網(wǎng)絡(luò)安全漏洞(以下簡(jiǎn)稱(chēng)“漏洞”)作為信息通信網(wǎng)絡(luò)中在硬件,、軟件,、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷,隨著經(jīng)濟(jì)社會(huì)信息化,、網(wǎng)絡(luò)化,、數(shù)字化和智能化程度的加深,對(duì)國(guó)家網(wǎng)絡(luò)安全的影響也日益加劇,。世界各主要國(guó)家和組織為了切實(shí)提升國(guó)家網(wǎng)絡(luò)安全防護(hù)能力,,圍繞漏洞的研究、收集和利用,,紛紛建立國(guó)家級(jí)漏洞通報(bào)平臺(tái)或漏洞數(shù)據(jù)庫(kù),。
日本于2003年開(kāi)始建設(shè)“日本漏洞通報(bào)”(JVN)平臺(tái);美國(guó)于 2005 年開(kāi)始建設(shè)“國(guó)家漏洞數(shù)據(jù)庫(kù)”(NVD),;歐盟于2008 年啟動(dòng)了以“信息安全漏洞庫(kù)服務(wù)”(SVRS)為核心的“歐洲盾牌計(jì)劃”,;我國(guó)于 2009 年開(kāi)始建設(shè)“中國(guó)國(guó)家信息安全漏洞庫(kù)”(CNNVD)。以建立國(guó)家層面漏洞數(shù)據(jù)庫(kù)為主要標(biāo)志,,各國(guó)的網(wǎng)絡(luò)安全漏洞管理體系也逐漸完善和成熟,。
相比較其他各國(guó),俄羅斯于 2015 年才建立了國(guó)家層面的漏洞數(shù)據(jù)庫(kù):即信息安全威脅數(shù)據(jù)庫(kù),。盡管俄羅斯國(guó)家漏洞數(shù)據(jù)庫(kù)發(fā)展時(shí)間較短,,但圍繞信息安全威脅數(shù)據(jù)庫(kù)建設(shè)構(gòu)建起的網(wǎng)絡(luò)安全漏洞管理體系已經(jīng)初具規(guī)模。研究俄羅斯網(wǎng)絡(luò)安全漏洞管理體系建設(shè),,對(duì)于進(jìn)一步提升我國(guó)信息安全漏洞管理能力和水平具有重要借鑒意義,。
一、俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的法律基礎(chǔ)
俄羅斯目前在網(wǎng)絡(luò)安全漏洞管理領(lǐng)域已經(jīng)建立起包括總統(tǒng)令、政府法令,、部門(mén)法規(guī)和部門(mén)指導(dǎo)文件在內(nèi)的一整套法規(guī)文件,,這為網(wǎng)絡(luò)安全漏洞管理體系的建設(shè)發(fā)展奠定了法律基礎(chǔ)。
總統(tǒng)令:《聯(lián)邦技術(shù)與出口監(jiān)督局問(wèn)題總統(tǒng)令》,。該總統(tǒng)令賦予聯(lián)邦技術(shù)與出口監(jiān)督局“查驗(yàn)國(guó)家信息系統(tǒng)中包含的信息安全威脅”,,“建立國(guó)家信息安全威脅數(shù)據(jù)庫(kù),并確定相關(guān)聯(lián)邦權(quán)力機(jī)關(guān)和聯(lián)邦主體權(quán)力機(jī)關(guān)對(duì)信息安全威脅數(shù)據(jù)庫(kù)的使用程序及方法”,。
政府法令:《個(gè)人信息系統(tǒng)數(shù)據(jù)處理保護(hù)要求政府令》,。該法令主要明確了個(gè)人信息系統(tǒng)信息安全威脅的等級(jí)標(biāo)準(zhǔn)、判定依據(jù)和相應(yīng)的信息安全技術(shù)與組織防護(hù)措施,,以及聯(lián)邦技術(shù)與出口監(jiān)督局在其中的職責(zé),。
聯(lián)邦技術(shù)與出口監(jiān)督局頒布的部門(mén)法規(guī)。主要包括《非涉密?chē)?guó)家信息系統(tǒng)信息保護(hù)章程》《個(gè)人信息系統(tǒng)數(shù)據(jù)處理安全保障組織與技術(shù)措施章程》《關(guān)鍵信息基礎(chǔ)設(shè)施生產(chǎn)與技術(shù)流程自動(dòng)化管理系統(tǒng)信息保護(hù)章程》《信息安全威脅數(shù)據(jù)庫(kù)條例》《軟件與硬件漏洞信息列入信息安全威脅數(shù)據(jù)庫(kù)章程》等,。這些部門(mén)法規(guī)主要明確了國(guó)家信息系統(tǒng),、個(gè)人信息系統(tǒng)及關(guān)鍵信息基礎(chǔ)設(shè)施中漏洞的發(fā)現(xiàn)及相應(yīng)安全防護(hù)措施等,以及漏洞數(shù)據(jù)庫(kù)的建設(shè),、運(yùn)營(yíng)及維護(hù)等,。
聯(lián)邦技術(shù)與出口監(jiān)督局頒布的部門(mén)指導(dǎo)文件。主要包括《國(guó)家信息系統(tǒng)信息保護(hù)措施》《信息安全威脅數(shù)據(jù)庫(kù)信息通報(bào)》《信息安全威脅評(píng)估方法》等,。這些文件主要是對(duì)聯(lián)邦技術(shù)與出口監(jiān)督局頒布的一些部門(mén)法規(guī)的補(bǔ)充或說(shuō)明,,其本身雖然不具有法律強(qiáng)制性,但在網(wǎng)絡(luò)安全漏洞管理體系中具有方法論上的指導(dǎo)意義,。
二,、俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的組織架構(gòu)
俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的組織架構(gòu)主要包括聯(lián)邦技術(shù)與出口監(jiān)督局、聯(lián)邦技術(shù)控制與計(jì)量署,、國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所,、Linux 系統(tǒng)安全研究中心、信息安全威脅數(shù)據(jù)庫(kù)企業(yè)協(xié)會(huì)等,。
聯(lián)邦技術(shù)與出口監(jiān)督局,。該局是網(wǎng)絡(luò)安全漏洞管理體系組織架構(gòu)中的領(lǐng)導(dǎo)管理機(jī)構(gòu),負(fù)責(zé)網(wǎng)絡(luò)安全漏洞管理的全面工作,,如起草制定國(guó)家漏洞管理政策,、領(lǐng)導(dǎo)國(guó)家層面的漏洞研究、收集和利用工作等,。
聯(lián)邦技術(shù)控制與計(jì)量署,。該署在網(wǎng)絡(luò)安全漏洞管理體系組織架構(gòu)中負(fù)責(zé)漏洞管理的標(biāo)準(zhǔn)化工作,如制定涉及漏洞管理的國(guó)家標(biāo)準(zhǔn),。
國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所,。該研究所為聯(lián)邦技術(shù)與出口監(jiān)督局的下屬機(jī)構(gòu),在網(wǎng)絡(luò)安全漏洞管理體系組織架構(gòu)中負(fù)責(zé)具體業(yè)務(wù)管理。它在網(wǎng)絡(luò)安全漏洞管理體系組織架構(gòu)中的主要職責(zé)是起草國(guó)家漏洞管理政策,、評(píng)估國(guó)家漏洞威脅狀況,、領(lǐng)導(dǎo)漏洞研究和收集活動(dòng)、組織關(guān)鍵信息基礎(chǔ)設(shè)施漏洞防護(hù)活動(dòng),、運(yùn)營(yíng)維護(hù)信息安全威脅數(shù)據(jù)庫(kù),、制定漏洞掃描工具技術(shù)標(biāo)準(zhǔn)、對(duì)國(guó)內(nèi)漏洞掃描工具進(jìn)行鑒定和認(rèn)證等,。
Linux 安全研究中心,。該研究中心由聯(lián)邦技術(shù)與出口監(jiān)督局與俄羅斯科學(xué)院系統(tǒng)編程研究所于2021 年 3 月開(kāi)始合作創(chuàng)建。它是網(wǎng)絡(luò)安全漏洞管理體系組織架構(gòu)中負(fù)責(zé)領(lǐng)導(dǎo) Linux 漏洞研究的關(guān)鍵機(jī)構(gòu),。俄羅斯基于 Windows 系統(tǒng)漏洞頻發(fā)嚴(yán)重威脅國(guó)家網(wǎng)絡(luò)安全狀況的考慮,,自 2010 年開(kāi)始研究基于開(kāi)源的 Linux 內(nèi)核的國(guó)產(chǎn)操作系統(tǒng),到 2018 年,,國(guó)產(chǎn)操作系統(tǒng) Astra Linux 系統(tǒng)問(wèn)世并且逐步在軍方、國(guó)家機(jī)關(guān),、能源企業(yè)等開(kāi)始推廣應(yīng)用,。為了確保 Astra Linux 系統(tǒng)的安全,聯(lián)邦技術(shù)與出口監(jiān)督局撥款 3 億盧布用于創(chuàng)建 Linux 安全研究中心,。該中心的主要任務(wù)是分析 Linux 內(nèi)核源代碼,、評(píng)估 Linux安全風(fēng)險(xiǎn)、挖掘并修復(fù)基于 Linux 內(nèi)核的操作系統(tǒng)的漏洞,、測(cè)試 Astra Linux 系統(tǒng)安全并開(kāi)發(fā)相應(yīng)安全防護(hù)措施等,。
信息安全威脅數(shù)據(jù)庫(kù)企業(yè)協(xié)會(huì)。該協(xié)會(huì)由俄羅斯國(guó)內(nèi)七家從事漏洞研究的機(jī)構(gòu)和企業(yè)組成,,其中包括俄羅斯科學(xué)院系統(tǒng)編程研究所,、俄羅斯基礎(chǔ)信息技術(shù)公司、遠(yuǎn)景監(jiān)測(cè)公司,、梯隊(duì)公司,、信息保護(hù)平臺(tái)公司、積極技術(shù)公司以及阿盧什塔軟件公司等,。它在俄羅斯網(wǎng)絡(luò)安全漏洞管理體系組織架構(gòu)中主要負(fù)責(zé)參與起草國(guó)家漏洞管理政策,,參與制定漏洞掃描工具技術(shù)標(biāo)準(zhǔn),為信息安全威脅數(shù)據(jù)庫(kù)運(yùn)營(yíng)維護(hù)提供技術(shù)支撐,,研制并推廣漏洞掃描工具等,。
三、俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的信息平臺(tái)
俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的信息平臺(tái)是指由聯(lián)邦技術(shù)與出口監(jiān)督局主管,、國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所負(fù)責(zé)運(yùn)營(yíng)維護(hù)的信息安全威脅數(shù)據(jù)庫(kù)網(wǎng)站(bdu.fstec.ru),。該網(wǎng)站自 2015 年 3 月運(yùn)營(yíng)以來(lái),在俄羅斯關(guān)鍵信息基礎(chǔ)設(shè)施漏洞安全防護(hù)領(lǐng)域發(fā)揮了重要作用。
信息平臺(tái)的主要數(shù)據(jù)庫(kù),。(1)漏洞數(shù)據(jù)庫(kù),。漏洞數(shù)據(jù)庫(kù)作為該信息平臺(tái)的核心數(shù)據(jù)庫(kù),目前已經(jīng)收錄漏洞信息 35248 條(截至 2021 年 10 月 13 日),。相比較其他官方漏洞數(shù)據(jù)庫(kù),,它具有以下幾個(gè)特點(diǎn):首先是漏洞信息描述更全面。在其他官方漏洞數(shù)據(jù)庫(kù)描述漏洞名稱(chēng),、編碼,、軟件名稱(chēng)、漏洞類(lèi)型,、危害等級(jí),、威脅類(lèi)型、發(fā)布時(shí)間,、來(lái)源,、補(bǔ)丁措施等信息之外,俄羅斯漏洞數(shù)據(jù)庫(kù)還描述了漏洞威脅CVSS 評(píng)分,、漏洞涉及的軟件的版本以及該軟件涉及的操作系統(tǒng)和硬件平臺(tái),、漏洞利用方式等信息。其次是是漏洞查詢(xún)方式更多樣,。相比較其他官方漏洞數(shù)據(jù)庫(kù)在提供漏洞查詢(xún)時(shí),,一般僅按照漏洞名稱(chēng)、漏洞編碼,、漏洞類(lèi)型,、發(fā)布時(shí)間、軟件廠商幾種方式查詢(xún),,俄羅斯漏洞數(shù)據(jù)庫(kù)還提供了諸如按照操作系統(tǒng),、漏洞狀況、漏洞威脅等級(jí),、漏洞利用方式,、軟件版本或硬件平臺(tái)等方式進(jìn)行查詢(xún),這就使得使用者能更加方便快捷地查詢(xún)到需要的信息,。最后是漏洞信息提取更多樣,。相比較其他官方漏洞數(shù)據(jù)庫(kù)為使用者提供漏洞信息時(shí)一般采取網(wǎng)頁(yè)信息和 XML數(shù)據(jù)文件兩種方式外,俄羅斯漏洞數(shù)據(jù)庫(kù)還提供了XLSX 文件,,這就更加方便了使用者提取漏洞信息,。(2)信息安全威脅數(shù)據(jù)庫(kù)。該數(shù)據(jù)庫(kù)主要收集,、提供非軟件及硬件漏洞的網(wǎng)絡(luò)安全威脅,,在描述威脅時(shí)主要提供威脅編碼,、威脅名稱(chēng)、威脅簡(jiǎn)介,、威脅來(lái)源,、威脅作用的目標(biāo)以及威脅實(shí)現(xiàn)的后果等方面的信息。目前,,該數(shù)據(jù)庫(kù)已收錄信息安全威脅222 條(截至 2021 年 10 月 13 日),。(3)漏洞術(shù)語(yǔ)庫(kù)。為了更好地規(guī)范漏洞管理工作,,形成對(duì)漏洞管理的統(tǒng)一認(rèn)知,,該信息平臺(tái)還建設(shè)了漏洞術(shù)語(yǔ)庫(kù)。該術(shù)語(yǔ)庫(kù)對(duì)漏洞及相關(guān)概念如“零日”漏洞,、未公開(kāi)漏洞,、軟件漏洞、漏洞威脅等級(jí)等術(shù)語(yǔ),,依據(jù)國(guó)際技術(shù)標(biāo)準(zhǔn),、國(guó)家技術(shù)標(biāo)準(zhǔn)和相關(guān)國(guó)內(nèi)法規(guī)等規(guī)范性文件進(jìn)行了定義。目前,,該術(shù)語(yǔ)庫(kù)已收錄術(shù)語(yǔ) 66條(截至 2021 年 10 月 13 日),。
信息平臺(tái)的主要功能。(1)漏洞信息收集,。該信息平臺(tái)收集的漏洞信息主要有兩類(lèi)來(lái)源渠道:一類(lèi)是來(lái)自漏洞管理體系內(nèi)部的漏洞信息,,主要包括來(lái)自國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所,、Linux安全研究中心,、信息安全威脅數(shù)據(jù)庫(kù)企業(yè)協(xié)會(huì)等機(jī)構(gòu)或企業(yè)。另一類(lèi)是來(lái)自漏洞管理體系外部的漏洞信息,,主要是來(lái)自軟件生產(chǎn)商以及其他大量俄羅斯漏洞研究人員,、企業(yè)。為了吸引俄羅斯漏洞研究人員和企業(yè)參與漏洞信息研究,,共同提高俄羅斯網(wǎng)絡(luò)安全防御能力,,聯(lián)邦技術(shù)與出口監(jiān)督局在該信息平臺(tái)設(shè)置了“漏洞信息提交通報(bào)平臺(tái)”和“漏洞研究排行榜”。為了彰顯“漏洞研究排行榜”的公平,、公正,,進(jìn)一步激發(fā)漏洞研究人員、企業(yè)的開(kāi)展漏洞研究的積極性,,聯(lián)邦技術(shù)與出口監(jiān)督局還制定了《向威脅數(shù)據(jù)庫(kù)提供漏洞信息研究者排名規(guī)定》,。(2)漏洞信息統(tǒng)計(jì)。該信息平臺(tái)的漏洞信息統(tǒng)計(jì)主要采用兩種類(lèi)型:一種是常見(jiàn)的通過(guò)對(duì)漏洞信息進(jìn)行數(shù)字編碼來(lái)統(tǒng)計(jì),。其漏洞信息數(shù)字編碼格式為“BDU-XXXX-XXXXX”,,其中 BDU為漏洞數(shù)據(jù)庫(kù)簡(jiǎn)寫(xiě),,第一組“XXXX”是漏洞信息收錄到漏洞數(shù)據(jù)庫(kù)的公歷年份,第二組“XXXXX”是漏洞信息在該公歷年份收錄到漏洞數(shù)據(jù)庫(kù)中的序號(hào),。另一種是按照不同規(guī)則通過(guò)統(tǒng)計(jì)圖表對(duì)漏洞信息進(jìn)行統(tǒng)計(jì) , 如按照軟件類(lèi)別的漏洞分布圖,、按照威脅等級(jí)的漏洞分布圖等。(3)漏洞威脅評(píng)估,。該信息平臺(tái)目前提供了“通用漏洞評(píng)分系統(tǒng)”(CVSS)的 V2,、V3 及 V3.1 三個(gè)版本,平臺(tái)用戶(hù)可以根據(jù)自己的需求自主選擇不同版本,,對(duì)已發(fā)現(xiàn)的漏洞進(jìn)行自助式的評(píng)估,,從而更快確定漏洞的威脅程度以及所需應(yīng)對(duì)措施的緊急程度和重要程度。(4)漏洞信息通報(bào),。該信息平臺(tái)的漏洞信息通報(bào)目前主要采取三種方式:即通過(guò)網(wǎng)站發(fā)布新聞信息的形式,、通過(guò)推特(Twitter)發(fā)布推文的形式以及基于 RSS 和 Atom標(biāo)準(zhǔn)的訂閱發(fā)布系統(tǒng)。相比較前兩種傳統(tǒng)漏洞信息通報(bào)形式,,基于 RSS 和 Atom 標(biāo)準(zhǔn)的訂閱發(fā)布系統(tǒng)對(duì)于信息平臺(tái)和平臺(tái)用戶(hù)來(lái)說(shuō),,漏洞信息服務(wù)更加精準(zhǔn)、漏洞信息更新更加及時(shí),、漏洞信息利用更加高效,。
信息平臺(tái)的漏洞管理工作流程。信息平臺(tái)的漏洞管理工作流程主要包括三個(gè)階段:(1)漏洞獲取階段,。按照規(guī)定,,信息平臺(tái)獲取漏洞信息的方式主要是采取專(zhuān)用電子郵箱加優(yōu)良保密協(xié)議(PrettyGood Privacy,PGP)加密的方式,。平臺(tái)各類(lèi)用戶(hù)所提交的漏洞信息應(yīng)采用標(biāo)準(zhǔn)格式,,主要包含漏洞名稱(chēng)及描述、漏洞發(fā)現(xiàn)時(shí)間,、漏洞適用的操作系統(tǒng)或硬件平臺(tái)類(lèi)型的名稱(chēng),、根據(jù) CVSS.V.3 評(píng)估的漏洞威脅等級(jí)及評(píng)分、漏洞驗(yàn)證資料(POC 代碼或視頻等),,提交人員或機(jī)構(gòu)聯(lián)系方式等信息,。(2)漏洞處置階段。信息平臺(tái)獲取來(lái)自軟件生產(chǎn)商或漏洞研究機(jī)構(gòu),、個(gè)人提交的漏洞信息后,,對(duì)漏洞信息的處置一般分為四個(gè)步驟:第一步是驗(yàn)證評(píng)估漏洞。信息平臺(tái)收到漏洞信息后應(yīng)在規(guī)定時(shí)間內(nèi)完成對(duì)漏洞的驗(yàn)證,、威脅等級(jí)評(píng)估,,并將其與信息平臺(tái)的漏洞數(shù)據(jù)庫(kù)進(jìn)行對(duì)比(若屬于漏洞數(shù)據(jù)庫(kù)已收錄漏洞信息,則將數(shù)據(jù)庫(kù)中的漏洞描述信息反饋給漏洞信息提供者),。第二步是對(duì)漏洞進(jìn)行臨時(shí)編碼,。若屬于漏洞數(shù)據(jù)庫(kù)未收錄漏洞,,信息平臺(tái)將該漏洞信息以“BDU-Z-XXXX-XXXXX”格式編碼,其中“Z”代表此編碼為臨時(shí)編碼,,然后將臨時(shí)編碼及相應(yīng)漏洞信息反饋給漏洞信息提供者,。第三步是開(kāi)發(fā)漏洞修復(fù)措施。漏洞信息提供者(一般為軟件生產(chǎn)商)收到漏洞臨時(shí)編碼信息后,,應(yīng)根據(jù)漏洞威脅等級(jí)不同在相應(yīng)規(guī)定時(shí)間內(nèi)開(kāi)發(fā)漏洞修復(fù)措施,。若漏洞信息提供者無(wú)法開(kāi)發(fā)漏洞修復(fù)措施,則信息平臺(tái)運(yùn)營(yíng)主體國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所將采取與漏洞信息提供者合作或獨(dú)立的方式完成漏洞修復(fù)措施開(kāi)發(fā),。第四步是正式編碼,。在完成漏洞修復(fù)措施開(kāi)發(fā)后,信息平臺(tái)對(duì)漏洞信息以“BDU-XXXX-XXXXX”格式進(jìn)行正式編碼,,并將其錄入漏洞數(shù)據(jù)庫(kù),,同時(shí)將漏洞正式編碼信息反饋給漏洞信息提供者。(3)漏洞發(fā)布階段,。按照規(guī)定,,漏洞發(fā)布采取在信息安全威脅數(shù)據(jù)庫(kù)中公布有正式編碼的漏洞描述信息的方式實(shí)現(xiàn),公布時(shí)限根據(jù)漏洞威脅等級(jí)不同而確定,。
四,、俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的國(guó)家標(biāo)準(zhǔn)
目前,俄羅斯已經(jīng)制訂并頒布的關(guān)于漏洞管理的國(guó)家標(biāo)準(zhǔn)主要有兩份文件,,《信息保護(hù) 信息系統(tǒng)漏洞 漏洞描述規(guī)范》( ГОСТ Р 56545-2015)和《信息保護(hù) 信息系統(tǒng)漏洞 信息系統(tǒng)漏洞分類(lèi)》( ГОСТ Р56546-2015),。
《漏洞描述規(guī)范》。該國(guó)家標(biāo)準(zhǔn)主要提供了漏洞描述的要素及內(nèi)容的一般要求,,適用于對(duì)已知漏洞,、“零日”漏洞等進(jìn)行描述,目的是促進(jìn)信息系統(tǒng)漏洞分析工作中對(duì)漏洞進(jìn)行準(zhǔn)確識(shí)別和深入分析,。從漏洞描述的要素來(lái)看,,該標(biāo)準(zhǔn)將漏洞描述信息分為四個(gè)層次的信息:為了精準(zhǔn)識(shí)別漏洞,,其描述信息應(yīng)當(dāng)包含漏洞標(biāo)識(shí)符,、漏洞名稱(chēng)、漏洞類(lèi)別和軟件名稱(chēng)及其版本等信息,;為了深入分析信息系統(tǒng)漏洞,,其描述信息應(yīng)當(dāng)包含缺陷類(lèi)型的標(biāo)識(shí)符、缺陷的類(lèi)型,、缺陷產(chǎn)生的地方,、發(fā)現(xiàn)漏洞的方法、消除漏洞的可能措施等信息,;為了充實(shí)漏洞的細(xì)節(jié)信息,,其描述信息應(yīng)當(dāng)包含操作系統(tǒng)名稱(chēng)及硬件平臺(tái)類(lèi)型,、軟件編程語(yǔ)言、漏洞威脅等級(jí),、其他漏洞數(shù)據(jù)庫(kù)漏洞描述標(biāo)識(shí),、漏洞發(fā)現(xiàn)時(shí)間、漏洞發(fā)現(xiàn)者等信息,;為了進(jìn)一步完善信息系統(tǒng)漏洞描述信息,,還應(yīng)當(dāng)包含軟件配置描述、漏洞利用所需權(quán)限描述,、漏洞利用可能導(dǎo)致的威脅描述,、漏洞消除措施公布的時(shí)間等信息。在明確了漏洞描述信息要素的基礎(chǔ)上,,該標(biāo)準(zhǔn)又進(jìn)一步規(guī)定了描述每個(gè)要素的規(guī)范表述,,并以舉例的形式作了詳細(xì)說(shuō)明。
《信息系統(tǒng)漏洞分類(lèi)》,。該國(guó)家標(biāo)準(zhǔn)主要提供了漏洞分類(lèi)的指標(biāo)和漏洞的具體分類(lèi)方式及類(lèi)別等內(nèi)容,,適用于在網(wǎng)絡(luò)安全工作中的漏洞分類(lèi)及危害評(píng)估。為了對(duì)漏洞進(jìn)行科學(xué)合理的分類(lèi),,該標(biāo)準(zhǔn)主要考慮了漏洞的三個(gè)方面標(biāo)準(zhǔn),,即漏洞來(lái)源的領(lǐng)域、信息系統(tǒng)缺陷的類(lèi)型和信息系統(tǒng)漏洞產(chǎn)生的地方等,。除此之外,,該標(biāo)準(zhǔn)還參考了漏洞在公開(kāi)漏洞數(shù)據(jù)庫(kù)中的搜索特征,如操作系統(tǒng)名稱(chēng)和硬件平臺(tái)類(lèi)型,、軟件名稱(chēng)及其版本,、漏洞威脅等級(jí)、編程語(yǔ)言類(lèi)型和用于軟件運(yùn)行的端口等,。按照來(lái)源領(lǐng)域劃分,,漏洞可以分為 5 種,即代碼漏洞,、設(shè)計(jì)漏洞,、結(jié)構(gòu)漏洞、組織漏洞和復(fù)合漏洞等,。按照信息系統(tǒng)缺陷類(lèi)型劃分,,漏洞可以劃分為 20 種,即軟件參數(shù)配置不當(dāng)缺陷,、數(shù)據(jù)錄入檢查不完全缺陷,、目錄讀取路徑缺陷、操作系統(tǒng)指令執(zhí)行能力缺陷,、執(zhí)行腳本缺陷,、編程語(yǔ)言執(zhí)行缺陷,、任意代碼注入缺陷、資源管理缺陷,、密碼重置缺陷等,。按照信息系統(tǒng)漏洞產(chǎn)生的地方劃分,漏洞可以劃分為 7 種,,即通用軟件漏洞,、應(yīng)用軟件漏洞、專(zhuān)用軟件漏洞,、技術(shù)設(shè)備漏洞,、便攜式技術(shù)設(shè)備漏洞、網(wǎng)絡(luò)(通信及電信)設(shè)備漏洞,、信息保護(hù)設(shè)備漏洞等,。
五、俄羅斯網(wǎng)絡(luò)安全漏洞管理體系的特點(diǎn)
管理貫穿漏洞生命周期,。圍繞漏洞生命周期進(jìn)行全流程管理是實(shí)施漏洞管理的關(guān)建,。國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所作為俄羅斯漏洞管理的業(yè)務(wù)主管部門(mén),基于信息安全威脅數(shù)據(jù)庫(kù)網(wǎng)站這一信息平臺(tái),,將督促核查貫穿于漏洞的全生命周期,。(1)在漏洞的發(fā)現(xiàn)階段,國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所主要通過(guò)兩種方式實(shí)施管理:一種是通過(guò)及時(shí)更新公布漏洞能力排行榜的方式引導(dǎo)各類(lèi)漏洞研究機(jī)構(gòu),、企業(yè)或個(gè)人開(kāi)展漏洞研究,;另一種是通過(guò)引導(dǎo)信息平臺(tái)用戶(hù)安裝部署各種版本的漏洞掃描器,直接接收漏洞報(bào)告,。(2)在漏洞接收階段,,國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所主要通過(guò)信息平臺(tái)接收來(lái)自不同漏洞提交者及漏洞掃描器提交的漏洞信息。(3)在漏洞驗(yàn)證階段,,國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所主要對(duì)漏洞提交信息中相應(yīng)的驗(yàn)證手段及方法進(jìn)行核查和再驗(yàn)證,,同時(shí)根據(jù)漏洞提交者身份的不同和漏洞屬于已發(fā)現(xiàn)還是新發(fā)現(xiàn)漏洞,在相應(yīng)規(guī)定時(shí)間內(nèi)給予不同反饋,。(4)在漏洞處置階段,,國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所首先是督促漏洞軟件生產(chǎn)商開(kāi)發(fā)漏洞消除措施,當(dāng)條件不具備時(shí)再以合作或獨(dú)立的方式開(kāi)發(fā)相應(yīng)的漏洞處置措施,,然后將漏洞消除措施反饋給漏洞軟件生產(chǎn)商,。(5)在漏洞發(fā)布階段,,當(dāng)漏洞信息被收錄到漏洞數(shù)據(jù)庫(kù)后,,國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所根據(jù)漏洞軟件生產(chǎn)商反饋的漏洞消除措施發(fā)布實(shí)施的情況,正式將漏洞信息在信息平臺(tái)公布,,以進(jìn)一步促進(jìn)漏洞的修復(fù),。
重視漏洞挖掘能力建設(shè),。在俄羅斯漏洞管理體系的發(fā)展進(jìn)程中,漏洞挖掘能力建設(shè)是其重中之重,,它直接決定漏洞管理體系能力,、水平的高低。俄羅斯漏洞管理體系重視漏洞挖掘能力主要體現(xiàn)在以下三個(gè)方面:(1)大力發(fā)展專(zhuān)業(yè)漏洞研究機(jī)構(gòu),。作為漏洞管理的業(yè)務(wù)部門(mén),,國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所不僅直接開(kāi)展漏洞研究,同時(shí)還以投資合作建設(shè)研究機(jī)構(gòu),、政策主導(dǎo)發(fā)展漏洞研究企業(yè)協(xié)會(huì),、發(fā)布排行榜引導(dǎo)相關(guān)企業(yè)競(jìng)相開(kāi)展漏洞研究等方式不斷擴(kuò)大專(zhuān)業(yè)漏洞研究機(jī)構(gòu)的數(shù)量。(2)主導(dǎo)推動(dòng)漏洞掃描工具的研制推廣,。俄羅斯將漏洞掃描工具視為快速提升漏洞挖掘能力的重要手段,,始終高度關(guān)注。按照《俄聯(lián)邦技術(shù)與出口監(jiān)督局條例》的規(guī)定,,聯(lián)邦技術(shù)與出口監(jiān)督局擁有對(duì)漏洞掃描工具的研制,、推廣的審查與認(rèn)證權(quán)力。(3)建設(shè)秘密漏洞數(shù)據(jù)庫(kù),。按照《信息安全威脅數(shù)據(jù)庫(kù)條例》的規(guī)定,,信息安全威脅數(shù)據(jù)庫(kù)的建設(shè)分公開(kāi)漏洞數(shù)據(jù)庫(kù)和秘密漏洞數(shù)據(jù)庫(kù)兩個(gè)部分。在秘密漏洞數(shù)據(jù)庫(kù)的建設(shè)中,,漏洞信息來(lái)源主要有兩類(lèi):一類(lèi)是來(lái)自信息平臺(tái)獲取的漏洞信息,。信息平臺(tái)在獲取漏洞信息后,必須同步向聯(lián)邦技術(shù)與出口監(jiān)督局的專(zhuān)用電子郵箱發(fā)送漏洞信息,,聯(lián)邦技術(shù)與出口監(jiān)督局根據(jù)相關(guān)法律規(guī)定可以在相應(yīng)時(shí)間內(nèi)決定是否公開(kāi)該漏洞信息以及是否將其收錄到秘密數(shù)據(jù)庫(kù),;另一類(lèi)是來(lái)自國(guó)家信息技術(shù)保護(hù)科學(xué)試驗(yàn)研究所及其直接管理的漏洞研究機(jī)構(gòu)提供的漏洞信息。通過(guò)建設(shè)秘密漏洞數(shù)據(jù)庫(kù),,俄羅斯將其漏洞挖掘能力實(shí)現(xiàn)了內(nèi)外隔離,,這對(duì)促進(jìn)俄羅斯漏洞挖掘及利用能力具有重要意義。
軍方參與影響程度較高,。漏洞管理體系建設(shè)作為俄羅斯國(guó)家漏洞安全防護(hù)能力發(fā)展的關(guān)鍵,,俄羅斯軍方對(duì)其有較高的參與度和影響力。這主要體現(xiàn)在以下兩個(gè)方面:(1)聯(lián)邦技術(shù)與出口監(jiān)督局作為聯(lián)邦機(jī)構(gòu),,本身就是俄國(guó)防部的下屬部門(mén),,它由俄聯(lián)邦總統(tǒng)授權(quán)國(guó)防部實(shí)施直接管理。(2)俄國(guó)防部直接參與了漏洞管理體系國(guó)家標(biāo)準(zhǔn)的建設(shè),。在審核提交漏洞管理國(guó)家標(biāo)準(zhǔn)的工作中,,俄聯(lián)邦國(guó)防部直屬的第3、6、27 中央研究所作為俄羅斯信息保護(hù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)的成員直接參與了該項(xiàng)工作,。此外,,作為已頒布漏洞管理國(guó)家標(biāo)準(zhǔn)的起草者的“信息安全中心”,雖然現(xiàn)在屬于商業(yè)企業(yè),,但其前身實(shí)際上是國(guó)防部某直屬研究所的內(nèi)設(shè)研究部門(mén),,直到現(xiàn)在,該中心仍與國(guó)防部有著密切的合作關(guān)系,。通過(guò)這些方式和途徑,,俄軍方深度介入了俄羅斯網(wǎng)絡(luò)安全漏洞管理體系。