漏洞庫現(xiàn)狀分析及質(zhì)量評價＊

1 引言

隨著計算機硬件、軟件和互聯(lián)網(wǎng)絡的普及和發(fā)展，信息化的生活給人們帶來了便利，提高了人們的生活水平，促進了社會的發(fā)展。但與此同時，也帶來了許多安全問題，病毒、木馬程序等在網(wǎng)絡中傳播，網(wǎng)站被攻擊等，而導致這些問題的根源就是計算機系統(tǒng)和應用程序中出現(xiàn)了安全漏洞，并被攻擊者發(fā)現(xiàn)利用，對漏洞信息的研究越來越被人們重視。安全漏洞是網(wǎng)絡安全攻擊事件的核心所在，其對國家和社會帶來的危害與日俱增。圖1給出了國家信息安全漏洞共享平臺CNVD統(tǒng)計的近10年新增安全漏洞數(shù)量和新增高危漏洞的變化趨勢。從圖1可以看出，在過去的2016年，全年新增漏洞數(shù)量增長近50%，漏洞數(shù)量增加意味著更多從業(yè)者在關(guān)注安全漏洞，關(guān)注安全產(chǎn)業(yè)；自2008年以來，高危漏洞數(shù)量無論是在數(shù)量還是所占比例上都呈現(xiàn)下降趨勢，但在近兩年出現(xiàn)了較大的反彈；2015年，雖然漏洞數(shù)量有大幅的減少，但是高危漏洞數(shù)量所占的比例卻是猛增的趨勢；而2016年漏洞數(shù)量和高危漏洞數(shù)量增長較大，高危漏洞所占的比例與2015年持平，2016年安全漏洞質(zhì)量普遍偏高，影響和危害性均高于往年的水平。由此可見，安全漏洞所帶來的危害和影響范圍日益增長，成為安全事件中的核心所在。

圖1 近10年新增漏洞數(shù)量統(tǒng)計

這些安全事件的根源就是安全漏洞被攻擊者利用的后果，由此可見漏洞管理工作的重要性。漏洞庫作為對安全漏洞數(shù)據(jù)的收集和發(fā)布機構(gòu)，可以全面收納并總結(jié)漏洞的內(nèi)容。高質(zhì)量的漏洞庫系統(tǒng)有利于從事計算機安全的工程師查閱信息并起到安全事件預警的作用，更可以幫助政府部門從整體上把握網(wǎng)絡安全的發(fā)展態(tài)勢。由于當前各漏洞庫對于安全漏洞信息的發(fā)布各自為戰(zhàn)，網(wǎng)絡設(shè)備廠商、互聯(lián)網(wǎng)企業(yè)、研究機構(gòu)、各領(lǐng)域機構(gòu)對漏洞的發(fā)布時間和描述方式不盡相同，導致漏洞庫的水平參差不齊。為了規(guī)范漏洞庫的建設(shè)和運維，本文梳理了現(xiàn)有主流漏洞庫的大量漏洞數(shù)據(jù)，建立一套科學的漏洞庫評價體系，用于對漏洞庫的質(zhì)量進行評估。

2 國內(nèi)外主流漏洞庫現(xiàn)狀綜述

2.1 安全漏洞庫現(xiàn)狀

歐美等發(fā)達國家在早期就開始深入研究并投入精力建設(shè)安全漏洞庫，其政府和民間機構(gòu)已經(jīng)建設(shè)完成了一批在世界上具有一定影響力的漏洞庫，例如M itre公司的CVE（Common Vulnerabilitiesand Exposures）漏洞庫、美國國家漏洞庫NVD、OSVDB（Open Source Vulnerability Database）漏洞庫、SecurityFocus漏洞庫、IBM ISS的X_Force漏洞庫、美國國家互聯(lián)網(wǎng)應急響應中心下屬的US-CERT（ComputerEmergency Readiness Term）漏洞庫、澳大利亞的Aus-CERT漏洞庫、丹麥的Secunia漏洞庫、法國的VUPEN漏洞庫等。我國國內(nèi)在數(shù)據(jù)庫研究領(lǐng)域投入較晚，但是隨著數(shù)據(jù)庫系統(tǒng)作用的顯現(xiàn)，在近幾年數(shù)據(jù)庫建設(shè)領(lǐng)域發(fā)展迅猛，特別是在2009年一年內(nèi)先后建立3個國家政府部門成立的漏洞庫，分別是中國國家漏洞庫CNNVD、國家信息安全漏洞共享平臺CNVD和國家安全漏洞庫NIPC；隨后，在2012年清華大學建設(shè)完成了SCAP中文漏洞庫，可見國家對此領(lǐng)域的投入力度之大。除了政府機關(guān)和科研單位，國內(nèi)的許多企業(yè)結(jié)合自身業(yè)務和技術(shù)特點，也建設(shè)了許多具有一定規(guī)模的漏洞庫，例如綠盟科技的NSFocus、烏云漏洞庫、SeBug、啟明星辰中文漏洞庫等。與此同時，各大互聯(lián)網(wǎng)企業(yè)，包括騰訊、阿里、百度、京東、360等都成立了應急響應中心，專門用來收集相關(guān)業(yè)務系統(tǒng)存在的安全漏洞信息，以減少安全漏洞帶來的損失。

在眾多漏洞庫中，美國國家漏洞庫NVD是最權(quán)威的，NVD擁有豐富的漏洞數(shù)據(jù)資源，并且擁有規(guī)范的漏洞信息描述、清晰的漏洞庫結(jié)構(gòu)和可靠權(quán)威的內(nèi)容，NVD發(fā)布的所有漏洞都對應頒布一個CVE編號，目前CVE編號已經(jīng)被安全界普遍接受作為漏洞信息的一個重要描述字段；NVD中的漏洞威脅等級通過CVSS標準來劃分；NVD中對受影響軟件版本和平臺的描述嚴格執(zhí)行CPE的標準規(guī)范進行描述；NVD按照SCAP中的CWE嚴格對漏洞進行分類。NVD中的漏洞100%擁有CVE編號，而其他主流漏洞庫擁有CVE編號的漏洞數(shù)量大約占比為50%～60%，仍有大量的漏洞并沒有被普遍認可的CVE編號來進行標識，這十分不利于漏洞標準化的推進。

2.2 主流漏洞庫介紹

國內(nèi)外安全漏洞庫數(shù)量繁多，本文將對目前在線的主流漏洞庫進行梳理總結(jié)。表1～4按照所屬組織類型匯總了主流的漏洞庫，表中標注了這些漏洞庫的所屬組織名稱和英文簡稱。

表1 部分國際官方機構(gòu)知名漏洞庫

很多國家對國家機構(gòu)建設(shè)的漏洞庫十分重視，并將漏洞數(shù)據(jù)列為國家戰(zhàn)略資源。在未來的網(wǎng)絡戰(zhàn)爭中，安全漏洞尤其是ZeroDay漏洞必將是各個國家的終極武器，漏洞庫作為未來戰(zhàn)爭的彈藥庫已經(jīng)被越來越多的國家列為重點項目。美國、澳大利亞、日本等國在漏洞庫建設(shè)領(lǐng)域投入較早，已經(jīng)擁有相對成熟的技術(shù)，奠定了漏洞庫的基本發(fā)展方向。

由于美國在漏洞庫領(lǐng)域起步較早，所以國外著名的民間漏洞庫主要集中在美國，并以不同的形式呈現(xiàn)。這些漏洞庫包括一些商用漏洞庫、開源項目、交易平臺等。IBM的X-Force和Cisco的漏洞庫屬于軟硬件廠商為了更新自己的產(chǎn)品而建立的漏洞信息共享平臺；OSVDB等屬于漏洞庫開源項目（OSVDB博客于2016年宣布經(jīng)營了14年的開源漏洞數(shù)據(jù)庫關(guān)閉，并且未來不會重新開放）；ZeroDay、1337Day等屬于漏洞分享和交易平臺。

我國在漏洞庫研究領(lǐng)域起步較晚，但是隨著漏洞數(shù)據(jù)庫作用的顯現(xiàn)，我國在近幾年數(shù)據(jù)庫建設(shè)領(lǐng)域發(fā)展迅速，特別是在2009年先后建立了3個國家級的漏洞庫，分別是中國國家漏洞庫CNNVD、國家信息安全漏洞共享平臺CNVD和國家安全漏洞庫NIPC，可見國家在漏洞庫領(lǐng)域大力投入，效果顯著。隨后一些大學開始以漏洞庫相關(guān)標準、專業(yè)領(lǐng)域等方向為切入點，開始建立富有特色的漏洞庫，在各自領(lǐng)域內(nèi)發(fā)揮重要作用。

表2 部分國際民間機構(gòu)知名漏洞庫

表3 部分國際官方機構(gòu)知名漏洞庫

表4 部分國內(nèi)民間機構(gòu)知名漏洞庫

隨著信息安全產(chǎn)業(yè)的發(fā)展，國內(nèi)相關(guān)企業(yè)對漏洞庫的建設(shè)迎來高峰期，一批漏洞庫隨之誕生。綠盟科技的安全漏洞庫和啟明星辰的安全公告庫屬于較早成立的漏洞分享平臺；烏云漏洞庫開創(chuàng)了社區(qū)形式漏洞庫的先河，但是由于缺乏有效的管理和監(jiān)管機制，于2016年停止運營；FreeBuf的漏洞盒子將漏洞和安全服務有機結(jié)合在一起，將漏洞信息轉(zhuǎn)化為安全能力提供給用戶，建立了溝通漏洞數(shù)據(jù)庫與普通用戶的橋梁；此外，各大互聯(lián)網(wǎng)企業(yè)均建立各自的安全應急響應中心，可供廣大白帽子提交相關(guān)漏洞信息，以提高自身相關(guān)業(yè)務的安全防護能力。

2.3 國外主流漏洞庫特點

（1）NVD

美國國家安全漏洞庫NVD（NationalVulnerability Database）是美國國家標準與技術(shù)局NIST（National InstituteofStandardsand Technology）于2005年建立，由美國國土安全部DHS（Department of Homeland Security）的網(wǎng)絡安全司和美國計算機應急小組US-cert贊助支持。美國在安全漏洞領(lǐng)域的研究工作起源于20世紀90年代，研究內(nèi)容主要涉及安全漏洞挖掘、漏洞利用、漏洞評估、漏洞管理等，并都取得了比較成熟的研究成果，在全世界范圍內(nèi)成為行業(yè)標準，為安全漏洞庫的研究工作奠定了一個好的基礎(chǔ)。在美國漏洞庫研究領(lǐng)域，已經(jīng)形成了政府安全部門、安全技術(shù)研究機構(gòu)和民間安全企業(yè)3者間相互合作、相互取長補短、互利共贏的和諧局面，經(jīng)過數(shù)10年的發(fā)展已經(jīng)成為世界范圍內(nèi)漏洞庫領(lǐng)域的標桿。以美國國家漏洞數(shù)據(jù)庫NVD為代表，其漏洞信息全面、及時且具有權(quán)威性，是業(yè)界的集大成者，擁有高質(zhì)量的數(shù)據(jù)庫和能起到安全預警作用的平臺系統(tǒng)，不僅為學術(shù)研究方面提供了良好的數(shù)據(jù)支持，更為國家在信息安全領(lǐng)域的發(fā)展提供了有力保障，做出了突出的貢獻。

NVD漏洞庫收錄了超過8萬條CVE漏洞信息，此外還收錄了NVD自己的US-CRET漏洞公告、USCRET安全警告、OVAL信息、CPE信息等，是世界上信息最完備的漏洞庫系統(tǒng)之一。NVD與CVE漏洞庫是相互兼容的，NVD漏洞庫中收錄了所有含有CVE編號的漏洞信息，完全包括了CVE的數(shù)據(jù)庫，在NVD漏洞庫中完全可以按照CVE編號搜索漏洞信息，所以NVD漏洞庫具有很好的通用性。截至2017年4月，NVD的數(shù)據(jù)庫已經(jīng)收錄了8.4248萬條CVE漏洞，且除了CVE漏洞信息外NVD中還有自己發(fā)布的漏洞和公告等，比CVE漏洞庫更全面、權(quán)威。

NVD漏洞庫采用SCAP標準協(xié)議，內(nèi)容非常完整翔實，每條漏洞信息都列出了該條漏洞的CVE編號、漏洞標題、漏洞描述、CVSS分值、危害評級、發(fā)布日期、更新日期、利用情況、攻擊方法、危害類型、參考、受影響版本及平臺等多達15個屬性值，詳盡的內(nèi)容能滿足各類用戶的需要，在安全領(lǐng)域起到積極的作用。由于NVD對漏洞的審核周期較長，所以時效性較其他漏洞庫相比有明顯不足；NVD收錄的漏洞多集中在系統(tǒng)和協(xié)議層，Web漏洞收錄較少。

（2）CVN

1998年，美國國防高級研究計劃局DARPA（DefenseAdvanced Research ProjectsAgency）在卡耐基梅隆大學軟件工程研究所建立計算機緊急事件響應小組/協(xié)調(diào)中心CERT/CC，其目的在于應對互聯(lián)網(wǎng)安全時間，第一時間進行應急響應。日常工作包括收集和發(fā)布互聯(lián)網(wǎng)安全事件和安全漏洞，提供安全技術(shù)支撐、安全更新建議和安全應急響應等。CERT/CC會定期在自己的網(wǎng)站上更新漏洞信息，基于此建立了CERT的漏洞數(shù)據(jù)庫CERTVulnerabilityNotes（CVN）。

CVN在收錄漏洞信息后不會直接公開，而是首先聯(lián)系相關(guān)廠商，允許存在漏洞的廠商在45天內(nèi)修復漏洞并發(fā)布更新補丁，然后才會在漏洞庫網(wǎng)站中發(fā)布漏洞信息。CVN擁有權(quán)威的數(shù)據(jù)來源，并提出了漏洞危害評估方案Metric，量化了漏洞危害程度。但是CVN的漏洞數(shù)據(jù)來源單一，漏洞數(shù)據(jù)不夠全面，漏洞數(shù)量少。

（3）OSVDB

OSVDB（Open Source Vulnerability Database）漏洞庫是一個建立于2002年的獨立安全漏洞信息的開放平臺，由非盈利性的組織OpenSecurity Foundation提供贊助支持，其通過募捐獲得資金支持維持運營。OSVDB漏洞庫是一個相對獨立的開放式漏洞庫系統(tǒng)，它為廣大用戶無償提供翔實、準確、權(quán)威、及時、全面的漏洞信息。到目前為止，該漏洞庫已經(jīng)收錄超過10萬條漏洞信息，是漏洞庫中漏洞數(shù)據(jù)量最大的，其數(shù)據(jù)資源充實、全面。此外，OSVDB漏洞庫系統(tǒng)為用戶提供友好的交互界面，且提供專業(yè)完善的檢索功能和分類體系，滿足用戶的需求。提供下載功能，用戶可以按照不同的格式要求或數(shù)據(jù)結(jié)構(gòu)要求下載漏洞條目和詳細說明。

2016年4月，OSVDB在博客中宣布已經(jīng)運營了14年的開源漏洞數(shù)據(jù)庫OSVDB關(guān)閉，并且不會再重新開放。

（4）SecurityFocus

Symantec公司建立的SecurityFocus漏洞庫目前已經(jīng)收錄了超過9萬條漏洞信息，該漏洞庫公布的漏洞信息不僅包括簡要描述，最大的特點是包含了許多技術(shù)的細節(jié)，是針對專業(yè)技術(shù)人員和信息安全愛好者的漏洞庫系統(tǒng)，其中攻擊方法、腳本實例等內(nèi)容為安全工作者分析漏洞提供了便利。SecurityFocus漏洞庫因為其專業(yè)性深受廣大資深安全專家的喜愛，并且相對于NVD這類官方的漏洞庫，SecurityFocus的漏洞發(fā)布途徑更加便捷，經(jīng)常會有新漏洞曝出，是漏洞信息的重要來源，更新及時準確，在國際上具有較大的影響力。

SecurityFocus在對漏洞數(shù)據(jù)的整理上存在不足，沒有對漏洞數(shù)據(jù)進行標準化的系統(tǒng)分類，沒有對漏洞進行權(quán)威的危害等級評估。

（5）X-Force

ISS擁有X-Force漏洞庫的版權(quán)，隸屬于IBM。X-Force對漏洞信息的發(fā)布修改等均受到ISS的嚴格控制，通過網(wǎng)址xforce.iss.net為廣大用戶提供漏洞信息查詢的基本服務。X-Force漏洞庫擁有最完整的漏洞信息數(shù)據(jù)，數(shù)據(jù)更新及時。依托于IBM的產(chǎn)品平臺，X-Force漏洞庫已經(jīng)被轉(zhuǎn)化為安全掃描器等安全產(chǎn)品，是為數(shù)不多可以將安全漏洞數(shù)據(jù)轉(zhuǎn)化為安全服務的漏洞庫之一。

（6）Secunia

Secunia漏洞庫由IT安全廠商Secunia于2002年組織成立，是Secunia公司為了更好地提供安全解決方案，幫助政府機關(guān)、企業(yè)和個人用戶管控安全漏洞帶來的風險而建立的數(shù)據(jù)集中管理平臺?；诼┒磶?，Secunia安全公司可以提供漏洞管理、漏洞情報和補丁管理的服務。

Secunia漏洞庫的數(shù)據(jù)來源一部分來自于Secunia公司獲取的漏洞信息，一部分則通過對主流IT企業(yè)的安全公告進行數(shù)據(jù)收集。Secunia收錄的漏洞數(shù)據(jù)量龐大，數(shù)據(jù)來源權(quán)威嚴謹。但是Secunia的漏洞分類方案不夠權(quán)威。Secunia已于2015年年初停止了漏洞信息發(fā)布。

（7）EDB

OffensiveSecurity作為信息安全領(lǐng)域的服務提供商，可以為個人和團體用戶提供多種信息安全相關(guān)的認證服務和滲透測試服務。EDB（ExploitDatabase）是OffensiveSecurity開發(fā)并負責維護的非營利性安全漏洞庫，它向個人和機構(gòu)組織免費提供安全漏洞查詢服務。EDB中包含了通用的唯一標識編號CVE編號，并基于此提供部分安全漏洞的利用代碼，為安全研究人員和機構(gòu)提供了便利。

EDB的特點在于提供了大量漏洞驗證代碼，在安全領(lǐng)域具有非常大的影響力。EDB的不足主要體現(xiàn)在沒有對漏洞進行自然語言的描述和介紹，沒有對漏洞進行分類和危害評估。

2.4 國外主流漏洞庫特點

（1）CNVD

國家信息安全漏洞共享平臺CNVD由國家信息技術(shù)安全研究中心和國家互聯(lián)網(wǎng)應急中心CNCERT聯(lián)合建立，并且聯(lián)合各大信息安全企業(yè)、國內(nèi)三大運營商、軟件和硬件廠商、互聯(lián)網(wǎng)企業(yè)等共同運營該漏洞平臺。該漏洞庫平臺于2009年10月的中國計算機網(wǎng)絡安全年會上掛牌成立，共有23家成員單位，截至2017年4月已經(jīng)收錄漏洞信息超過9萬條，其唯一的漏洞標識形式為：CNVD-YYYY-NNNNN，每條漏洞信息記錄其14個屬性，危害等級分為高、中、低，更新延遲1～2天。

CNVD在國內(nèi)具有很大的影響力，由于技術(shù)支撐單位眾多，它的數(shù)據(jù)來源豐富且數(shù)據(jù)量龐大，對英文翻譯準確，是國內(nèi)漏洞庫的先驅(qū)領(lǐng)導者。

（2）CNNVD

中國國家漏洞庫CNNVD于2009年成立，其建設(shè)和運營單位是中國信息安全測評中心，與CNVD一樣同屬于國家級漏洞庫，其優(yōu)勢與不足類似于CNVD。截至2017年4月，CNNVD共收錄漏洞信息9萬多條，其唯一的漏洞標識形式為：CNNVD-YYYYMM-NNN，每條漏洞信息記錄其14個屬性，危害等級分為危急、高、中、低，更新延遲1～2天。

（3）NIPC

國家安全漏洞庫NIPC由國家計算機網(wǎng)絡入侵防范中心、國家計算機病毒應急處理中心和計算機網(wǎng)絡與信息安全教育部重點實驗室3方共同建設(shè)，是中科院“十一五”科學數(shù)據(jù)庫建設(shè)專業(yè)數(shù)據(jù)庫項目之一。NIPC漏洞庫與CNVD、CNNVD一樣建立于2009年，屬于國內(nèi)最早一批建立的國家級漏洞庫，截至2017年4月，NIPC漏洞庫共收錄漏洞信息近9萬條，其唯一的漏洞標識形式為：NIPC-YYYY-NNNNN，每條漏洞信息記錄其19個屬性，危害等級分為緊急、高、中、低，更新延遲1～2天。

NIPC漏洞庫依托于中科院濃厚的科研底蘊，通過對漏洞庫相關(guān)標準的研究、異構(gòu)漏洞的融合算法等基礎(chǔ)理論的研究，不斷提高漏洞庫對數(shù)據(jù)的整合能力和利用率，為漏洞庫技術(shù)的發(fā)展做出貢獻。

（4）SCAP社區(qū)

SCAP社區(qū)于2012年由清華大學的安全研究員諸葛建偉建立，硬件和網(wǎng)絡環(huán)境由中國教育和科研計算機網(wǎng)應急響應小組（CCERT）提供。SCAP社區(qū)旨在能夠促進中國信息安全領(lǐng)域的標準化進程和SCAP標準在國內(nèi)應用與安全漏洞庫的范圍。SCAP中文社區(qū)集成了大量來源不同漏洞庫的漏洞數(shù)據(jù)和部分安全漏洞相關(guān)的標準，形成了獨具特色的信息安全數(shù)據(jù)服務平臺。

SCAP中文社區(qū)收集并整理了大量的安全漏洞數(shù)據(jù)和大量安全漏洞相關(guān)的標準，對其進行深入分析并剖析其中包含的關(guān)系，建立了具有自己特色的安全漏洞數(shù)據(jù)共享和服務社區(qū)平臺，社區(qū)不僅能為信息安全領(lǐng)域的發(fā)展做貢獻，同時也是安全研究人員的信息匯集和分享平臺，在社區(qū)中可以快速地查詢相關(guān)的安全漏洞信息，獲取詳細的資料和部分利用代碼。

SCAP中文在國內(nèi)擁有較大的影響力，它用中文對SCAP標準進行了詳細的介紹，給出了CCE、CWE、OVAL中文庫、Android專用漏洞庫，并按照Android系統(tǒng)的結(jié)構(gòu)層次對漏洞重新進行了分類的劃分。SCAP收集并整理包括NVD、OSVDB、Securityfocus、Packet-Storm、CNNVD在內(nèi)的漏洞庫信息。

（5）NSFocus

NSFocus由中聯(lián)綠盟信息技術(shù)（北京）有限公司開發(fā)并投入使用，是國內(nèi)民間企業(yè)成立最早的漏洞庫之一，至今共收錄漏洞信息3.6萬條。NSFocus基于大量的漏洞數(shù)據(jù)為用戶提供安全掃描和安全防護服務。

（6）Seebug

Seebug由知道創(chuàng)宇信息技術(shù)有限公司于2006年8月建立，漏洞信息通過人工整理發(fā)布。Seebug的漏洞數(shù)據(jù)權(quán)威，并且超過80%的漏洞提供了漏洞驗證代碼，方便安全研究人員對漏洞進行研究。

3 基于SCAP協(xié)議的漏洞庫質(zhì)量評價體系

美國提出基于漏洞庫系統(tǒng)的Security Content Automation Protocol（SCAP）當下比較完整和成熟的一套標準化的漏洞評估機制，其最大的特點是標準化、自動化的體系結(jié)構(gòu)。SCAP由美國國家標準與技術(shù)研究院 National Institute of Standards and Technology（NIST）提出設(shè)計，是NIST用來實現(xiàn)國家高層政策法規(guī)（如FISMA，ISO27000系列）等到底層實施的落地，SCAP還能將信息安全所涉及的所有方面內(nèi)容標準化（如統(tǒng)一漏洞的字段及威脅等級度量），也能將復雜的系統(tǒng)配置審查工作自動化。

SCAP 包 括 CVE、CVSS、OVAL、CPE、CCE、XCCDF共6個因素。這些標準元素不是新生成的，而是早于SCAP出現(xiàn)并被使用的協(xié)議，它們在各自本身的領(lǐng)域發(fā)揮著重要作用，例如CVE、CVSS這些常見的標準。SCAP的出現(xiàn)是對它們的整合，而標準化成為SCAP相比于過去最大的優(yōu)勢。SCAP為其在安全領(lǐng)域的應用提供了解決方案，包括數(shù)據(jù)標準的輸入格式、標準的處理方法和數(shù)據(jù)標準的輸出格式，這對在安全領(lǐng)域應用中實現(xiàn)數(shù)據(jù)交換有重要的意義。

3.1 基于SCAP的漏洞庫評價體系

國內(nèi)外安全漏洞庫數(shù)量繁多，在構(gòu)建完整的漏洞庫評價體系前需要對主流漏洞庫的數(shù)據(jù)規(guī)模和基本情況進行匯總，本文對目前在線的主流漏洞庫進行了梳理總結(jié)。

表5列出了國內(nèi)外主流的15個漏洞庫，給出了漏洞庫國家、語言、漏洞數(shù)量、有CVE編號、CVSS和CWE值的漏洞所占比例等信息，可以看出NVD作為美國官方權(quán)威的漏洞庫，其中的漏洞100%含有CVE編號的信息；漏洞數(shù)量最多的是已經(jīng)停止運營的OSVDB；只有少數(shù)漏洞庫包含漏洞POC；國內(nèi)大部分漏洞庫仍然依賴包含CVE編號的漏洞數(shù)據(jù)；每個漏洞庫的漏洞數(shù)量、字段情況都不盡相同。

本文通過對國內(nèi)外主流漏洞庫的機構(gòu)設(shè)置、數(shù)據(jù)特點、運營模式等進行分析，并參考漏洞數(shù)據(jù)的CVE編號、CVSS和CWE覆蓋率，分別從漏洞數(shù)據(jù)的規(guī)模、數(shù)據(jù)的獨立性、數(shù)據(jù)的標準化程度和數(shù)據(jù)的完整性4個方面對主流漏洞庫進行數(shù)據(jù)分析；通過橫向?qū)Ρ劝盐瞻踩┒磶煅芯款I(lǐng)域的最新進展和實踐成果，鞏固和更新漏洞庫評價體系，為安全研究人員快速、全面和準確地評價安全漏洞庫提供了理論依據(jù)，也可以幫助漏洞管理機構(gòu)更好地維護和升級漏洞庫系統(tǒng)，推動漏洞庫領(lǐng)域的發(fā)展。

通過數(shù)據(jù)橫向?qū)Ρ?，每個漏洞庫在漏洞數(shù)據(jù)的規(guī)模、數(shù)據(jù)獨立性、數(shù)據(jù)的標準化程度和數(shù)據(jù)完整性4個方面分別獲得一個評價等級，一級為最優(yōu)記3分、二級次之記2分、三級最后記1分。分數(shù)和大于等于9的漏洞庫評定為優(yōu)秀，分數(shù)范圍從8～5的漏洞庫評定為良好，分數(shù)小于5的漏洞庫評定為一般。該漏洞庫評價體系的優(yōu)勢在于不設(shè)置固定參考值，避免漏洞庫的評價體系隨著該領(lǐng)域的研究進展而失去準確性，通過主流漏洞庫的橫向數(shù)據(jù)對比可以科學地對漏洞庫的每個評價標準進行質(zhì)量判定，在整體上提高漏洞庫質(zhì)量評估的準確性。

表5 部分漏洞庫數(shù)據(jù)統(tǒng)計

3.2 漏洞數(shù)據(jù)規(guī)模

漏洞庫的漏洞數(shù)據(jù)規(guī)模能在很大程度上體現(xiàn)一個漏洞庫的規(guī)模和數(shù)據(jù)的全面性，圖2給出了國內(nèi)外主流漏洞庫的漏洞數(shù)量，其中NVD、SecurityFocus、OSVDB、X-Force、Secunia、CNVD、CNNVD、NIPC、SCAP中文、Seebug的漏洞數(shù)據(jù)量均超過5萬，數(shù)據(jù)規(guī)模較大，OSVDB的漏洞數(shù)量最多。

參考正態(tài)分布的數(shù)據(jù)分布規(guī)律，將OSVDB、X-Force和CNNVD的數(shù)據(jù)規(guī)模質(zhì)量評定為一級，將CXSecurity、NSFocus和Wooyun評定為三級，其余評定為二級。

圖2 主流漏洞庫的漏洞數(shù)量統(tǒng)計

3.3 漏洞數(shù)據(jù)獨立性

漏洞庫的數(shù)據(jù)獨立性代表著一個漏洞庫的生存能力。目前，漏洞庫之間相互引用數(shù)據(jù)已經(jīng)成為普遍現(xiàn)象，獨立性越好的漏洞庫引用其他漏洞庫的數(shù)據(jù)量越小，通過自己的途徑獲得的漏洞數(shù)據(jù)量越大。如圖3所示，通過參考SCAP協(xié)議中的CVE編號在漏洞庫中的覆蓋率，可以發(fā)現(xiàn)PacketStorm、Seebug和Wooyun的數(shù)據(jù)獨立性較好，而SCAP中文的數(shù)據(jù)獨立性較差，數(shù)據(jù)全部引用于其他漏洞庫。

圖3 主流漏洞庫引用CVE比例統(tǒng)計

參考正態(tài)分布的數(shù)據(jù)分布規(guī)律，將PacketStorm、Seebug和Wooyun的數(shù)據(jù)獨立性質(zhì)量評定為一級，將SCAP中文、NIPC和NVD評定為三級，其余評定為二級。

3.4 漏洞數(shù)據(jù)完整性

一個漏洞庫擁有越多的有效字段，說明可以給出更全面的漏洞信息。常見的字段有漏洞名稱、CVE編號、發(fā)布時間、更新時間、危害等級、分類、受影響廠商、參考鏈接等。

如圖4所示，大部分主流漏洞庫的字段數(shù)量均為10個，其中 NVD、SecurityFocus、OSVDB、X-Force、CXSecurity、Secunia、CNVD、NIPC、SCAP 中 文 、NSFocus的字段數(shù)較多，對漏洞描述較為詳細。EDB、PacketStorm和Sebug雖然包含字段數(shù)量較少，但是通過給出POC來增強對漏洞的描述能力，增加用戶使用場景。

一個漏洞庫如果包含漏洞驗證代碼POC，可以為安全研究人員提供很大便利，提高工作效率。擁有POC的漏洞庫可以吸引更多的信息安全從業(yè)者訪問漏洞庫，為漏洞庫帶來更大的流量和活力，讓更多的人為漏洞庫提交相關(guān)代碼，形成良好的生態(tài)圈，建立一個開源共享的健康網(wǎng)絡環(huán)境。是否含有POC是評價一個漏洞庫是否具有較大影響力的重要標準。目前，僅有 Security-Focus、EDB、CXSecurity、PacketStorm 和Sebug漏洞庫包含POC。

此外，通過對主流漏洞庫的內(nèi)容頁進行對比發(fā)現(xiàn)，如今運營中的主流漏洞庫中大部分漏洞庫對數(shù)據(jù)轉(zhuǎn)載沒有任何限制說明，小部分漏洞庫對其數(shù)據(jù)的版權(quán)進行申明。

綠盟科技的NSFocus在版權(quán)說明中明確其數(shù)據(jù)不可轉(zhuǎn)載，并在每條漏洞詳情中都會在最后注明“本安全漏洞由綠盟科技翻譯整理，版權(quán)所有，未經(jīng)許可，不得轉(zhuǎn)載”的警告信息。

目前，國內(nèi)外漏洞庫之間相互引用數(shù)據(jù)已經(jīng)成為普遍現(xiàn)象，國外大部分漏洞庫并未對漏洞的版權(quán)進行特別申明，在后面的章節(jié)中將對主流漏洞庫中引用數(shù)據(jù)的具體比例進行分析。表6給出了我國國內(nèi)主流安全漏洞庫對版權(quán)申明的方式。

通過對比漏洞字段數(shù)量、是否包含POC代碼字段和是否有版權(quán)聲明等因素，將NVD、SecurityFocus、OSVDB、X-Force、CXSecurity、Secunia、CNVD、NIPC、SCAP中文、NSFocus的數(shù)據(jù)完整性質(zhì)量評定為一級，將EDB、PacketStorm和Sebug評定為二級。

3.5 漏洞數(shù)據(jù)標準化程度

圖4 主流漏洞庫設(shè)置字段數(shù)量統(tǒng)計

表6 國內(nèi)主流安全漏洞庫版權(quán)申明方式

漏洞庫的數(shù)據(jù)標準化程度可以很好地反應漏洞庫數(shù)據(jù)結(jié)構(gòu)設(shè)計的科學合理性，擁有較高標準化程度的漏洞庫往往遵照國際相關(guān)標準進行數(shù)據(jù)庫設(shè)計，統(tǒng)一合理的數(shù)據(jù)結(jié)構(gòu)便于不同漏洞庫之間的數(shù)據(jù)融合，減少數(shù)據(jù)庫之間的數(shù)據(jù)異構(gòu)，有利于推動數(shù)據(jù)庫的標準化建設(shè)。如表7所示，NVD、CNNVD、NIPC和SCAP中文的相關(guān)協(xié)議覆蓋率均大于90%，數(shù)據(jù)標準化程度較高。

參考正態(tài)分布的數(shù)據(jù)分布規(guī)律，將NVD、CNNVD和SCAP中文的數(shù)據(jù)標準化程度評定為一級，將PacketStorm、Seebug和Wooyun評定為三級，其余評定為二級。

4 結(jié)束語

隨著信息技術(shù)的快速發(fā)展和網(wǎng)絡時代的到來，信息網(wǎng)絡安全問題越來越成為人們關(guān)注的焦點。在計算機信息安全問題研究領(lǐng)域中，對安全漏洞的研究占據(jù)最基礎(chǔ)和首要的地位，漏洞庫的建設(shè)在安全領(lǐng)域有非常重要的使用價值?，F(xiàn)有的主流漏洞庫數(shù)量繁多，質(zhì)量參差不齊，使用者在查閱漏洞信息時無法對漏洞庫的質(zhì)量和所收錄漏洞的準確性進行評判，這就需要一套科學的漏洞庫評價體系長期對現(xiàn)有漏洞庫進行跟蹤評價，形成漏洞庫質(zhì)量體系規(guī)范。本文對現(xiàn)有的國內(nèi)外主流漏洞庫進行了特點梳理和數(shù)據(jù)分析，系統(tǒng)地闡述了各漏洞庫的現(xiàn)狀和特點，并提出基于SCAP協(xié)議的漏洞庫評價體系，分別從漏洞數(shù)據(jù)的規(guī)模、數(shù)據(jù)的獨立性、數(shù)據(jù)的標準化程度和數(shù)據(jù)的完整性4個方面對漏洞庫進行評價，漏洞庫在這4個方面的得分相加可以反映其綜合質(zhì)量水平。通過對主流漏洞庫大量漏洞數(shù)據(jù)的分析和對比，可以幫助漏洞庫建設(shè)者和使用者對現(xiàn)有漏洞庫進行科學全面的認識，有助于漏洞庫的完善和科學使用。

表7 主流漏洞庫SCAP相關(guān)協(xié)議覆蓋率

[1]吳舒平,張玉清.漏洞庫發(fā)展現(xiàn)狀的研究及啟示[J].計算機安全,2010(11):82-84.

[2]歐鑫鳳,胡銘曾,張濤,等.弱點數(shù)據(jù)庫的建構(gòu)及其應用研究[J].計算機應用研究,2007,24(3):213-214.

[3]Wang J A,Guo M,Wang H,et al.Ontology-based security assessment for software products[J].2009.

[4]張玉清,吳舒平,劉奇旭,等.國家安全漏洞庫的設(shè)計與實現(xiàn)[J].通信學報,2011,32(6):93-100.

[5]楊剛,溫濤,張玉清.Android漏洞庫的設(shè)計與實現(xiàn)[J].信息網(wǎng)絡安全,2015(9):240-244.