-
题名CVSS环境评分值的分布特点研究
被引量:5
- 1
-
-
作者
席荣荣
云晓春
张永铮
-
机构
中国科学院计算技术研究所
中国科学院研究生院
中国科学院信息工程研究所
-
出处
《高技术通讯》
CAS
CSCD
北大核心
2014年第1期10-15,共6页
-
基金
863计划(2009AA01Z438
2009AA01Z431)
国家自然科学基金(60703021)资助项目
-
文摘
利用统计分析方法对通用漏洞评分系统(CVSS)的环境评分值的分布特点进行了研究,得出了环境评分值中存在众数的结论,并得到了环境评分值的最大偏离值与基本评分值之间的函数关系。最后从美国国家漏洞数据库NVD中提取了三个严重程度分别为高、中、低的漏洞信息对所得结论进行了验证。结果表明,漏洞的环境评分值中存在众数,而且环境评分值的最大偏离值与基本评分值之间满足上述函数关系。
-
关键词
通用漏洞评分系统(cvss)
环境评分值
众数
最大偏离值
-
Keywords
common vulnerability scoring system( cvss), environmental score, mode, maximum variation
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名CVSS环境指标变量对系统安全的影响研究
被引量:4
- 2
-
-
作者
周诗洋
傅鹂
-
机构
重庆大学软件学院
-
出处
《计算机工程与科学》
CSCD
北大核心
2016年第12期2463-2470,共8页
-
基金
国家自然科学基金(61472054)
-
文摘
通用漏洞评分体系(CVSS)分三个层次对漏洞的威胁进行评估,特定系统的安全性反映在最终的环境分层面上。在CVSS的三组指标变量中,仅环境指标变量取决于特定组织机构、特定系统,难以自动获取,是用户实施安全风险管理和控制策略中关键的和最困难的环节。在分析CVSS计算方法基础上,研究环境指标变量对最终CVSS总分的影响,给出了环境指标向量对CVSS环境分影响的总体估计式,同时给出了环境向量各分量单独影响的估计式。实验表明,本文在CVSS环境指标变量的总体影响和分项指标影响两方面,实现了精度提升,进入了实际标准完全可接受的范围。
-
关键词
漏洞
通用漏洞评分体系(cvss)
环境指标
评分
安全
-
Keywords
vulnerability
common vulnerability scoring system (cvss)
environmental metric
scoring
security
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名多因素漏洞评价方法研究
被引量:1
- 3
-
-
作者
杨一未
-
机构
中国信息安全测评中心
-
出处
《计算机技术与发展》
2022年第12期88-94,共7页
-
基金
信息安全国家标准项目经费资助项目(2020BZYJ-WG5-001)。
-
文摘
漏洞引起的网络安全问题日益突出,信息系统运营者和安全技术人员正面临着前所未有的压力,仅凭CNNVD等漏洞库给出的漏洞技术等级或评分,无法完全体现漏洞在实际场景中信息资产上的危害程度。该文提出了一种综合计算机系统分级评价、网络防护与联通性、资产使用率、利益相关者风险承受度、漏洞技术评价指标等多种因素的漏洞风险量化评价方法,并给出了详细计算过程。该方法中计算机系统分级评价指标可使用信息安全等级保护指标综合反映系统的重要程度。网络防护与联通性指标进行等级细分后,可定量反映系统受保护程度。资产使用率可通过资产管理系统或在线监测等技术手段获取,反映出系统的影响范围。利益相关者风险承受度指标通过主观打分反映系统风险承受能力。漏洞技术评价指标则通过漏洞客观特性反映危害程度。经模拟数据统计分析显示,该方法能够较全面地分析实际环境中漏洞潜在威胁程度,科学合理地给出不同信息资产上漏洞的消控优先级排序,可供信息系统运营者和安全技术人员用于漏洞危害程度的量化评估。
-
关键词
漏洞
消控
通用漏洞评分体系
安全
风险
-
Keywords
vulnerability
elimination control
common vulnerability scoring system/cvss
security
risk
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名面向铁路信息网络的资产安全属性量化评估方法
被引量:1
- 4
-
-
作者
田海波
王一芃
李向阳
-
机构
中国铁路信息科技集团有限公司网信安全处
-
出处
《铁路计算机应用》
2021年第11期54-59,共6页
-
基金
中国铁路信息科技集团有限公司科技研究开发计划重点课题(KGZG-CKY-2021004)。
-
文摘
目前,我国既有信息安全管理体系虽明确提出了资产评估要求,但缺乏具体的评估方法。而大多数已提出的评估方法与实际业务场景安全要求脱节,导致针对具体业务场景的资产评估实施存在诸多局限。文章通过分析铁路信息系统的业务特点及信息资产对系统安全状况的影响,利用层次分析法,提出了适用于铁路信息网络的资产安全属性评估方法。实验证明,所提出的方法可以有效地刻画信息资产对系统整体安全的影响程度,准确地描述资产在不同业务场景中的价值差异。通过此方法与漏洞评分系统相结合,可以更准确地评估漏洞在不同应用环境中的威胁程度。
-
关键词
铁路信息网络
信息安全
信息资产管理
信息资产安全
通用漏洞评分体系
-
Keywords
railway information network
information security
information asset management
information asset security
general vulnerability scoring system
-
分类号
U29
[交通运输工程—交通运输规划与管理]
-