第三章  配电网自动化系统的关键技术研究


             漏洞的潜在可利用性，然后在每月微软安全更新详细信息中发布可利用性信息。

             在发布详细信息后，如果微软确定可利用指数评估有必要更改，将更改.评估并
             通过技术安全通知的方式通知客户。如果发布了与现有可利用性信息匹配的漏洞
             利用代码，则围绕不会更新评估。此可利用性信息包括：与特定漏洞关联的CVE
             ID，针对最新软件版本上的代码执行的可利用性评估，针对旧软件版本上的代码

             执行的聚合可利用性评估，对拒绝服务可能性的说明。
                 2.美国应急响应组评分标准
                 美国计算机应急响应组织提供7×24小时不停工作接受计算机紧急漏洞事

             件，为信息技术人工提供最新的漏洞信息与安全威胁。其中国家网络报警系统是
             美国应急响应组评分标准，使用分层次的方法提供稳定的漏洞安全服务信息。美
             国应急响应组评分标准其主要是用CVEID对漏洞进行相关统计，公布具有及时
             性和权威性的漏洞信息。US-CERT将安全漏洞的风险最终量化成一个0~180的分

             值。这个分值体系标准考虑的因素有其漏洞对网络造成了系统安全性影响力、漏
             洞利用的难度等；考虑安全漏洞的信息是否广泛可利用或在业界为多数人所知，
             其判断的方法更注重漏洞影响力。

                 3.IBM标准
                 IBM使用Guardium的方法来进行风险评估，应用程序让组织能够以一致且自
             动化的方式来标识和解决数据库漏洞。根据最佳实践来评估系统配置并查找数据

             库资源的漏洞或潜在威胁，包括配置和行为方面的风险。例如，标识尚未禁用的
             所有缺省账户；检查所选的公用特权及认证方法等。查找IT环境中存在的任何内
             在漏洞，例如缺少安全补丁。根据发现最严重风险和漏洞的区域，提出操作计划

             建议并确定这些计划的优先顺序。报告和建议的生成提供了有关如何满足合规性
             更改的准则，并提升了所评估数据库环境的安全水平。
                 4.NVD评分方法
                 美国国家漏洞库具有很高的权威性，该漏洞库使用安全内容自动化协议对

             数据进行管理。利用通用漏洞评分系统CVSS来判断每一个代表性漏洞的严重等
             级，并把每个漏洞的基础得分划分在0~10分数的区间。每个漏洞的攻击方式、难
             度、普遍性等内在属性固定，以此为根据把漏洞威胁等级分为0~3.9低危漏洞，

             4~6.9中危漏洞，7~8.9为高危漏洞，9.0~10.0为当前热门漏洞，帮助人们建立衡
             量漏洞严重程度。


                                                                                    199