基于OVAL漏洞評(píng)估系統(tǒng)研究.pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)安全問題己成為當(dāng)前網(wǎng)絡(luò)技術(shù)研究的重點(diǎn)。漏洞評(píng)估技術(shù)能夠檢測(cè)網(wǎng)絡(luò)系統(tǒng)潛在的安全漏洞和脆弱性，評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全狀況，是實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要技術(shù)之一。 現(xiàn)有漏洞掃描、網(wǎng)絡(luò)安全評(píng)估等安全工具已經(jīng)漸漸的無法完全滿足現(xiàn)在網(wǎng)絡(luò)安全的需要，特別是還沒有一種標(biāo)準(zhǔn)化的方法和符合標(biāo)準(zhǔn)的產(chǎn)品或服務(wù)。設(shè)計(jì)一種能夠準(zhǔn)確檢測(cè)出系統(tǒng)存在的漏洞、補(bǔ)丁錯(cuò)誤、配置錯(cuò)誤等問題，很好地實(shí)現(xiàn)各種網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)間兼容和互操作，已經(jīng)成為目

2、前網(wǎng)絡(luò)安全的重要課題。 針對(duì)這些現(xiàn)狀，本文研究了基于國(guó)際OVAL（open vulnerability and assessment language開放漏洞評(píng)估語言）的漏洞評(píng)估系統(tǒng)。目的是研究標(biāo)準(zhǔn)化的漏洞描述方法，實(shí)現(xiàn)漏洞描述、漏洞檢測(cè)過程、漏洞評(píng)估地標(biāo)準(zhǔn)化，以及網(wǎng)絡(luò)的整體安全態(tài)勢(shì)的評(píng)估；基于OVAL的漏洞評(píng)估系統(tǒng)也能很好的解決與其他安全產(chǎn)品的互操作問題。漏洞評(píng)估系統(tǒng)采用一個(gè)控制中心與多代理的系統(tǒng)架構(gòu)。 本文研究了當(dāng)前

3、漏洞檢測(cè)評(píng)估的現(xiàn)狀與發(fā)展。主要分析了當(dāng)前的一些洞檢測(cè)產(chǎn)品，漏洞描述向規(guī)范化、結(jié)構(gòu)化、標(biāo)準(zhǔn)化方向發(fā)展；研究了漏洞產(chǎn)生的原因，漏洞的危害，漏洞的檢測(cè)的原理,以及漏洞檢測(cè)技術(shù)的發(fā)展。 本文研究了OVAL標(biāo)準(zhǔn)，對(duì)OVAL語言的定義，用OVAL定義漏洞，做了全面的研究。對(duì)單一漏洞安全級(jí)別，本文采用CVSS漏洞評(píng)估標(biāo)準(zhǔn)體系，本文對(duì)CVSS漏洞評(píng)分系統(tǒng)做了全面的研究，并用實(shí)例加以闡述。以O(shè)VAL漏洞定義和CVSS評(píng)分標(biāo)準(zhǔn)為基礎(chǔ)，研究了基于安全