شماره ركورد كنفرانس :
4615
عنوان مقاله :
نقدي بر سيستم امتيازدهي به آسيبپذيري CVSS
پديدآورندگان :
كرامتي مرجان keramati_marjan@semnan.ac.ir دانشگاه سمنان , هل اتايي فاطمه سادات halataei@semnan.ac.ir دانشگاه سمنان
كليدواژه :
ارزيابي خطر , آسيبپذيري , معيار امنيتي , سيستم امتيازدهي به آسيبپذيري عام (CVSS)
عنوان كنفرانس :
چهارمين كنفرانس ملي تحقيقات كاربردي در مهندسي برق، مكانيك، كامپيوتر و فناوري اطلاعات
چكيده فارسي :
در دنياي امروز بسياري از فعاليتهايي كه انجام ميشوند، وابسته به سرويسهايي است كه توسط شبكههاي كامپيوتري ارائه ميشوند. اگر چه اين مساله باعث ميشود كه ارتباطات و تبادل اطلاعات بهشكل كارايي انجام شود ولي حملاتي كه در شبكههاي كامپيوتري وجود دارند، ميتواند صدمات جبرانناپذيري را به افراد و فعاليتهاي آنها وارد سازند. بنابراين مسئلهاي كه اهميت پيدا ميكند اين است كه، زير ساخت شبكههاي كامپيوتري امن و پابرجا باشد. براي اين منظور لازم است تا، شبكه در برابر دسترسيهاي غير مجاز مهاجمان مقاوم شود. نيل به اين هدف ممكن نخواهد بود جز با شناسايي عوامل بروز حمله يا آسيبپذيريها و تلاش براي برطرفسازي پرخطرترين آسيبپذيريها يا نقاط ضعف در هر شبكه. بنابراين، وجود ساختاري براي امتيازدهي به آسيبپذيريها بر اساس خطر تحميل شده بر شبكه و اولويتبندي آنها بر اساس امتياز محاسبه شده به- منظور مقاومسازي كمهزينه از ضروريات است.منابع هر سازمان محدود هستند، با اين وجود تعداد آسيبپذيريهاي شناخته شده عموما آنقدر زياد هستند كه برطرف كردن كامل آنها غير ممكن خواهد بود. به عبارت ديگر، نيازمند يك مدل براي تحليل خطر آسيبپذيريهاي هر شبكه هستيم. در اين باره سيستم امتيازدهي به آسيبپذيري عام يا CVSS ، به عنوان پراستفادهترين سيستم براي تعيين ميزان خطر ناشي از بهرهبرداري شدن از آسيبپذيريها معرفي شده است. در اين مقاله پس از بررسي اجمالي عملكرد تعدادي از سيستمهاي امتيازدهي موجود، اطلاعات ارزيابي خطر براي تعداد 74660 آسيبپذيري )آسيبپذيريهاي شناخته شده از سال 1988 تا كنون( از سيستم CVSS استخراج و براساس اين اطلاعات، صحت و كارايي اين سيستم امتيازدهي مورد مطالعه قرار گرفته و نقطه ضعفهاي آن استخراج گرديده است
