软件漏洞概述

文章目录

• • 一、软件漏洞的概念
  • • 1、信息安全漏洞简述
    • 2、软件漏洞
    • 3、软件漏洞概念
    • 4、软件漏洞的成因分析
  • 二、软件漏洞标准化管理
  • • 1、软件漏洞分类
    • 2、软件漏洞分级
    • 3、安全漏洞管理规范

一、软件漏洞的概念

1、信息安全漏洞简述

信息安全漏洞是信息安风险的主要根源之一，是 络攻防对抗中的主要目标。由于信息系统漏洞的危害性、多样性和广泛性，在当前 路空间博弈中，漏洞作为一种战略资源被各方所积极关注。
对于信息安全漏洞的不同认识有以下三个主要的共同特点：

• 漏洞是信息系统自身的弱点或缺陷。
• 漏洞存在环境通常是特定的。
• 漏洞具有可利用性，若攻击者利用了这些漏洞，将会给信息系统带来不可估量的的损失。

2、软件漏洞

软件漏洞是信息安全系统漏洞的重要组成部分。分析、理解软件漏洞对于我们了解软件安全威胁是非常关键的。
常说的软件漏洞包括软件错误、软件缺陷以及软件失效。其简单关系如下图：

2）软件趋向大型化，第三方拓展增多
常用大型软件为了充分使软件功能得到扩充，通常会有第三方拓展，这些拓展插件的存在，增加系统功能的同时也导致的安全隐患的存在，研究表名“代码行数越多，缺陷也就越多“
3）软件新技术、新应用产生之初即缺乏安全意识
比如大多数 络协议，在设计之初就没有考虑过其安全性。当今互联 技术蓬勃发展，新技术的不断出现，也带来了大量新的安全按挑战。
4）软件使用场景更具威胁
络技术是发展，软件被用于各行各业，遍及各个 会层次。软件开发者需要考虑的问题更多，并且黑客与恶意攻击者比以往有更多的机会和时间来访问软件系统，并尝试寻找、利用软件漏洞。
5）软件安全开发重视度不够，开发者缺少安全意识。

二、软件漏洞标准化管理

1、软件漏洞分类

1）基于漏洞成因的分类

• 内存破坏类
• 逻辑错误类
• 输入验证类
• 设计错误类
• 配置错误类

2）基于漏洞利用位置分类

• 本地漏洞
• 远程漏洞

3）基于威胁类型分类

• 获取控制
• 获取信息
• 拒绝服务

2、软件漏洞分级

3、安全漏洞管理规范

根据安全漏洞生命周期中漏洞发现、利用、修复和公开四个阶段，对应的管理行为分为预防、收集、消减和发布等实施活动。

• 漏洞预防阶段：厂商采取相应措施来提高产品安全水平，对用户使用的计算机系统进行安全加固等安全配置
• 漏洞收集阶段：漏洞收集组织与漏送管理涉及的各方沟通，广泛处理并收集漏洞，确认漏洞存在后回复 告方。
• 漏洞消减阶段：依据处理策略在规定时间内修复漏洞，依据漏洞类型和危害程度优先开发高危漏洞修复措施。
• 漏洞发布阶段：在规定时间内发布漏洞及相关修复措施。厂商应建立发布渠道，及时通知用户。