配电网及其自动化技术研究
            Research on Power Distribution Network and Its Automation Technology


            等。定性分析的优点明显，易于理解和实现，计算方法相对简单。可以挖掘出一

            些更深层次的想法，评价的过程更加灵活一些。但其主观性强，缺乏完整的理论
            体系，需要评估人员自身的高度经验，否则评估容易产生不够准确的结果。
                定量评估方法是基于定量指标对系统安全风险进行评估，并利用数学上：量

            化的指标对系统中的漏洞或资产进行计算和分析，从而得到具体的定量结论数
            据。典型的定量分析方法有树模型法、因子分析法等。在一些特定的情况下，定

            量风险评估的方法结果精度可能会很低，部分风险本身就是在变化难以量化的。
            所以在一些情况下，安全需求是无法被定量准确反馈到数字的。
                （二）脆弱性数据库
                目前最具公信力的脆弱性披露与发布的相关组织是CVE（Common

            Vulnerabilities and Exposures），CVE建立于1999年9月，经过了20多年的公开漏

            洞收集，当前已受到安全专业人士的广泛认同。CVE公开的漏洞信息包括漏洞类
            型、受影响产品或代码及版本、产品厂商、厂商是否已确认该漏洞、攻击类型、
            受影响组件、影响类型、攻击方法或利用方法、CVE描述建议等。当人们谈及

            CVE时，通常用的都是分配给每个安全缺陷的CVEID编号。每一个通用漏洞披露
            都赋予一个专属的编号，格式如：CVE-YYYY-NNNN。CVE为固定的前缀字，
            YYYY为年份，NNNN为流水编号，原则上NNNN为四位数字，但必要时也可编

            到五位数或更多位数。
                （三）漏洞评估方法

                漏洞评估能很好地展现系统或网络图谱所面临的风险。国外很早就开始了相
            关的研究，经过了长期的积累，提出了一些漏洞评估的方法。美国国家漏洞数据
            库（NVD）、丹麦安全公司（Secunia）、美国应急响应组（US-CENTER）等国

            际安全机构，以及微软、IBM、red hat等企业对于风险脆弱性评估都有较为深入
            的研究，并对漏洞进行安全等级划分。漏洞的风险评估各自有自己的一套体系，
            但标准各有千秋。这部分内容将介绍几个常见的安全组织风险评估标准，以及本

            文采用的相关方法。
                1.微软漏洞评分标准

                微软是世界上非常强大的软件制造商之一，目前微软的风险评估标准较以前
            差别较大。微软现将评估与微软安全更新相关的严重性级别为重要或严重的每个


            198