安全标准缺陷评估系统问世 微软态度冷淡

　　CNET 科技资讯网9 月19日国际报道 据其支持者称，使企业能够更方便地判断受安全缺陷影响程度的一项计划将进入“黄金时段”。

　　“通用缺陷评估系统”(CVSS)计划呼吁一种评估软件中缺陷的统一方法，取代许多高科技厂商和安全厂商的专有方法。FIRST 的主席迈克说，我们希望解决这方面存在的混乱，最终目标是制订一个有助于用户对缺陷做出恰当反应的系统。

　　FIRST 计划于当地时间下周一公布推动CVSS大规模普及的一项计划。支持者表示，在一年半前投入使用后，该评估系统的应用正在日益广泛。上周五，它的设计者之一吉哈德说，CVSS的部署应当进入到新的阶段了，将获得更多厂商的支持。

　　CVSS不使用目前的严重等级用语，例如我们熟悉的微软夺安全公告中使用的“危急”、“重要”等。利用1-10之间的数字，通过添加与它们的IT系统相关的信息，CVSS使机构能够计算对它们环境的特定危险。这有助于帮助它决定补丁软件的优先程度。

　　除了能够让机构增添它们自己的环境因素外，CVSS还考虑到了是否有攻击代码和补丁软件等因素，这些因素会影响缺陷的危险性。当前的评级系统通常只局限于缺陷的某些方面━━例如，黑客是否能够远程地攻击系统、缺陷能否被轻易地利用。

　　迈克表示，如果CVSS得到普及，企业风险经理或安全代表能够利用该系统决定哪个缺陷需要首先修正。它能够使机构对多个厂商的多种平台中的缺陷进行比较，并利用统一的标准评估危险性。

　　迈克说，FIRST 正在呼吁软件产业在它们的安全公告中包括CVSS评级。它使所有厂商都站在了同一平台上，思科已经在其MySDN 安全网站上提供CVSS评级，但没有在它的安全公告中提供CVSS评级。

　　包括赛门铁克、互联网安全系统、Qualys在内的数家安全厂商都支持CVSS，将在它们的产品中采用该标准。

　　赛门铁克安全响应团队的高级主管文森特说，我们强烈支持在该领域采取开放标准。在此之前，每个厂商在缺陷评级方面都有它们各自的标准，给企业在决定优先部署哪个补丁软件带来了困难。

　　微软安全响应中心的主任凯文在一份声明中说，微软仍然坚持使用它自己的评级系统。

　　凯文说，我们意识到，安全业界的一些厂商和安全组织使用多种不同的安全评级系统，我们的客户向我们表示，我们在2002年部署的缺陷评级系统有助于帮助它们评估安全等级，利用我们提供的资源帮助它们保护系统的安全。凯文表示，如果客户有要求，我们将采用CVSS。

　　市场调研厂商加特纳的副总裁约翰表示，由于微软的冷淡，CVSS的广泛普及还需要一段时间。他说，微软是台式机PC缺陷的最大来源，如果它不采用CVSS，其它厂商也不会积极采用。

　　约翰指出，尽管CVSS确实有优点，它在帮助IT经理决定哪些补丁软件具有优先性方面的作用被高估了。

　　他说，什么评级系统都做不到这一点，但有一种被大多数厂商都采用的标准评级系统对于IT产业而言是一件好事。如果用户意识到了新评级系统的价值，可以向软件厂商施加压力，要求它们采用它。

　　他表示，如果包括思科在内的一些大软件厂商开始使用CVSS，到2007年，微软就会听到客户要求它采用CVSS的请求。