估准则（CTCPEC）；q1991年，欧洲公布信息技术安全评估准则（ITSEC）；q1993年，美国公布美国信息技术安全联邦准则（FC）；q1996年，六国七方（英国、加拿大、法国、德国、荷兰、美国国家安全局和美国标准技术研究所）公布信息技术安全性通用评估准则（CC 1.0版）；q1998年，六国七方公布信息技术安全性通用评估准则（CC 2.0版）；q1999年12月，ISO接受CC 2.0版为ISO 15408标准，并正式颁布发行。 - 6Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-CC vs TCSECCC源于

4、TCSEC，但已经完全改进了TCSEC。TCSEC主要是针对操作系统的评估，提出的是安全功能要求，目前仍然可以用于对操作系统的评估。随着信息技术的发展，CC全面地考虑了与信息技术安全性有关的所有因素，以“安全功能要求”和“安全保证要求”的形式提出了这些因素，这些要求也可以用来构建TCSEC的各级要求。 - 7Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-类子类组件 CC定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构，即：l安全要求=规范产品和系统安全行为的功能要求+解决如何正确有效

5、的实施这些功能的保证要求。功能和保证要求又以“类子类组件”的结构表述，组件作为安全要求的最小构件块，可以用于“保护轮廓”、“安全目标”和“包”的构建，例如由保证组件构成典型的包“评估保证级”。功能组件还是连接CC与传统安全机制和服务的桥梁，以及解决CC同已有准则如TCSEC、ITSEC的协调关系，如功能组件构成TCSEC的各级要求。 - 8Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-CC的先进性 结构的开放性l即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展，如可以增加“备份和恢复”方面的功能要求或一些

6、环境安全要求。这种开放式的结构更适应信息技术和信息安全技术的发展。 表达方式的通用性l即给出通用的表达方式。如果用户、开发者、评估者、认可者等目标读者都使用CC的语言，互相之间就更容易理解沟通。例如，用户使用CC的语言表述自己的安全需求，开发者就可以更具针对性地描述产品和系统的安全性，评估者也更容易有效地进行客观评估，并确保对用户更容易理解评估结果。这种特点对规范实用方案的编写和安全性测试评估都具有重要意义。在经济全球化发展、全球信息化发展的趋势下，这种特点也是进行合格评定和评估结果国际互认的需要。 - 9Copyright 2001 X-Exploit TeamX-Exploit Teamh

7、ttp:/www.x-CC的先进性结构和表达方式的内在完备性和实用性l体现在“保护轮廓”和“安全目标”的编制上。l“保护轮廓”主要用于表达一类产品或系统的用户需求，在标准化体系中可以作为安全技术类标准对待。l内容主要包括：l对该类产品或系统的界定性描述，即确定需要保护的对象；l确定安全环境，即指明安全问题需要保护的资产、已知的威胁、用户的组织安全策略；l产品或系统的安全目的，即对安全问题的相应对策技术性和非技术性措施；l信息技术安全要求，包括功能要求、保证要求和环境安全要求，这些要求通过满足安全目的，进一步提出具体在技术上如何解决安全问题；l基本原理，指明安全要求对安全目的、安全目的对安全环境

8、是充分且必要的；l附加的补充说明信息。l“保护轮廓”编制，一方面解决了技术与真实客观需求之间的内在完备性；l另一方面用户通过分析所需要的产品和系统面临的安全问题，明确所需的安全策略，进而确定应采取的安全措施，包括技术和管理上的措施，这样就有助于提高安全保护的针对性、有效性。l“安全目标”在“保护轮廓”的基础上，通过将安全要求进一步针对性具体化，解决了要求的具体实现。常见的实用方案就可以当成“安全目标”对待。l通过“保护轮廓”和“安全目标”这两种结构，就便于将CC的安全性要求具体应用到IT产品的开发、生产、测试、评估和信息系统的集成、运行、评估、管理中。- 10Copyright 2001 X-

9、Exploit TeamX-Exploit Teamhttp:/www.x-CC的内容第1部分“简介和一般模型”l正文介绍了CC中的有关术语、基本概念和一般模型以及与评估有关的一些框架，l附录部分主要介绍“保护轮廓”和“安全目标”的基本内容；第2部分“安全功能要求”l按“类子类组件”的方式提出安全功能要求，每一个类除正文以外，还有对应的提示性附录作进一步解释；第3部分“安全保证要求”l定义了评估保证级别，介绍了“保护轮廓”和“安全目标”的评估，并按“类子类组件”的方式提出安全保证要求。 - 11Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/w

10、ww.x-CC内容之间的关系CC的三个部分相互依存，缺一不可。l第1部分是介绍CC的基本概念和基本原理；l第2部分提出了技术要求；l第3部分提出了非技术要求和对开发过程、工程过程的要求。三个部分有机地结合成一个整体。l具体体现在“保护轮廓”和“安全目标” 中，“保护轮廓”和“安全目标”的概念和原理由第1部分介绍，“保护轮廓”和“安全目标”中的安全功能要求和安全保证要求在第2、3部分选取，这些安全要求的完备性和一致性，由第2、3两部分来保证。 - 12Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-CC的国际化CC 作为评估信息技术产

11、品和系统安全性的世界性通用准则，是信息技术安全性评估结果国际互认的基础。 早在1995年，CC项目组成立了CC国际互认工作组，此工作组于1997年制订了过渡性CC互认协定，并在同年10月美国的NSA和NIST、加拿大的CSE和英国的CESG签署了该协定。1998年5月德国的GISA、法国的SCSSI也签署了此互认协定。1999年10月澳大利亚和新西兰的DSD加入了CC互认协定。在2000年，又有荷兰、西班牙、意大利、挪威、芬兰、瑞典、希腊、瑞士等国加入了此互认协定，日本、韩国、以色列等也正在积极准备加入此协定。 BS7799BS7799Copyright 2001 X-Exploit Team

12、X-Exploit Teamhttp:/www.x-- 14Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-历史沿革1990年，世界经济合作开发组织(OECD)下辖的信息、计算机与通信政策组织开始起草 “信息系统安全指导方针”。1992年，OECD于11月26日正式通过“信息系统安全指导方针”。1993年，英国工业与贸易部(DTI)颁布“信息安全管理事务准则”。1995年，英国制定国家标准BS 7799第一部分：“信息安全管理事务准则”，并提交国际标准组织(ISO)，成为ISO DIS 14980。1996年，BS 7799第一部分

13、提交ISO审议的结果，于1996年2月24日结束6个月的审议后，参与投票的成员国未超过三分之二。1997年，OECD于3月27日公布密码模块指导原则；同年，英国正式开始推动信息安全管理认证先导计划。1998年，英国公布BS 7799第二部分“信息安全管理规范”并成为信息安全管理认证的依据；同年，欧盟于1995年10月公布之“个人资料保护指令，自1998年10月25日起正式生效，要求以适当标准保护个人资料”。1999年，修订后的BS 7799:1999版再度提交ISO审议。2000年，国际标准组织 ISO/IEC JTC SC 27在日本东京 10月21 日通过BS 7799-1，成为 ISO

14、DIS 17799-1，2000年12月1日正式发布。 - 15Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-BS7799国际化现已有30多家机构通过了信息安全管理体系认证，范围包括：政府机构、银行、保险公司、电信企业、网络公司及许多跨国公司。目前除英国之外，国际上已有荷兰、丹麦、挪威、瑞典、芬兰、澳大利亚、新西兰、南非、巴西已同意使用BS 7799；日本、瑞士、卢森堡表示对BS 7799感兴趣；我国的台湾、香港地区也在推广该标准。值得一提的是：该标准也是目前英国最畅销的标准。 - 16Copyright 2001 X-Explo

15、it TeamX-Exploit Teamhttp:/www.x-BS7799内容：总则要求各组织建立并运行一套经过验证的信息安全管理体系，用于解决如下问题：资产的保管、组织的风险管理、管理标的和管理办法、要求达到的安全程度。建立管理框架l确立并验证管理目标和管理办法时需采取如下步骤：l定义信息安全策略l定义信息安全管理体系的范围，包括定义该组织的特征、地点、资产和技术等方面的特征l进行合理的风险评估，包括找出资产面临的威胁、弱点、对组织的冲击、风险的强弱程度等等l根据组织的信息安全策略及所要求的安全程度，决定应加以管理的风险领域l选出合理的管理标的和管理办法，并加以实施；选择方案时应做到有法

16、可依l准备可行性声明是指在声明中应对所选择的管理标的和管理办法加以验证，同时对选择的理由进行验证，并对第四章中排除的管理办法进行记录l对上述步骤的合理性应按规定期限定期审核。- 17Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-控制点管理安全策略安全组织资产分类与管理个人安全守则设备及使用环境安全管理沟通及操作过程管理 存取控制信息系统开发及维护可持续运营管理符合性- 18Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-安全策略信息安全策略l为信息安全提供管理指导和支持

17、控制点包括l信息安全策略文件l审核与评估。- 19Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-安全组织控制点l信息安全基础架构；信息安全管理委员会；部门间协调；权责分配；信息处理设备的授权流程；专业信息安全顾问；组织间合作；信息安全审核的独立性。外部存取的安全管理l外来组织存取组织内部信息及信息处理设施时的安全管理。l控制点包括：第三方存取的风险鉴别；与第三方存取组织签约时的安全要求。委外资源管理l委外加工处理时相关信息的安全管理。l控制点：委外加工处理合同内的安全需求。- 20Copyright 2001 X-Exploit

18、TeamX-Exploit Teamhttp:/www.x-资产分类与管理资产管理权责l确保信息资产得以适当保护。l控制点：资产的盘点信息分类l确保信息资产得到恰当的保护。l控制点包括：分类原则；信息标示及携带。- 21Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-个人信息安全守则工作及资源的安全管理l降低错误、偷窃、欺骗或设备误用的风险。l控制点包括：工作权责涵盖的安全需求；人员任用政策；保密协议；员工守则。教育训练l确保使用者在日常工作中了解如何看待和关心信息安全，并支持组织的安全策略。l控制点：信息安全的教育和培训。易发事件

19、及故障处理l发生易发事件及故障时如何将损害降至最小、监督类似事件并从中学习。l控制点包括：安全事故回报；安全漏洞回报；软件功能障碍回报；从事故中学习；违规处置流程。- 22Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-设备及使用环境的信息安全管理信息安全区l保护企业所在地及信息免于未经授权的存取、破坏及入侵。l控制点包括：信息安全区的实体区隔；信息安全区进出管制；信息安全办公室、处所、设备；信息安全区内工作守则；交接区的隔离。设备安全l防止资产的遗失、损坏、危害及企业正常活动的中断。l控制点包括：设备座落及防护；电力供应；传输设备

20、安全性；设备的维护、保养；非管制区的设备安全管理；设备报废或再启用安全管理。日常管制l防止信息或信息处理设备被毁坏或偷窃。l控制点：桌面及屏幕净空原则；财产撤离。- 23Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-沟通和操作过程管理操作程序书及权责：确保雇员能正确、安全地操作信息处理设备。控制点包括：操作流程的文件化；系统变更管制；事故管理程序；部门权责划分；开发与操作设备的隔离；外部设备管理。系统规划及可行性：将系统失效风险降至最低。控制点包括：系统容量需求计划；系统验收。侵略性软件防护：保护软件及信息的完整。控制点：对非法入

21、侵软件的防御管理。储存管理：维护信息处理及服务的完整性和可行性。控制点包括：资料备份；登录数据管理；差错记录管理。网络管理：建立网络信息及基础架构支持的防护措施。控制点：网络管制。媒体存取及安全性：防止资产损失及企业活动中断。控制点包括：可移动计算机媒体的管理；媒体的处理；信息移动或储存程序；系统文件的安全性。信息及软件交换：进行组织间信息交流时避免信息的遗失、篡改或误用。控制点包括：信息及软件转换协议；传递中媒体的安全管制；电子商务的安全性；电子邮件的安全性；电子办公系统的安全性；公共信息系统的安全性；其它形态的信息交换。- 24Copyright 2001 X-Exploit TeamX-

22、Exploit Teamhttp:/www.x-存取控制存取管制的工作要求：管制信息的存取。控制点：存取管制原则。使用者存取管理：避免未经授权的信息存取。控制点包括：使用者注册；特别权限使用管理；使用者密码管理；对使用者存取权限的审核。使用者权责：避免未经授权的使用者进入。控制点包括：密码管制；未列管设备的安全性。网络存取管制：网络服务系统的防护。控制点包括：网络服务的使用原则；联结路径管理；外部联结的使用者验证；节点验证；遥控监测端的安全防护；使用者组别区隔；网络联结的功能管制；联网路由管理；网络服务的安全需求。操作系统存取管理：避免未经授权的进入网络。控制点包括：自动辨识末端联结；末端登录

23、程序；使用者辨识和授权；密码管理系统；系统工具的使用；防御系统的警报通知；闲置自动中断；联机时间限制。应用软件存取管理：避免非法存取信息系统中的信息。控制点包括：信息存取限制；敏感系统隔离。监控系统的存取及使用：侦测未经授权的入侵活动。控制点包括：事件登录簿；监控系统的使用；同步计时。移动计算机及拨接服务管理：保证使用移动计算机和其它联机服务时的信息安全。控制点包括：移动计算机；联机活动。- 25Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-信息系统开发和维护信息系统的安全要求：确保安全观念融入信息系统中。控制点：安全需求的分析和

24、规定。应用软件的安全要求：防止使用者资料被遗失、篡改或误用。控制点包括：输入资料的核准；内部流程管控；讯息验证；输出资料的核准。资料加密技术管制：保护信息机密性、真实性和完整性。控制点包括：资料加密技术的使用原则；资料加密；数字签名；防伪服务；密钥管理。系统档案的安全性：确保信息部门的计划和支持活动以安全方式进行。控制点包括：操作软件管制；系统测试数据管理；程序原始编码存取管制。开发和支持系统的安全性：维护应用软件和信息的安全性。控制点包括：变动管理流程；对操作系统变更的技术审查；对软件包变更的限制；防范秘密讯息通道和软件内异常程序；委外开发软件。- 26Copyright 2001 X-Ex

25、ploit TeamX-Exploit Teamhttp:/www.x-持续运营管理持续运营l确保发生重大系统失效或人为疏忽时，组织的运营不致中断，并保护关键流程。控制点包括l持续运营管理的流程；l持续运营和冲击分析；l持续运营计划的制定和实施；l持续运营计划的框架；l持续运营计划的测试、维护和再评估。- 27Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-符合性合乎法律要求l避免触犯任何刑法、民法、已成文的法令法规或其它任何安全要求。l控制点包括：辨别相关法律的要求；知识产权；组织记录的防护措施；数据保护和个人隐私；防止信息处理设

26、备的滥用；加密技术的管理；证据收集。对信息安全策略和技术应用的审查l确保信息系统符合组织的安全策略和标准。l控制点包括：符合信息安全策略；对守法情况的技术审查。系统稽核的考虑l通过系统稽核流程扩大效能，降低阻碍。l控制点包括：系统稽核管制；系统稽核工具的保管。- 28Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-BS7799与CC和SSE-CMM的比较BS 7799完全从管理角度制定，并不涉及具体的安全技术，实施不复杂，主要是告诉管理者一些安全管理的注意事项和安全制度，例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进

27、出的控制等一些很容易理解的问题。这些管理规定一般的单位都可以制定，但要想达到BS 7799的全面性则需要一番努力。同BS 7799相比，信息技术安全性评估准则(CC)和美国国防部可信计算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标的评估系统和产品的技术指标的评估；系统安全工程能力成熟模型(SSE-CMM)更侧重于对安全产品开发、安对安全产品开发、安全系统集成等安全工程过程的管理全系统集成等安全工程过程的管理。在对信息系统日常安全日常安全管理方面，BS 7799的地位是其他标准无法取代的。总的来说，BS7799涵盖了安全管理所应涉及的方方面面，全面而不失可操作性，提供了一个可持续提高

28、的信息安全管理环境。推广信息安全管理标准的关键在重视程度和制度落实方面。它是目前可以用来达到一定预防标准的最好的指导标准。- 29Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-SSE-CMM年月美国国家安全局发起的研究工作。这项工作用模型研究现有的各种工作，并发现安全工程需要一个特殊的模型与之配套。年月，在第一次公共安全工程讨论会中，信息安全协会被邀请加入，超过个组织的代表再次确认需要这样一种模型。因此，研讨会期间成立了项目工作组，由此进入了模型开发阶段。通过项目领导、应用工作组全体的通力合作，于年月完成了SSE-CMM模型的第一

29、版，年月完成了评价方法第一版。为检验模型及评价方法的有效性，年月到年月进行了试验工作。一些试验组织向SSE-CMM及其评价模型提供了有价值的信息。年月，第二次公共安全工程研讨会举行，以明确一些与模型应用相关的问题，特别是关于：获取领域、过程改善、及产品及系统的安全保证。由于研讨会中明确了上述问题，便成立了一个新的工作组以直接落实这些问题，于年月完成了SSE-CMM模型的第二版。 - 30Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-SSE-CMM目的SSE-CMM确定了一个评价安全工程实施的综合框架，提供了度量与改善安全工程学科应

30、用情况的方法。SSE-CMM项目的目标是将安全工程发展为一整套有定义的、成熟的及可度量的学科。SSE-CMM模型及其评价方法可达到以下几点目的：l将投资主要集中于安全工程工具开发、人员培训、过程定义、管理活动及改善等方面。l基于能力的保证，也就是说这种可信性建立在对一个工程组的安全实施与过程的成熟性的信任之上的。l通过比较竞标者的能力水平及相关风险，可有效地选择合格的安全工程实施者。 - 31Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-SSE-CMM内容系统安全工程能力成熟模型（SSE-CMM）描述的是，为确保实施较好的安全工程

31、，一个组织的安全工程过程必须具备的特征。SSE-CMM描述的对象不是具体的过程或结果，而是工业中的一般实施。这个模型是安全工程实施的标准，它主要涵盖以下内容：lSSE-CMM强调的是分布于整个安全工程生命周期中各个环节的安全工程活动。包括概念定义、需求分析、设计、开发、集成、安装、运行、维护及更新。lSSE-CMM应用于安全产品开发者、安全系统开发者及集成者，还包括提供安全服务与安全工程的组织。lSSE-CMM适用于各种类型、规模的安全工程组织，如：商业、政府及学术界。l尽管SSE-CMM模型是一个用以改善和评估安全工程能力的独特的模型，但这并不意味着安全工程将游离于其它工程领域之外进行实施。

32、SSE-CMM模型强调的一种集成，它认为安全性问题存在于各种工程领域之中，同时也包含在模型的各个组件之中。- 32Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-SSE-CMM模型构成SSE-CMM的结构被设计以用于确认一个安全工程组织中某安全工程各领域过程的成熟度。这种结构的目标就是将安全工程的基础特性与管理制度特性区分清楚。为确保这种区分，模型中建立了两个维度“域维”和“能力维”。“域维”包含所有集中定义安全过程的实施，这些实施被称作“基础实施”。“能力维”代表反映过程管理与制度能力的实施。这些实施被称作“一般实施”，这是由于它

33、们被应用于广泛的领域。“一般实施”应该作为执行“基础实施”的一种补充。SSE-CMM模型中大约含个基础实施，被分为个过程域，这些过程域覆盖了安全工程的所有主要领域。基础实施是从现存的很大范围内的材料、实施活动、专家见解之中采集而来的。这些挑选出来的实施代表了当今安全工程组织的最高水位，它们都是经过验证的实施。- 33Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-模型构成一般实施是一些应用于所有过程的活动。它们强调一个过程的管理、度量与制度方面。一般而言，在评估一个组织执行某过程的能力时要用到这些实施。一般实施被分组成若干个被称作“

34、共同特征”的逻辑区域，这些“共同特征”又被分作五个能力水平，分别代表组织能力的不同层次。与域维中的基础实施不同的是，能力维中的一般实施是根据成熟性进行排序的。因此，代表较高过程能力的一般实施会位于能力维的顶层。SSE-CMM模型的五个能力水平如下：l级别：“非正式执行级”。这一级别将焦点集中于一个组织是否将一个过程所含的所有基础实施都执行了。l级别：“计划并跟踪级”。主要集中于项目级别的定义、计划与实施问题。l级别3：“良好定义级”。集中于在组织的层次上有原则地将对已定义过程进行筛选。l级别：“定量控制级”。焦点在于与组织的商业目标相结合的度量方法。尽管在起始阶段就十分必要对项目进行度量，但这

35、并不是在整个组织范围内进行的度量。直到组织已达到一个较高的能力水平时才可以进行整个组织范围内的度量。l级别：“持续改善级”。在前几个级别进行之后，我们从所有的管理实施的改进中已经收到成效。这时需要强调必须对组织文化进行适当调整以支撑所获得的成果。 - 34Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-SSE-CMM应用SSE-CMM模型适用于所有从事某种形式安全工程的组织，而不必考虑产品的生命周期、组织的规模、领域及特殊性。这一模型通常以下述三种方式来应用：“过程改善”l可以使一个安全工程组织对其安全工程能力的级别有一个认识，于是

36、可设计出改善的安全工程过程，这样就可以提高他们的安全工程能力。“能力评估” l使一个客户组织可以了解其提供商的安全工程过程能力。“保证” l通过声明提供一个成熟过程所应具有的各种依据，使得产品、系统、服务更具可信性。目前，SSE-CMM已经成为西方发达国家政府、军队和要害部门组织和实施安全工程的通用方法，是系统安全工程领域里成熟的方法体系，在理论研究和实际应用方面具有举足轻重的作用。在模型的应用方面，德州仪器（美） 和参与模型建立的一些公司采用该模型指导安全工程活动，可以在提供过程能力的同时有效地降低成本。 - 35Copyright 2001 X-Exploit TeamX-Exploit

37、Teamhttp:/www.x-CVECVECopyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-- 36Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-关于CVE信息系统安全问题的列表或目录，不是一个数据库；弱点漏洞（Vulnerabilities）lProblems that are universally thought of as “vulnerabilities” in any security policylSoftware flaws that could dir

38、ectly allow serious damagelphf, ToolTalk, Smurf, rpc.cmsd, etc.攻击方法（Exposures）lProblems that are sometimes thought of as “vulnerabilities” in some security policieslStepping stones for a successful attacklRunning finger, poor logging practices, etc.- 37Copyright 2001 X-Exploit TeamX-Exploit Teamhttp

39、:/www.x-CVEDiscoveryMailing lists, Newsgroups, Hacker sitesAnalysisAcademic StudyAdvisoriesProtectionVulnerability Assessment ToolsCollectionDatabasesNewslettersDetectionIntrusion Detection SystemsIncidentHandlingIncident Response TeamsIncident ReportsStart HereCVE来源- 38Copyright 2001 X-Exploit Team

40、X-Exploit Teamhttp:/www.x-为什么需要CVEProvide common language for referring to problemsFacilitate data sharing betweenlIDSeslAssessment toolslVulnerability databaseslAcademic researchlIncident response teamsFoster better communication across the communityGet better tools that interoperate across multipl

41、e vendors- 39Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-CVE分级SubmissionsRaw informationObtained from MITRE, Board members, and other data feedsCombined and refinedCandidatesPlaced in clustersProposed to Editorial BoardAccepted or rejectedBackmap tells submitters what candidates were assi

42、gned to their submissionsEntriesAdded to CVE listSubmissions, candidates removed from the “pool”Published in an official CVE version.CAN-2000-0001CAN-2000-0002CAN-2000-0003CVE-2000-0001CVE-2000-0003Back-map- 40Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-CVE示例- 41Copyright 2001 X-Exploit T

43、eamX-Exploit Teamhttp:/www.x-CVE应用 UnreviewedBugtraqs, Mailing lists, Hacker sitesReviewed Advisories CERT, CIAC,Vendor advisoriesDiscoverytimePolicyMethodologiesPurchasing RequirementsEducationScanners, Intrusion Detection, Vulnerability DatabasesProducts2. Establish CVE at product level in order t

44、o.3. enable CVE to permeatethe policy level.1. Inject Candidatenumbers into advisories- 42Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-CVE应用关于X-Exploit Teamhttp:/www.x-Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-- 44Copyright 2001 X-Exploit TeamX-Exploit Teamhttp:/www.x-X-Exploit Team一支由信息安全博士、博士后组成的博士团队一支由专业安全技术人员组成的安全团队一支不从政，不经商，专注安全学术的学术团队一支既不高傲自大，也不妄自菲薄，只求扎扎实实作技术的求实团队一支从事安全体系结构、安全模型、安全策略等基础理论研究的奉献团队一支专注密码工程、弱点漏洞、攻击模式、攻击方法等工程技术研究的工程团队一支欢迎加入X-Exploit Teamhttp:/www.x-