軟件漏洞概述本講要點1.什么是軟件漏洞？軟件漏洞與軟件錯誤或軟件缺陷的關(guān)系是什么？2.為什么會出現(xiàn)軟件漏洞？3.軟件漏洞為什么要管理？如何管理？1.什么是軟件漏洞？（1）對信息安全中“漏洞”的認(rèn)識ISO/IEC15408-1《信息技術(shù)—安全技術(shù)—IT安全評估標(biāo)準(zhǔn)》：漏洞是存在于評估對象中的、在一定的環(huán)境條件下可能違反安全功能要求的弱點。美國國家標(biāo)準(zhǔn)與技術(shù)研究院NIST內(nèi)部報告《信息安全關(guān)鍵技術(shù)語詞匯表》：漏洞是存在于信息系統(tǒng)、系統(tǒng)安全過程、內(nèi)部控制或?qū)崿F(xiàn)過程中的、可被威脅源攻擊或觸發(fā)的弱點。1.什么是軟件漏洞？（1）對信息安全中“漏洞”的認(rèn)識ISO/IEC27000《信息技術(shù)—安全技術(shù)—信息安全管理系統(tǒng)—概述和詞匯》：漏洞是能夠被一個或多個威脅利用的資產(chǎn)或控制中的弱點。小結(jié)，對漏洞認(rèn)識的3個共同特點：漏洞是信息系統(tǒng)自身具有的弱點或者缺陷；漏洞存在環(huán)境通常是特定的；漏洞具有可利用性，若攻擊者利用了這些漏洞將會給信息系統(tǒng)安全帶來嚴(yán)重威脅和經(jīng)濟損失。1.什么是軟件漏洞？（2）對“軟件漏洞”的認(rèn)識基本認(rèn)識：軟件（安全）漏洞是信息系統(tǒng)安全漏洞的一個重要方面。20世紀(jì)80年代，早期黑客的出現(xiàn)和第一個計算機病毒的產(chǎn)生，軟件漏洞逐漸引起人們的關(guān)注。在歷經(jīng)30多年的研究過程中，學(xué)術(shù)界及產(chǎn)業(yè)界對漏洞給出了很多定義，漏洞的定義本身也隨著信息技術(shù)的發(fā)展而具有不同的含義與范疇。1.什么是軟件漏洞？（2）對“軟件漏洞”的認(rèn)識基本認(rèn)識：軟件漏洞通常被認(rèn)為是軟件生命周期中與安全相關(guān)的設(shè)計錯誤、編碼缺陷及運行故障等。本書中并不對軟件漏洞/脆弱點、軟件缺陷以及軟件錯誤等概念嚴(yán)格區(qū)分。軟件漏洞一方面會導(dǎo)致有害的輸出或行為；另一方面漏洞也會被攻擊者所利用來攻擊系統(tǒng)。1.什么是軟件漏洞？（2）對“軟件漏洞”的認(rèn)識基于軟件生命周期的認(rèn)識：軟件系統(tǒng)或產(chǎn)品在設(shè)計、實現(xiàn)、配置、運行等過程中，由操作實體有意或無意產(chǎn)生的缺陷、瑕疵或錯誤，它們以不同形式存在于信息系統(tǒng)的各個層次和環(huán)節(jié)之中，且隨著信息系統(tǒng)的變化而改變。1.什么是軟件漏洞？（2）對“軟件漏洞”的認(rèn)識基于軟件生命周期的認(rèn)識：漏洞是貫穿軟件生命周期各環(huán)節(jié)的。在時間維度上，漏洞都會經(jīng)歷產(chǎn)生、發(fā)現(xiàn)、公開、消亡等過程1.什么是軟件漏洞？（2）對“軟件漏洞”的認(rèn)識危害：漏洞一旦被惡意主體所利用，就會造成對信息系統(tǒng)的安全損害，從而影響構(gòu)建于信息系統(tǒng)之上正常服務(wù)的運行，危害信息系統(tǒng)及信息的安全屬性。1.什么是軟件漏洞？（3）軟件漏洞的特點持久性與時效性廣泛性與具體性可利用性與隱蔽性2.為什么會出現(xiàn)軟件漏洞？1）計算機系統(tǒng)結(jié)構(gòu)決定了漏洞的必然性2）軟件趨向大型化，第三方擴展增多3）新技術(shù)、新應(yīng)用產(chǎn)生之初即缺乏安全性考慮4）軟件使用場景更具威脅5）對軟件安全開發(fā)重視不夠，軟件開發(fā)者缺乏安全知識3.軟件漏洞為什么要管理？如何管理？（1）為什么要對漏洞進(jìn)行管理？【案例2-1】白帽黑客的罪與罰【案例2-2】阿里巴巴月餅門案例分析：漏洞是一種“武器”讓白帽的漏洞發(fā)現(xiàn)有章有法漏洞管控勢在必行3.軟件漏洞為什么要管理？如何管理？（1）為什么要對漏洞進(jìn)行管理3.軟件漏洞為什么要管理？如何管理？（2）如何管理？1）軟件漏洞分類通常可以從漏洞利用的成因、利用的位置、和對系統(tǒng)造成的直接威脅進(jìn)行分類。①基于漏洞成因的分類內(nèi)存破壞類、邏輯錯誤類、輸入驗證類、設(shè)計錯誤類和配置錯誤類。3.軟件漏洞為什么要管理？如何管理？②基于漏洞利用位置的分類本地漏洞。即需要操作系統(tǒng)級的有效帳號登錄到本地才能利用的漏洞，主要構(gòu)成為權(quán)限提升類漏洞，即把自身的執(zhí)行權(quán)限從普通用戶級別提升到管理員級別。遠(yuǎn)程漏洞。即無需系統(tǒng)級的帳號驗證即可通過網(wǎng)絡(luò)訪問目標(biāo)進(jìn)行利用的漏洞。3.軟件漏洞為什么要管理？如何管理？③基于威脅類型的分類獲取控制。即可以導(dǎo)致劫持程序執(zhí)行流程，轉(zhuǎn)向執(zhí)行攻擊者指定的任意指令或命令，控制應(yīng)用系統(tǒng)或操作系統(tǒng)。威脅最大，同時影響系統(tǒng)的機密性、完整性，甚至在需要的時候可以影響可用性。主要來源：內(nèi)存破壞類。獲取信息。即可以導(dǎo)致劫持程序訪問預(yù)期外的資源并泄露給攻擊者，影響系統(tǒng)的機密性。主要來源：輸入驗證類、配置錯誤類漏洞。拒絕服務(wù)。即可以導(dǎo)致目標(biāo)應(yīng)用或系統(tǒng)暫時或永遠(yuǎn)性地失去響應(yīng)正常服務(wù)的能力，影響系統(tǒng)的可用性。主要來源：內(nèi)存破壞類、意外處理錯誤類漏洞。3.軟件漏洞為什么要管理？如何管理？（2）如何管理？2）軟件漏洞分級對漏洞進(jìn)行分級有助于人們對數(shù)目眾多的安全漏洞給予不同程度的關(guān)注并采取不同級別的措施。①按照漏洞嚴(yán)重等級進(jìn)行分級3.軟件漏洞為什么要管理？如何管理？②利用通用漏洞評分系統(tǒng)（CVSS）進(jìn)行分級依據(jù)對3種度量評價標(biāo)準(zhǔn)來對一個已知的安全漏洞危害程度進(jìn)行打分。基本度量用于描述漏洞的固有基本特性，這些特性不隨時間和用戶環(huán)境的變化而改變。時間度量用于描述漏洞隨時間而改變的特性，這些特性不隨用戶環(huán)境的變化而改變。環(huán)境度量用于描述漏洞與特殊用戶環(huán)境相關(guān)的特性。3.軟件漏洞為什么要管理？如何管理？3）軟件漏洞管理國際標(biāo)準(zhǔn)①安全漏洞標(biāo)識、描述及分級規(guī)范3.軟件漏洞為什么要管理？如何管理？②安全漏洞管理規(guī)范GuidetoUsingVulnerabilityNamingSchemes（NISTSP800—51Rev.1）TheTechnicalSpecificationforthesecuritycontentAutomationprotocol(SCAP)：SCAPVersion1.2（NISTSP800—126Rev.2）GuidetoEnterprisePatchManagementTechnologies（NISTSP800—40Rev.3）SourceCodeSecurityAnalysisToolFunctionalSpecification

（NISTSP500-268）Informationtechnology —Securitytechniques —Vulnerabilitydisclosure（ISO/IEC29147）Informationtechnology—Securitytechniques—Vulnerabilityhandlingprocesses（ISO/IEC30111）3.軟件漏洞為什么要管理？如何管理？②安全漏洞管理規(guī)范GuidetoUsingVulnerabilityNamingSchemes（NISTSP800—51Rev.1）TheTechnicalSpecificationforthesecuritycontentAutomationprotocol(SCAP)：SCAPVersion1.2（NISTSP800—126Rev.2）GuidetoEnterprisePatchManagementTechnologies（NISTSP800—40Rev.3）SourceCodeSecurityAnalysisToolFunctionalSpecification

（NISTSP500-268）Informationtechnology —Securitytechniques —Vulnerabilitydisclosure（ISO/IEC29147）Informationtechnology—Securitytechniques—Vulnerabilityhandlingprocesses（ISO/IEC30111）3.軟件漏洞為什么要管理？如何管理？4）軟件漏洞管理國內(nèi)標(biāo)準(zhǔn)①安全漏洞標(biāo)識與描述規(guī)范《信息安全技術(shù)安全漏洞標(biāo)識與描述規(guī)范》（GB/T28458—2012）②安全漏洞分級規(guī)范《信息安全技術(shù)安全漏洞等級劃分指南》（GB/T30279—2013