一种通用漏洞评级方法

漏洞是网络安全事件的主要根源,漏洞的大量存在及其带来的危害使漏洞评级变得尤为重要。该文分析目前著名安全机构和生产厂商对漏洞进行评级的特点,介绍通用缺陷评估系统(CVSS)及其存在的缺点,在CVSS的基础上提出一种更完善的定量评级方法CVRS,通过评估实例说明了CVRS的有效性和优越性。     

查漏补缺——企业网络补丁轻松打 NO．1企业网络补丁管理基础

一．什么是安全修补程序?首先来了解一下什么是安全修补程序，安全修补程序简称“补丁”，大家知道软件都是人编写的，不可能十全十美。每款软件都存在些潜在漏洞或缺陷．这些软件的漏洞和缺陷会随着时间的推移．慢慢地被人们发现，而软件开发者或者厂商为了让这些漏洞和缺陷不影响到用户的使用就针对它们专门开发一种安全修补程序。     

面向智能汽车的信息安全漏洞评分模型

随着汽车智能化、网联化的发展,汽车中集成了越来越多的电子器件,数量庞大的硬件、固件和软件中隐藏着各种设计缺陷和漏洞,这从根本上导致了智能汽车信息安全问题。大量汽车漏洞的披露,严重影响了汽车安全,制约了智能汽车的广泛应用。漏洞管理是降低漏洞危害、改善汽车安全的有效手段。在漏洞管理流程中,漏洞评估是决定漏洞处置优先级的重要一环。但是,现有的漏洞评分系统不能合理地评估智能汽车安全漏洞。为了解决智能汽车漏洞评估不合理的问题,提出面向智能汽车的信息安全漏洞评分模型。基于通用漏洞评分系统（CVSS）漏洞评分原理,根据智能汽车的特点,优化了CVSS的攻击向量和攻击复杂度,并添加了财产安全、隐私安全、功能安全和生命安全4个指标来刻画漏洞可能对智能汽车造成的影响;结合机器学习的方法,对CVSS评分公式参数进行了调整,以使其更好地刻画智能汽车信息安全漏洞特点,适应调整后的指标权重。通过实例评估和统计系统特征分布发现,模型拥有更好的多样性和更稳定连续的特征分布,表明模型可以更好地对不同漏洞进行评分;并且基于模型评估得到的漏洞评分,应用层次分析法给出整车脆弱性评估,表征整车风险水平。所提模型相比现有模型可以更...     

CVSS环境指标变量对系统安全的影响研究

通用漏洞评分体系(CVSS)分三个层次对漏洞的威胁进行评估,特定系统的安全性反映在最终的环境分层面上。在CVSS的三组指标变量中,仅环境指标变量取决于特定组织机构、特定系统,难以自动获取,是用户实施安全风险管理和控制策略中关键的和最困难的环节。在分析CVSS计算方法基础上,研究环境指标变量对最终CVSS总分的影响,给出了环境指标向量对CVSS环境分影响的总体估计式,同时给出了环境向量各分量单独影响的估计式。实验表明,本文在CVSS环境指标变量的总体影响和分项指标影响两方面,实现了精度提升,进入了实际标准完全可接受的范围。     

一种适用于配置漏洞的安全配置评估系统

为了对大量存在的配置漏洞进行风险评估从而做出相应的补救措施,以使可能的损失降到最低,本文首先研究通用漏洞评估系统(CVSS)的评估体系,然后结合配置设置自身的特点,对CVSS标准进行修改,提出适用于配置漏洞评估的安全配置评估系统(SCVSS),并通过CCE的配置实例验证了SCVSS的正确性。SCVSS是一种有效的配置评估系统。     

Mac OS X安全特性

苹果电脑向用户公开源代码，并且使用久经考验的开放式资源软件；开发组首先仔细审查系统的安全措施，敏锐地发现薄弱环节，最后做出改进避免安全漏洞。通过使用这种开放软件开发固有的协作方式，苹果电脑和开放软件工作组能为用户提供一个更安全的系统，以及对安全问题的快速反应。苹果公司和安全监督组织CERT和FIRST紧密合作。     

基于攻击树和CVSS的网络攻击效果评估方法

为有效解决网络攻击效果评估中对指标数据的过度依赖性,提高网络攻击效果评估的准确性,提出了一种基于攻击树和CVSS的网络攻击效果评估方法 。首先,采用攻击树模型描述系统可能存在的攻击路径,并利用模糊层次分析法对各叶节点的发生概率进行求解;然后,基于CVSS漏洞信息建立网络攻击效果量化评估模型;最后,采用实例进行验证分析说明。该方法能够充分利用己有的攻击行为研究成果,评估结果较为客观,且思路清晰,算法简单,具有较强的通用性和工程应用价值。     

诱敌深入网络“欺骗”方法探幽

在网络攻防中．“欺骗”战术十分常见。由于每个网络系统或多或少都存在安全方面的弱点，如果它们的利用价值很高，这些弱点就有可能被入侵者利用。使用这一类技术时．我们可以用逆向的思维来猜测入侵者的攻击意图和技术．并且逐步消耗他的“资源”。如果系统管理员有手的话．完全可以使入侵者相信系统存在安全缺陷．并将其引向这些错误的资源，这可以形象地比喻为“牵着牛鼻子走路”。本文综合些网络“欺骗”的方法，仔细分析一些典型事件并讲解其中的原理。     

通用安全局同评估系统(CVSS)简介及应用建议

对CVSS进行了简要介绍,并对用户如何对CVSS环境评估指标进行相应的扩充和自定义,以及如何在组织中采用CVSS标准,提高安全漏洞管理能力进行了探讨.     

通用安全局同评估系统(CVSS)简介及应用建议

对CVSS进行了简要介绍,并对用户如何对CVSS环境评估指标进行相应的扩充和自定义,以及如何在组织中采用CVSS标准,提高安全漏洞管理能力进行了探讨.     

利用计划任务自动更新AVP

朋友家的电脑安装了“AVP3.5”防病毒软件，由于配置比较低，加之这位朋友又是个菜鸟，因此就没有安装控制台。但这样就无法使用AVP的自动更新功能了，这对于一款防病毒软件来说，几乎是致命的缺陷，该怎么办呢?忽然，笔者想到了计划任务。AVP更新病毒库的进程是C：＼Program Files＼Common Files＼AVP Shared＼avpupd．exe。打开“开始→附件→系统工具→任务计划”，     

走近FIRST--计算机应急组织的国际舞台

FIRST是FORUM OF INCIDENTRESPONSE AND SECURITY TEAMS的简写,中文意思是“计算机应急响应和安全小组论坛”。FIRST由一些自愿协同工作来处理计算机安全问题的独立的计算机安全应急响应小组组成。这些应急响应小组来自政府、法律界、学术界、私人团体等,他们在FIRST指导委员会的指导下协同工作。FIRST的宗旨是使各成员就安全漏洞、安全技术、安全管理等方面     

只有硬件是不够的

为讨论硬件厂商进军软件业这一现象,我们采访了部分硬件厂商、软件厂商、专家及用户,话题涉及硬件厂商进军软件的原因、切入点、方式,对软件业起到的推动作用等,除新天地软件公司总经理张一方先生对此持观望态度外,其它接受采访者都表示了“只有硬件是不够的”。虽然每一个受访者都是从自己的角度阐述观点,仁者见仁,智者见智,但广纳群言,却有助于我们客观看待事实。     

任重道远话安全

一、IT惊魂1、不断发现操作系统新的安全漏洞IT安全威胁的社会根源是利益的争战;IT安全威胁的技术根源是信息资源的分布性、网络的开放性和基础软硬件中的安全脆弱性。单就操作系统而言,近年来发现其中的安全漏洞越来越多,请见表1。1994年9月《科学的美国人》中“软件的慢性危机”一文说,C语言和C++语言中平均每55行程序便出现一个错误;IBM专家在1999年“事件响应和安全小组论坛”(FIRST)第11届年会上指出,在人们编写的程序中,平均每一千行程序语句就可能存在一个BUG;而在FIRST12届年会上,著名密码学者布鲁斯·斯奈尔则特别指出,…     

微软拟向部分国家政府公布Office九成源代码

美国软件巨头微软公司拟于近日宣布,该公司将向部分政府提供Office软件源代码。舆论认为,此举是为了应对开放代码软件的竞争威胁而采取的措施。此前,微软已于2003年1月启动了“政府安全计划”,开始向部分国家政府和厂商提供Windows源代码。微软欧洲部的战略经理威尔弗莱德-格罗曼(WilfriedGrommen)在接受媒体采访时表示,“对我们来说,现在扩大‘政府安全计划’的涵盖范围十分重要。这表明我们在与政府合作方面正在取得新的进展。”令人瞩目的是,微软将在位于法国巴黎的欧洲总部公布此次Office代码共享的细节。欧洲各政府一直对微软产品持怀疑态度,认为该公司的产品内码可能会给美国政府提供“后门”,因此欧洲各国在推动开放代码软件方面一直表现积极,这给微软造成了巨大威胁。目前,开放代码的办公套装软件OpenOffice已经开始得到客户认同,微软不得不对此作出反应。微软共享源代码计划主管杰森-马图索(JasonMatusow)表示,“我们将公布Word、Ex鄄cel、PowerPoint等软件90%的源代码。共享源代码将使微软领略到开放代码的益处。对政府来说,软件的透明度在衡量软件产品方面十分重要。”迄今为止已经...     

PTC再度成为FIRST科技挑战赛CAD和协同软件独家赞助商

PTC近日宣布,将继续支持FIRST和FIRST科技挑战赛(FTC),以响应推广科学、技术、工程和数学(STEM)教育机会的号召。FIRST通过设计易参与、并具有创新性的STEM导师指导计划,每年吸引着全球多达294000名的K-12年级学生参与。2012年,PTC将赞助30支参赛队伍参加比赛。作为独家CAD软件提供商以及FIRST科技挑战赛合作赞助商,PTC将免费向所有FTC参赛小组提供Creo产品设计软件、Mathcad计算软件和Windchill协同软     

选择NT,等于选择未来

为了让所有现在使用“视窗”系统的商业用户将来能顺利升级到采用NT内核的Windows 2000系统,微软于去年美国Comdex上正式推出了“GO 2000”计划。目前已有超过50家OEM厂商参加了这一计划,并相继推出了预装NT Workstation 4.0系统的PC。微软公司全球OEM销售及市场推广总经理庄詹肯先生认为:     

基于关联性的漏洞评估方法

为了更加有效地评估漏洞威胁, 在原有的基于关联性漏洞评估方法的基础上, 从漏洞的可利用性出发, 分析了通用漏洞评估系统（CVSS）作为漏洞可利用性评价指标的缺点。在改进CVSS评价指标的基础上, 提出了更为合理的漏洞可利用性评估体系, 并改进了原有的漏洞评估方法。该方法能够有效地挖掘漏洞自身特点, 科学地进行漏洞评估, 并通过实验验证了该方法的合理性和有效性。     

一种自动优化CVSSv2.0漏洞指标的评估方法

针对CVSS v2.0主观性强、操作性差,建立自动化评估模型困难的问题,提出在CVSS v2.0评估体系的基础上,改进其评价指标体系,把评价指标分为主客观两类;使用BP神经网络自学习原理再次优化评价因子;并建立基于BP神经网络的自动化评估模型,快速地对输入指标的特征做逼近实效的量化。通过MATLAB仿真验证了该方法的有效性、准确性与可行性。     

自然语言数据驱动的智能化软件安全评估方法

软件安全性是衡量软件是否能够抵御恶意攻击的重要性质.在当前互联网环境下,黑客攻击无处不在,因而估计软件中可能含有的漏洞数量与类型,即对软件进行安全评估,变得十分必要.在实际中用户不仅需要对未发布、或者最新发布的软件实施安全性评估,对已发布软件也会有一定的安全评估需求,例如当用户需要从市场上互为竞争的多款软件中作出选择,就会希望能花费较低成本、较为客观地对这些软件进行第三方的评估与比较.本文提出了一种由自然语言数据驱动的智能化软件安全评估方法来满足这一要求,该方法基于待评估软件现有用户的使用经验信息来评估软件的安全性,它首先自适应地爬取用户在软件使用过程中对软件的自然语言评价数据,并利用深度学习方法与机器学习评估模型的双重训练来获得软件的安全性评估指标.由于本文的自适应爬虫能够在反馈中调整特征词,并结合搜索引擎来获得异构数据,因而可通过采集广泛的自然语言数据来进行安全评估.另外,使用一对多的机器翻译训练能有效解决将自然语言数据转换为语义编码的问题,使得用于安全评估的机器学习模型可以建立在自然语言的语义特征基础上.我们进一步在国际通用漏洞披露数据库（CVE）和美国国家漏洞数据库（NVD）上对本文方法进行了实验,结果表明,本文方法在评估软件漏洞数量,漏洞类型,以及漏洞严重程度等指标上十分有效.