[2010.05.27]数据资源平台项目补丁数据整理流程和规范-魏郧峰

数据资源平台项目补丁数据整理流程和规范__三零卫士信息安全有限公司版本

1.0，2010-4-14本文档版权归__三零卫士信息安全有限公司所有，未经__三零卫士信息安全有限公司允许，本文档里的任何内容都不得被用来宣传和传播未经__三零卫士信息安全有限公司书面批准，文档或任何类似的资讯都不允许被发布文档控制数据资源平台项目数据分析和建设（SCAP）提交方__三零卫士信息安全有限公司提交日期2010-4-14版本信息日期版本撰写者审核者描述2010-04-

141.0魏郧峰创建2010-05-

081.1魏郧峰修订和细化所有权声明文档里的资料版权归__三零卫士信息安全有限公司（“三零卫士”）所有未经__三零卫士信息安全有限公司事先书面允许，不得__或散发任何部分的内容任何团体或个人未经批准，擅自观看建议书将被认为获取了__三零卫士信息安全有限公司的私有信息而遭受法律的制裁目录TOC\o1-3\h\z\u1概述

41.1基本属性

41.2基本原则

51.3数据采集分析

51.4数据存储62整理规范

62.1补丁整理流程

62.2补丁信息整理

62.3补丁下载63文档确认6数据资源平台项目补丁数据整理流程和规范说明以下文中“CNITSEC”是指用户单位1概述

1.1基本属性补丁类业务数据基本属性参考附件1和补丁数据业务表单

1.2基本原则业务数据属性定义基本原则1）属性项有明确的来源；2）业务数据要能够如实的反应业务对该数据的需要和定义；3）属性项要符合标准规范（如果有参考标准）；4）对于没有确定数据来源，或数据来源比较复杂，应该有增加相关业务流程保证数据的获取；5）属性项要进行分类，至少应该包括基本（重要）属性项和可选属性项，基本（重要）属性项的标准主要包括能够描述该数据的基本属性，与业务相关的属性项，与应用相关的属性项等；补丁类业务数据采集基本原则1）要对补丁类业务数据进行分类，不同类型要提供相应处理规则和流程；2）要对补丁类业务数据的重要性进行分析，重点保障重要补丁类数据，重要性标准应该参考相关厂商产品的知名度、应用范围和分布等，具体标准和范围由承建方和用户共同制定；补丁类业务数据分析基本原则1）要重点对基本（或重要）属性项进行分析研究；2）要对重要属性项数据质量进行分析，并提供质量检查标准；3）要对属性项数据的获取途径进行分析研究；

1.3数据采集分析补丁数据采集方法分析1）定制补丁采集爬虫，该方法主要针对较大和重要级别较高补丁来源，并且该来源需要较为稳定（包括流程、格式、内容等）此类补丁下载最重要的工作是对补丁源的分析，分析工作包括下载流程、下载内容（属性）和下载方法注该补丁源的分析确认工作由承建单位和用户共同确定；2）手动补丁采集对于还没有提供爬虫工具或无法自动抓取的重要补丁数据采用手动采集方式，考虑到该部分数据的抓取难度，要对范围、进度进行分析；

1.4数据存储补丁类业务数据存储采用Ex__l+[目录]（CVE编号）补丁文件方式，或DB+[目录]（CVE编号）补丁文件方式2数据整理流程

2.1原始数据流程针对较大和常用软件，厂商针对软件使用中出现的问题一般会提供相应的安全公告和补丁包，可以通过分析相应__的结构，定制一定的网络爬虫工具下载补丁包和收集补丁相关原始信息其他危急级别较高的补丁包和补丁信息，可以通过手动下载3整理规范

3.1补丁整理流程​业务数据（加工数据）整理平台补丁业务数据（数据源）标记记录加工整理业务数据（错误数据）采集爬虫业务数据（错误数据）标记记录标记记录补丁文件DB数据采集补丁文件DB补丁业务数据（原始数据）整理工具​图1补丁数据整理流程该整理流程主要针对通过爬虫获取的补丁数据的整理流程，数据存储形式为DB+文件如图1补丁数据整理流程所示，整理工作包括1）整理工具为对数据库数据进行清洗、整理的工具，包括SQL语句工具；2）整理平台可对数据项进行增、删、改、查基本操作，__数据对象为数据库原始数据；（入库后对原始数据进行备份）3）对数据属性项的整理检查内容参考相关规范（主要是本文档）；

3.2补丁信息整理

3.

2.1补丁厂商厂商该补丁提供厂商命名规范参考CPE或厂商类数据厂商主页http://URL

3.

2.2补丁对象

3.

2.3补丁编号手工编号与系统自动编号结合

3.

2.4补丁命名数据采集，采集不到的情况下使用补丁文件名称作为补丁名称

3.

2.5补丁描述数据获取方式采用数据采集，描述组成包括

1、补丁针对漏洞的描述信息；

2、补丁自身描述信息（根据具体采集数据确定）；

3.

2.6补丁日期数据获取方式采用数据采集

3.3补丁下载补丁下载方式

1、人工采集；

2、爬虫工具；4补丁下载流程根据所给的漏洞表优先下载漏洞公告中显示为有补丁的漏洞的补丁，有补丁的漏洞中也要根据厂商以及补丁评分下载分先后顺序下载目前主要下载

1、Microsoft、Adobe厂商的补丁

2、有BID号的漏洞的补丁

3、漏洞CVE评分为10-7分的漏洞的补丁

4.1补丁链接查找（时间2/条漏洞）根据NVD页面的参考网址查找，具体链接如下http://web.nvd.nist.gov/view/vuln/detailvulnId=CVE-2010-1290优先考虑顺序是

1、BUGTRAQ__具体显示形式如下ExternalSour__:BIDName:40146Hyperlink:http://___.securityfocus.com/bid/40146​http:​/​​/​___.nist.gov​/​cgi-bin​/​exit_nist.cgiurl=http%3A%2F%2F___.securityfocus.com%2Fbid%2F40146\t_blank​打开链接，通过solution页面查找补丁链接可能出现三种情况a、有补丁并且直接给出链接，直接下载，根据页面信息记录补丁名称等基本信息b、有补丁但是没有直接链接，需要查看referen__s页面查找补丁链接信息的，可以参考VUPEN或者其他来源的链接

2、VUPEN__，具体具体显示形式如下ExternalSour__:VUPENName:ADV-2010-1127Type:Advisory;PatchInfor__tionHyperlink:http://___.vupen.com/english/advisories/2010/1127​http:​/​​/​___.nist.gov​/​cgi-bin​/​exit_nist.cgiurl=http%3A%2F%2F___.vupen.com%2Fenglish%2Fadvisories%2F2010%2F1127\t_blank​打开链接，通过页面的solution项查找补丁链接具体具体显示形式如下AffectedProducts​http:​/​​/​___.vupen.com​/​english​/​advisories​/​2010​/​1128\lAffectedProducts​AdobeShockw__ePlayerversion

11.

5.

6.606andpriorWindowsand__cintosh​http:​/​​/​___.vupen.com​/​english​/​searchengine.phpkeyword=adobe+shockw__e+player​Solution​http:​/​​/​___.vupen.com​/​english​/​advisories​/​2010​/​1128\lSolution​UpgradetoAdobeShockw__ePlayerversion

11.

5.

7.609:http://get.adobe.com/shockw__e/​http:​/​​/​___.vupen.com​/​english​/​solution-2010-1128-

1.php​直接__打开链接就能下载

3、厂商__ExternalSour__:CONFIRMName:http://___.adobe.com/support/security/bulletins/ap__10-

11.htmlType:Advisory;PatchInfor__tionHyperlink:http://___.adobe.com/support/security/bulletins/ap__10-

11.html​http:​/​​/​___.nist.gov​/​cgi-bin​/​exit_nist.cgiurl=http%3A%2F%2F___.adobe.com%2Fsupport%2Fsecurity%2Fbulletins%2Fap__10-

11.html\t_blank​参考网址中有些信息明显是厂商信息，逐层打开链接即可找到补丁

4.2补丁下载（7分/个补丁）根据补丁链接地址，下载补丁包需要注意补丁包的形式多种多样，不一定是压缩包，可能是文本或者HTML页面中的代码该流程需要完成的内容

1、补丁包的下载

2、补丁包上一级页面的保存

3、补丁清单的填写原则大厂商的补丁信息尽量全面，对应难找的填写补丁名称、厂商、补丁文件名称即可

4.3补丁下载流程参照表名称厂商BIDVUPEN其他时间（分钟/个）3157微软ABCDAdobeABCDBIDABC10-7ABC备注优先考虑顺序是A-B-C-D；微软microsof产品的漏洞、Adobe Adobe产品的漏洞；BID有BID号的漏洞、10-7CVE评分为10-7分的漏洞5时间进度要求按漏洞进行统计2009年漏洞30漏洞.补丁／人.日6厂商补丁下载

6.1Microsoft补丁包微软中国____提供微软的软件和服务、技术支持、安全与更新等信息，包括正版MicrosoftWindows、Offi__、IE的下载、试用与验证等针对存在的安全问题，微软安全技术中心提供指向技术公告、建议、工具、说明性指南和社区资源的链接，帮助IT专业人员保持Microsoft服务器、桌面和应用程序处于最新和安全状态微软中国____http://___.microsoft.com/zh/cn/微软安全技术中心http://technet.microsoft.com/zh-cn/security/default.aspx微软安全公告http://___.microsoft.com/china/technet/security/current.mspx

6.2Adobe补丁包Adobe的中文__包括Acrobat系列、Photoshop、Flash、Dreamwe__er等产品的介绍、新闻、技术支持等针对存在的安全问题针对存在的安全问题，Adobe支持中心及时的提出安全建议Adobe中文__http://___.adobe.com/Adobe支持中心http://___.adobe.com/cn/support/Adobe安全建议http://___.adobe.com/cn/support/security/安全建议的安全公告会提供相关补丁包的下载信息，并且有相应的CVE号可以和漏洞做一定关联

6.3Apple补丁包Apple中国（Apple中文__）发布Apple公司最新资讯介绍最新产品遍布全国的销售网点____便捷服务含热点新闻、硬件产品、软件产品、教育应用、专业领域、商用及个人客户、__人员、维修中心...Apple技术支持中心对各类应用软件的下载，如果存在的安全问题，提供有关本更新的安全性内容的信息Apple中文__http://___.apple.com.cn/Apple各类应用软件下载http://support.apple.com/zh_CN/downloads/Apple安全信息http://support.apple.com/kb/HT1222viewlocale=zh_CN通过安全信息页面下载补丁的相关信息，通过Apple各类应用软件下载页面下载补丁包，通过相关新版本修复的安全问题中的安全信息获取补丁的详细信息附件一补丁数据属性分析条目名称条目含义条目维护产生方式取值范围缺失可否补丁编号补丁库中唯一的编号，格式CNPD-YYYYMM-XXXX[系统自动]按规则编号　NO漏洞编号该补丁对应的CNNVD__漏洞编号[系统自动][可以为空]目前通过CVE_ID与漏洞库建立关系CNNVD-YYYYMM-XXXYESCVE编号该补丁对应的CVE漏洞编号[数据采集]采集补丁页面信息目前补丁包尽量下载和CVE相关的内容YES编码信息补丁的编码信息即是可执行文件（二进制）、源码或者其他[系统自动]系统能否自动识别二进制、源码、其他NO补丁大小补丁包大小[系统自动]系统能否自动识别　NO重要级别补丁的严重级别（严重、重要、可选、推荐）[数据采集][可以为空]采集补丁页面信息严重、重要、可选、推荐YES补丁名称补丁名称[数据采集][可以为空]采集补丁下载页面信息原则中文优先NO____补丁的发布日期[数据采集]采集补丁页面信息YYYY-MM-DDNO____补丁的更新日期[可以为空]采集补丁页面信息YYYY-MM-DDYES最大安全影响该补丁相关漏洞可能导致的影响[可以为空]采集补丁页面信息原则中文优先YES补丁简介关于补丁的相关介绍采集补丁页面信息，具体__具体分析，可能需要多个条目的信息进行组合原则中文优先NO厂商该补丁的发布者厂商名称采集补丁页面信息，根据补丁所对应的产品分析　NO厂商主页该补丁的发布者厂商主页采集补丁页面信息，根据补丁所对应的产品分析　NO修补对象名称该补丁具体修补的对象名称[可以为空]采集补丁页面信息，根据具体内容分析（可能需要人工处理）　YES修补对象详情该补丁具体修补的具体对象，和修补对象名称一样[可以为空]采集补丁页面信息，具体__具体分析　YES修补对象类型所修补对象的分类（操作系统、应用软件、数据库、硬件）[可以为空]采集补丁页面信息（建议由一定的分类规则和标准）　YES系统需求所运行的系统[可以为空]微软有，其他厂商的补丁具体分析　YES英文参考网址补丁下载页面地址（如果是英文）[可以为空]采集补丁页面信息，具体__具体分析原则中文优先，和英文参考网址只选其一YES中文参考网址补丁下载页面地址（如果是中文）采集补丁页面信息，具体__具体分析原则中文优先，和英文参考网址只选其一NO公告页面补丁下载页面上一级页面地址采集补丁页面信息，具体__具体分析　NO补丁文件补丁名称，能够链接到本地下载地址平台建立链接关系　NO本地文件夹名称本地补丁包存放时路径名称按照层次存放补丁包与本地连接地址建立相关补丁本地链接地址时建立NO概述其他补丁相关信息（暂定）[可以为空]采集补丁页面信息，具体__具体分析　YES说明该表内容参考补丁数据业务表单内容7文档确认__三零卫士信息安全有限公司项目组负责人签字年　　月　　日中国信息安全测评中心任务实施组负责人签字年　　月　　日PAGEꗬÁ数据资源平台项目文档中国电子科技集团公司第三十研究所4__三零卫士信息安全有限公司、北京三零盛安信息系统有限公司ࠄ。