CVSS(Common Vulnerability Scoring System)-通用漏洞评分系统,是一个工业标准。分值范围从0-10,威胁等级分为低,中高。
CVE:对已公开的漏洞进行统一编号,所有的漏洞扫描器都遵循这个编号。有些厂商也会对自己的漏洞进行编号。
OVAL(Open Vulnerability and Assessment Language):描述漏洞检测方法的机器可识别语言,漏洞扫描器厂商将OVAL导入到自己产品的漏洞库中后,漏洞扫描器就知道如何扫描与发现该漏洞。
CCE:描述软件配置缺陷的一种标准化格式。
CPE(Common Product Enumeration):信息技术产品、系统、软件包的结构化命名规范。
CWE(Common Weakness Enumeration):常见漏洞类型的字典,描述不同类型漏洞的特征。
Security Content Automation Protocol (SCAP)是一个集合了多种安全标准的框架。主要解决的问题:
1 实现高层政策法规等到底层实施的落地
2 将信息安全所涉及的各个要素标准化
3 将复杂的系统配置核查工作自动化