VULHUB。漏洞庫(kù),信息安全。
信息安全,漏洞庫(kù),mobile,vulhub。漏洞。
信息安全評(píng)估行業(yè)對(duì)信息安全相關(guān)要素的標(biāo)準(zhǔn)化需求是迫切的,沒(méi)有規(guī)矩?zé)o以成方圓,沒(méi)有標(biāo)準(zhǔn)便無(wú)法得出可度量的評(píng)估結(jié)論。雖然當(dāng)前事實(shí)上的行業(yè)標(biāo)準(zhǔn)CVE對(duì)已披露漏洞進(jìn)行了一定程度的規(guī)范,但如何檢查漏洞、補(bǔ)丁及配置缺陷,如何規(guī)范平臺(tái)名稱、脆弱點(diǎn)類別、配置缺陷名稱等在國(guó)內(nèi)仍沒(méi)有可遵循的相關(guān)標(biāo)準(zhǔn)。而NIST提出的SCAP在信息安全評(píng)估標(biāo)準(zhǔn)化方面先行了一步,它正是為了解決這些標(biāo)準(zhǔn)化的問(wèn)題而產(chǎn)生。創(chuàng)建SCAP中文社區(qū)的目的也在于此,我們希望通過(guò)SCAP中文社區(qū)的建立,能夠進(jìn)一步促進(jìn)中國(guó)信息安全標(biāo)準(zhǔn)化的進(jìn)程和SCAP系列標(biāo)準(zhǔn)在中國(guó)的采納和應(yīng)用。
SCAP中文社區(qū)高度集成了大量信息安全相關(guān)的標(biāo)準(zhǔn)和各種漏洞數(shù)據(jù)庫(kù),并深入分析了這些數(shù)據(jù)之間的聯(lián)系,形成了獨(dú)具特色的信息安全數(shù)據(jù)服務(wù)平臺(tái),在服務(wù)行業(yè)的同時(shí),SCAP中文社區(qū)也是“職業(yè)黑客”們有效的信息來(lái)源,在此可以方便地獲取有關(guān)信息安全漏洞的詳盡資料和大量漏洞利用代碼。
SCAP(Security Content Automation Protocol:安全內(nèi)容自動(dòng)化協(xié)議)由NIST(National Institute of Standards and Technology:美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院)提出,NIST期望利用SCAP解決三個(gè)棘手的問(wèn)題:一是實(shí)現(xiàn)高層政策法規(guī)(如FISMA,ISO27000系列)等到底層實(shí)施的落地,二是將信息安全所涉及的各個(gè)要素標(biāo)準(zhǔn)化(如統(tǒng)一漏洞的命名及嚴(yán)重性度量),三是將復(fù)雜的系統(tǒng)配置核查工作自動(dòng)化。SCAP是當(dāng)前美國(guó)比較成熟的一套信息安全評(píng)估標(biāo)準(zhǔn)體系,其標(biāo)準(zhǔn)化、自動(dòng)化的思想對(duì)信息安全行業(yè)產(chǎn)生了深遠(yuǎn)的影響。
NIST將SCAP 分為兩個(gè)方面進(jìn)行解釋:Protocol(協(xié)議)與Content(內(nèi)容)。Protocol是指SCAP由一系列現(xiàn)有的公開(kāi)標(biāo)準(zhǔn)構(gòu)成,這些公開(kāi)標(biāo)準(zhǔn)被稱為SCAP Element(SCAP元素)。Protocol規(guī)范了這些Element之間如何協(xié)同工作,Content指按照Protocol的約定,利用Element描述生成的應(yīng)用于實(shí)際檢查工作的數(shù)據(jù)。例如,F(xiàn)DCC(Federal Desktop CoreConfiguration:聯(lián)邦桌面核心配置)、USGCB(United States Government ConfigurationBaseline:美國(guó)政府配置基線)等官方的檢查單數(shù)據(jù)格式均為SCAP Content。
SCAP版本1.0包含以下六個(gè)SCAP元素:XCCDF、OVAL、CVE、CCE、CPE、CVSS。這些標(biāo)準(zhǔn)在SCAP產(chǎn)生之前都已經(jīng)存在,并在各自的領(lǐng)域發(fā)揮著重要作用。其中一些標(biāo)準(zhǔn)我們可能之前有所了解,如CVE、CVSS。當(dāng)SCAP將它們整合后,其整體標(biāo)準(zhǔn)化的優(yōu)勢(shì)變得十分明顯。SCAP為安全工具實(shí)現(xiàn)標(biāo)準(zhǔn)化提供了解決方案:標(biāo)準(zhǔn)的輸入數(shù)據(jù)格式、標(biāo)準(zhǔn)的處理方法和標(biāo)準(zhǔn)的輸出數(shù)據(jù)格式,這非常有利于安全工具之間實(shí)現(xiàn)數(shù)據(jù)交換。
CVE中文漏洞信息查詢是SCAP中文社區(qū)的一項(xiàng)重要功能,SCAP中文社區(qū)與“美國(guó)國(guó)家漏洞庫(kù)(NVD)",“中國(guó)國(guó)家信息安全漏洞庫(kù)(CNNVD)”保持實(shí)時(shí)的同步更新,與Exploit-DB、PacketStorm等漏洞利用程序庫(kù)保持每日同步更新。為了提供更多有價(jià)值的信息,SCAP中文社區(qū)的CVE漏洞庫(kù)與OVAL數(shù)據(jù)庫(kù)進(jìn)行了映射,與Exploit-DB、PacketStorm數(shù)據(jù)進(jìn)行了鏈接,用戶可以通過(guò)豐富的檢索功能查找詳盡的漏洞資料。
OVAL中文數(shù)據(jù)庫(kù)OVAL是一種用來(lái)描述漏洞檢測(cè)方法的機(jī)器可識(shí)別語(yǔ)言,可以用來(lái)詳細(xì)的描述漏洞檢測(cè)的技術(shù)細(xì)節(jié),并可導(dǎo)入自動(dòng)化檢測(cè)工具中實(shí)施漏洞檢測(cè)工作。OVAL使用XML語(yǔ)言描述,且中間包含了嚴(yán)密的語(yǔ)法邏輯,SCAP中文社區(qū)使用XSL轉(zhuǎn)換技術(shù),將OVAL語(yǔ)言XML轉(zhuǎn)換為易于人工閱讀的方式,非常適用于漏洞分析人員使用。
CCE中文數(shù)據(jù)庫(kù)CCE是描述軟件配置缺陷的一種標(biāo)準(zhǔn)化格式,在信息安全風(fēng)險(xiǎn)評(píng)估中,配置缺陷的檢測(cè)是一項(xiàng)重要內(nèi)容,使用CCE可以讓配置缺陷以標(biāo)準(zhǔn)的方式展現(xiàn)出來(lái),便于配置缺陷評(píng)估的可度量化操作。SCAP中文社區(qū)與NVD保持實(shí)時(shí)的更新。
溫馨提醒:文章觀點(diǎn)來(lái)源網(wǎng)絡(luò),隨時(shí)光飛逝,歲月變遷,準(zhǔn)確性、可靠性、難免有所變動(dòng),因此本文內(nèi)容僅供參考!
