论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 3 篇帖子 ] 
作者 内容
 文章标题 : 安全缺陷标准评估系统问世 微软态度较冷淡,如何降低缺陷?
帖子发表于 : 2005-09-20 14:35 
离线
版主

注册: 2005-05-07 16:00
最近: 2014-04-13 21:00
拥有: 6,533.10 安全币

奖励: 12680 安全币
在线: 17958 点
帖子: 1850
地址: 广州
文章来源: CNET科技资讯网 2005-09-20

   “通用缺陷评估系统”(CVSS)计划呼吁一种评估软件中缺陷的统一方法,取代许多高科技厂商和安全厂商的专有方法。FIRST 的主席迈克说,我们希望解决这方面存在的混乱,最终目标是制订一个有助于用户对缺陷做出恰当反应的系统。

  FIRST 计划于当地时间下周一公布推动CVSS大规模普及的一项计划。支持者表示,在一年半前投入使用后,该评估系统的应用正在日益广泛。上周五,它的设计者之一吉哈德说,CVSS的部署应当进入到新的阶段了,将获得更多厂商的支持。

  CVSS不使用目前的严重等级用语,例如我们熟悉的微软夺安全公告中使用的“危急”、“重要”等。利用1-10之间的数字,通过添加与它们的IT系统相关的信息,CVSS使机构能够计算对它们环境的特定危险。这有助于帮助它决定补丁软件的优先程度。

  除了能够让机构增添它们自己的环境因素外,CVSS还考虑到了是否有攻击代码和补丁软件等因素,这些因素会影响缺陷的危险性。当前的评级系统通常只局限于缺陷的某些方面━━例如,黑客是否能够远程地攻击系统、缺陷能否被轻易地利用。

  迈克表示,如果CVSS得到普及,企业风险经理或安全代表能够利用该系统决定哪个缺陷需要首先修正。它能够使机构对多个厂商的多种平台中的缺陷进行比较,并利用统一的标准评估危险性。

  迈克说,FIRST 正在呼吁软件产业在它们的安全公告中包括CVSS评级。它使所有厂商都站在了同一平台上,思科已经在其MySDN 安全网站上提供CVSS评级,但没有在它的安全公告中提供CVSS评级。

  包括赛门铁克、互联网安全系统、Qualys在内的数家安全厂商都支持CVSS,将在它们的产品中采用该标准。

  赛门铁克安全响应团队的高级主管文森特说,我们强烈支持在该领域采取开放标准。在此之前,每个厂商在缺陷评级方面都有它们各自的标准,给企业在决定优先部署哪个补丁软件带来了困难。

  微软安全响应中心的主任凯文在一份声明中说,微软仍然坚持使用它自己的评级系统。

  凯文说,我们意识到,安全业界的一些厂商和安全组织使用多种不同的安全评级系统,我们的客户向我们表示,我们在2002年部署的缺陷评级系统有助于帮助它们评估安全等级,利用我们提供的资源帮助它们保护系统的安全。凯文表示,如果客户有要求,我们将采用CVSS。

  市场调研厂商加特纳的副总裁约翰表示,由于微软的冷淡,CVSS的广泛普及还需要一段时间。他说,微软是台式机PC缺陷的最大来源,如果它不采用CVSS,其它厂商也不会积极采用。

  约翰指出,尽管CVSS确实有优点,它在帮助IT经理决定哪些补丁软件具有优先性方面的作用被高估了。

  他说,什么评级系统都做不到这一点,但有一种被大多数厂商都采用的标准评级系统对于IT产业而言是一件好事。如果用户意识到了新评级系统的价值,可以向软件厂商施加压力,要求它们采用它。

  他表示,如果包括思科在内的一些大软件厂商开始使用CVSS,到2007年,微软就会听到客户要求它采用CVSS的请求。


回到顶部
  用户资料  
 
 文章标题 : 计算机安全缺陷评估体系筹建中
帖子发表于 : 2005-09-20 14:44 
离线
版主

注册: 2005-05-07 16:00
最近: 2014-04-13 21:00
拥有: 6,533.10 安全币

奖励: 12680 安全币
在线: 17958 点
帖子: 1850
地址: 广州
计算机安全缺陷评估体系筹建中
包括思科、微软、赛门铁克在内的厂商正在推广一种评估系统,实现对软件缺陷评估的标准化。这一评估系统旨在创建一个发布安全缺陷信息的全球框架,定名为“通用缺陷评估系统(CVSS)”。CVSS将利用标准的数学方程,根据缺陷是否能够被远程利用、在利用缺陷前黑客是否必须登陆系统等基本资料计算缺陷的严重程度。该体系一旦得到广泛普及,CVSS将向IT系统管理员和厂商提供评估软件缺陷,决定在大规模网络上安装补丁软件优先顺序的简易方法。


回到顶部
  用户资料  
 
 文章标题 : 怎么没有人关注系统漏洞呢?
帖子发表于 : 2005-09-21 21:06 
离线
版主

注册: 2005-05-07 16:00
最近: 2014-04-13 21:00
拥有: 6,533.10 安全币

奖励: 12680 安全币
在线: 17958 点
帖子: 1850
地址: 广州
怎么没有人关注系统漏洞呢?首先漏洞管理是信息安全中非常重要的环节,漏洞机理分析更是技术精华!扫描器和入侵检测IDS,都离不开它呀!
如果系统没有漏洞,怎么入侵?


回到顶部
  用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 3 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012