这是美国MITRE公司提出的信息安全标准化活动,该公司主要为政府部门提供咨询服务,安全界著名的漏洞库CVE-ID就是由它维护的。
此活动的官方网站是http://measurablesecurity.mitre.org/
MITRE推动安全量化的目的我还不知道,但它的方法是:
1. 枚举enumerating基础安全数据;
2.提供标准化语言language用于准确地信息交换;
3.通过数据仓库repository促进用户信息的共享。
可量化安全至少关心以下领域:
1. vulnerability Management漏洞管理
2. Asset Security Assessment资产安全评估
3. Configuration Guidance配置指导
4. Malware Reponse恶意软件响应
5. Intrusion Detectioin入侵检测
6. Asset Management资产管理
7. Patch Management补丁管理
8. Incident Management事故管理
前面所说的三种方法又细分如下:
1. Enumerations
(1) CVE-Common Vulnerabilites and Exposure通用脆弱性标识
(2) CWE-Common Weakness Enumeration,软件弱点类型列表
(3)CAPEC-Common Attack Pattern Enumeration and Classification,通用攻击模板列表,这个东西比较陌生,让人有想像空间,它和攻击图有关联吗?回头再看
(4)CCE-Common Configuration Enumeration,通用安全配置标识
(5)CPE-Common Platform Enumeration通用平台标识
2. Languages
(1)OVAL-Open Vulnerability and Assessment Language,确定脆弱性和配置问题的标准
(2)CRF-Common Result Format,表述基于通用名称和命名模板的发现的标准化的评估结果格式(standardized assessment result format for conveying findings based on common names and naming schemes)
(3)CEE-Common Event Expression,计算机事件的描述,记录,交换的标准方法
3. Repository
(1)OVAL Repository,社团开发的OVAL脆弱性,遵从,存货和补丁的定义(community-developed OVAL Vulnerability, Compliance, Inventory, and Patch Definitions)
从我做为一名信息安全领域的学生角度来看,这个计划的野心真是够大的,呵呵。看来我又有的学啰。