·安全技术·文章编号：1000—3428(2005)23—0129—03文献标识码：A中图分类号：TP393.08一种更加完善的安全漏洞发布机制朱静1,2，张玉清2，高有行1（1.西安电子科技大学计算机外部设备研究所，西安710071;2.中国科学院研究生院国家计算机网络入侵防范中心，北京100039）摘要：分析了目前漏洞发布机制的发展现状及其存在的问题，在此基础上，提出了一个更加健全的漏洞发布机制的构建方案。依据该方案，实现了一个更加完善的漏洞发布机制，并取得了显著的成效。关键词：安全漏洞；漏洞发布机制；CVEAnIssuanceMechanismofSecurityVulnerabilityZHUJing1,2,ZHANGYuqing2,GAOYouxing1(1.ResearchInstituteofPeripherals,XidianUniversity,Xi’an710071;2.NationalComputerNetworkIntrusionProtectionCenter,GraduateSchoolofChineseAcademyofSciences,Beijing100039)【Abstract】Thispaperpresentsaschemetoestablishamorecompleteissuancemechanismofsecurityvulnerability.Accordingtothescheme,itsuccessfullyachievesamorecompleteissuancemechanismandgetsremarkableeffect.【Keywords】Securityvulnerability;Issuancemechanismofsecurityvulnerability;CVE随着计算机技术和网络技术的迅速发展，信息安全问题也日趋严峻，人们不得不采取各种措施来保护系统和网络。目前，除了计算机本身的安全机制外，人们一般会采用防火墙、入侵检测等措施来提高系统和网络的安全性。但是随着黑客攻击技术的发展，这些安全措施的弱点使得它们对许多攻击显得无能为力。统计数据表明，90％以上的攻击都是利用了系统或是软件中存在的安全漏洞。用户无法避免在系统的设计过程中出现这样或是那样的错误而导致系统中存在安全漏洞，但是只要可以及时获得相关的安全漏洞信息，采取相应的措施堵住漏洞，就可以防患于未然，主动保护计算机和网络的安全，将系统遭受攻击和破坏的可能性降低到最小程度。漏洞发布机制其实是一种更为主动的防御手段，它通过将漏洞信息公布给用户，帮助人们采取措施及时堵住漏洞，不让黑客有机可乘，从而提高系统的安全性，减少安全漏洞带来的危害和损失。尽管如此，人们并没有给漏洞发布机制的发展以足够的关注。本文基于目前漏洞发布机制的状况，分析现有的漏洞发布机构存在的问题，提出一个更加完善规范的漏洞发布机制的构建方案。在文章的最后，通过介绍一个已经实现的实例，来证明该构建方案的有效性和优点。1现状及其存在的问题漏洞发布机制是与安全漏洞一起产生的，经过长时间的发展，如今已经成为一套复杂的体系。但是很长时间以来，人们一直把信息安全领域的工作重心都放在一些安全工具的研究上，如漏洞扫描工具、入侵检测工具等，并没有将漏洞信息的发布工作作为一项提高信息安全的重要环节来抓，以至于导致漏洞发布机制的发展停滞不前。目前国内外有很多组织或是机构在从事漏洞发布方面的工作，其中比较知名的有ISSX-Force、SANSInstitute、SecurityFocus、NIST、中联绿盟信息技术公司和瑞星等。这些组织各自有一套漏洞发布机制，以特定的方式来发布与漏洞相关的信息。通过对国内外这些知名的组织或是公司的漏洞发布机制的研究，我们发现，这些漏洞发布机制虽然各有千秋，但是普遍存在以下这些问题：(1)国际标准的问题。漏洞发布机制给漏洞添加一个自己制订的编号，而没有采用国际统一的CVE标准编号，这就给信息的共享带来很大的问题。(2)及时发布的问题。漏洞发现到攻击代码出现的时间间隔越来越短，而一些漏洞发布机制发布漏洞信息的速度太慢，让黑客有机可乘。(3)漏洞信息的问题。一些漏洞发布机制提供的漏洞信息不全，这就给用户带来很大的麻烦，特别是如果没有考虑到一般普通用户的阅读水平，就会在很大程度上延误漏洞的及时修补工作。(4)漏洞信息的检索粒度问题。很多漏洞发布机制没有设计任何的检索功能，使得用户在查找信息时遇到很大困难。(5)漏洞发布的方式问题。目前几乎所有的漏洞发布机制只是采用网页浏览的方式来发布漏洞信息。最初，这种方式的确可以满足很大一部分需要，但是随着信息安全的发展，逐渐暴露出了单一、被动的缺点。2漏洞发布机制的构...