Телефон: +7 (383)-202-16-86

Статья опубликована в рамках: Научного журнала «Студенческий» № 39(83)

Рубрика журнала: Информационные технологии

Скачать книгу(-и): скачать журнал часть 1, скачать журнал часть 2, скачать журнал часть 3, скачать журнал часть 4, скачать журнал часть 5, скачать журнал часть 6, скачать журнал часть 7

Библиографическое описание:
Дроздова В.В., Юдаева М.В. БАЗЫ УЯЗВИМОСТЕЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ // Студенческий: электрон. научн. журн. 2019. № 39(83). URL: https://sibac.info/journal/student/83/160011 (дата обращения: 11.12.2019).

БАЗЫ УЯЗВИМОСТЕЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Дроздова Владлена Владимировна

студент, кафедра «Защита информации», Институт комплексной безопасности и специального приборостроения, Российский Технологический Университет,

РФ, г. Москва

Юдаева Маргарита Вячеславовна

студент, кафедра «Защита информации», Институт комплексной безопасности и специального приборостроения, Российский Технологический Университет,

РФ, г. Москва

АННОТАЦИЯ

Уязвимости программного обеспечения являются серьезной проблемой в безопасности информационных систем. Для решения этих проблем были разработаны интернет-базы уязвимостей, обнаруженных в реальных компьютерных системах. Использование стандартизованных описаний уязвимостей упрощает работу специалистов по информационной безопасности.

 

Ключевые слова: база уязвимостей, безопасность.

 

Компьютеры в целом, и интернет в частности, имеют большое социальное значение в настоящее время; сеть позволяет людям легко поддерживать контакт друг с другом. В настоящее время 50% населения мира пользуется интернетом, то есть более 3,77 миллиарда человек подключены к интернету. С точки зрения компаний, эта технологическая глобализация имеет как преимущества, так и недостатки. Несмотря на меры безопасности, используемые в настоящее время в любом интернет-сервисе, информационные системы часто подвергаются различным рискам и потенциальным повреждениям.

Уязвимость программного обеспечения – это недостаток в системе, который позволяет злоумышленнику нарушить принятые меры безопасности. Ошибки и сбои не новы в мире программного обеспечения; большая и сложная программная система может иметь большое количество сбоев и ошибок безопасности, которые иногда могут быть использованы злоумышленниками для нанесения ущерба или получения преимуществ. Проблемы безопасности из-за уязвимостей программного обеспечения могут стать особенно тревожными в случае наличия на устройстве компрометирующей информации частного характера, например, информация, относящаяся к истории болезни пациента.

Для борьбы с уязвимостями программного обеспечения были созданы интернет-базы данных, которые фиксируют все эти уязвимости для информирования компаний и программистов. База данных уязвимостей – это платформа, которая хранит, поддерживает и распространяет информацию об уязвимостях, обнаруженных в реальных компьютерных системах. Эти базы данных позволяют оценивать безопасность и управлять уязвимостями. Кроме того, эти данные могут быть перечислены, и каждая уязвимость может быть сохранена с уникальным идентификатором, что в свою очередь облегчает обмен информацией об этих уязвимостях.

В настоящее время одной из самых обширных баз данных уязвимостей является Национальная база данных уязвимостей (НБДУ) правительства США. В этом правительственном хранилище хранятся данные по управлению уязвимостями. Органом, ответственным за эту базу данных, является Национальный институт стандартов и технологий (НИСТ). Эта база данных предоставляет данные в соответствии со спецификациями протокола автоматизации содержимого безопасности (SCAP). SCAP – это набор спецификаций НИСТ для стандартизированного выражения и обработки информации, связанной с отказами и конфигурациями. SCAP имеет ряд компонентов, на которые полагается НБДУ, как и в случае с общим словарем уязвимостей и рисков (CVE). CVE имеет связанные общие оценки системы оценки уязвимости (CVSS), которые указывают на серьезность уязвимости.

CVE – это словарь уязвимостей, который содержит все уязвимости с соответствующими им идентификаторами, сгруппированными по категориям. Общее перечисление слабых мест (CWE) предлагает эту классификацию и необходимую функциональность, чтобы предоставить индустрии безопасности список типов слабых мест.

База данных CVE Details содержит ряд интересных классификаций на своем веб-сайте. Например, там есть исследование того, как частота разных типов уязвимостей менялась со временем, на основе классификации уязвимостей CWE.

 

Список литературы:

  1. [Электронный ресурс]. – Режим доступа: https://www.intuit.ru/studies/courses/3649/891/lecture/32334?page=1 (дата обращения 18.10.2019)
  2. [Электронный ресурс]. – Режим доступа: https://ru.wikipedia.org/wiki/Безопасное_программирование (дата обращения 20.10.2019)
  3. [Электронный ресурс]. – Режим доступа: https://safe-surf.ru/specialists/article/5228/607311/ (дата обращения 21.10.2019)

Оставить комментарий