軟件漏洞概述本講要點(diǎn)1.什么是軟件漏洞？軟件漏洞與軟件錯(cuò)誤或軟件缺陷的關(guān)系是什么？2.為什么會(huì)出現(xiàn)軟件漏洞？3.軟件漏洞為什么要管理？如何管理？1.什么是軟件漏洞？（1）對(duì)信息安全中“漏洞”的認(rèn)識(shí)ISO/IEC15408-1《信息技術(shù)—安全技術(shù)—IT安全評(píng)估標(biāo)準(zhǔn)》：漏洞是存在于評(píng)估對(duì)象中的、在一定的環(huán)境條件下可能違反安全功能要求的弱點(diǎn)。美國國家標(biāo)準(zhǔn)與技術(shù)研究院NIST內(nèi)部報(bào)告《信息安全關(guān)鍵技術(shù)語詞匯表》：漏洞是存在于信息系統(tǒng)、系統(tǒng)安全過程、內(nèi)部控制或?qū)崿F(xiàn)過程中的、可被威脅源攻擊或觸發(fā)的弱點(diǎn)。1.什么是軟件漏洞？（1）對(duì)信息安全中“漏洞”的認(rèn)識(shí)ISO/IEC27000《信息技術(shù)—安全技術(shù)—信息安全管理系統(tǒng)—概述和詞匯》：漏洞是能夠被一個(gè)或多個(gè)威脅利用的資產(chǎn)或控制中的弱點(diǎn)。小結(jié)，對(duì)漏洞認(rèn)識(shí)的3個(gè)共同特點(diǎn)：漏洞是信息系統(tǒng)自身具有的弱點(diǎn)或者缺陷；漏洞存在環(huán)境通常是特定的；漏洞具有可利用性，若攻擊者利用了這些漏洞將會(huì)給信息系統(tǒng)安全帶來嚴(yán)重威脅和經(jīng)濟(jì)損失。1.什么是軟件漏洞？（2）對(duì)“軟件漏洞”的認(rèn)識(shí)基本認(rèn)識(shí)：軟件（安全）漏洞是信息系統(tǒng)安全漏洞的一個(gè)重要方面。20世紀(jì)80年代，早期黑客的出現(xiàn)和第一個(gè)計(jì)算機(jī)病毒的產(chǎn)生，軟件漏洞逐漸引起人們的關(guān)注。在歷經(jīng)30多年的研究過程中，學(xué)術(shù)界及產(chǎn)業(yè)界對(duì)漏洞給出了很多定義，漏洞的定義本身也隨著信息技術(shù)的發(fā)展而具有不同的含義與范疇。1.什么是軟件漏洞？（2）對(duì)“軟件漏洞”的認(rèn)識(shí)基本認(rèn)識(shí)：軟件漏洞通常被認(rèn)為是軟件生命周期中與安全相關(guān)的設(shè)計(jì)錯(cuò)誤、編碼缺陷及運(yùn)行故障等。本書中并不對(duì)軟件漏洞/脆弱點(diǎn)、軟件缺陷以及軟件錯(cuò)誤等概念嚴(yán)格區(qū)分。軟件漏洞一方面會(huì)導(dǎo)致有害的輸出或行為；另一方面漏洞也會(huì)被攻擊者所利用來攻擊系統(tǒng)。1.什么是軟件漏洞？（2）對(duì)“軟件漏洞”的認(rèn)識(shí)基于軟件生命周期的認(rèn)識(shí)：軟件系統(tǒng)或產(chǎn)品在設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過程中，由操作實(shí)體有意或無意產(chǎn)生的缺陷、瑕疵或錯(cuò)誤，它們以不同形式存在于信息系統(tǒng)的各個(gè)層次和環(huán)節(jié)之中，且隨著信息系統(tǒng)的變化而改變。1.什么是軟件漏洞？（2）對(duì)“軟件漏洞”的認(rèn)識(shí)基于軟件生命周期的認(rèn)識(shí)：漏洞是貫穿軟件生命周期各環(huán)節(jié)的。在時(shí)間維度上，漏洞都會(huì)經(jīng)歷產(chǎn)生、發(fā)現(xiàn)、公開、消亡等過程1.什么是軟件漏洞？（2）對(duì)“軟件漏洞”的認(rèn)識(shí)危害：漏洞一旦被惡意主體所利用，就會(huì)造成對(duì)信息系統(tǒng)的安全損害，從而影響構(gòu)建于信息系統(tǒng)之上正常服務(wù)的運(yùn)行，危害信息系統(tǒng)及信息的安全屬性。1.什么是軟件漏洞？（3）軟件漏洞的特點(diǎn)持久性與時(shí)效性廣泛性與具體性可利用性與隱蔽性2.為什么會(huì)出現(xiàn)軟件漏洞？1）計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)決定了漏洞的必然性2）軟件趨向大型化，第三方擴(kuò)展增多3）新技術(shù)、新應(yīng)用產(chǎn)生之初即缺乏安全性考慮4）軟件使用場(chǎng)景更具威脅5）對(duì)軟件安全開發(fā)重視不夠，軟件開發(fā)者缺乏安全知識(shí)3.軟件漏洞為什么要管理？如何管理？（1）為什么要對(duì)漏洞進(jìn)行管理？【案例2-1】白帽黑客的罪與罰【案例2-2】阿里巴巴月餅門案例分析：漏洞是一種“武器”讓白帽的漏洞發(fā)現(xiàn)有章有法漏洞管控勢(shì)在必行3.軟件漏洞為什么要管理？如何管理？（1）為什么要對(duì)漏洞進(jìn)行管理3.軟件漏洞為什么要管理？如何管理？（2）如何管理？1）軟件漏洞分類通常可以從漏洞利用的成因、利用的位置、和對(duì)系統(tǒng)造成的直接威脅進(jìn)行分類。①基于漏洞成因的分類內(nèi)存破壞類、邏輯錯(cuò)誤類、輸入驗(yàn)證類、設(shè)計(jì)錯(cuò)誤類和配置錯(cuò)誤類。3.軟件漏洞為什么要管理？如何管理？②基于漏洞利用位置的分類本地漏洞。即需要操作系統(tǒng)級(jí)的有效帳號(hào)登錄到本地才能利用的漏洞，主要構(gòu)成為權(quán)限提升類漏洞，即把自身的執(zhí)行權(quán)限從普通用戶級(jí)別提升到管理員級(jí)別。遠(yuǎn)程漏洞。即無需系統(tǒng)級(jí)的帳號(hào)驗(yàn)證即可通過網(wǎng)絡(luò)訪問目標(biāo)進(jìn)行利用的漏洞。3.軟件漏洞為什么要管理？如何管理？③基于威脅類型的分類獲取控制。即可以導(dǎo)致劫持程序執(zhí)行流程，轉(zhuǎn)向執(zhí)行攻擊者指定的任意指令或命令，控制應(yīng)用系統(tǒng)或操作系統(tǒng)。威脅最大，同時(shí)影響系統(tǒng)的機(jī)密性、完整性，甚至在需要的時(shí)候可以影響可用性。主要來源：內(nèi)存破壞類。獲取信息。即可以導(dǎo)致劫持程序訪問預(yù)期外的資源并泄露給攻擊者，影響系統(tǒng)的機(jī)密性。主要來源：輸入驗(yàn)證類、配置錯(cuò)誤類漏洞。拒絕服務(wù)。即可以導(dǎo)致目標(biāo)應(yīng)用或系統(tǒng)暫時(shí)或永遠(yuǎn)性地失去響應(yīng)正常服務(wù)的能力，影響系統(tǒng)的可用性。主要來源：內(nèi)存破壞類、意外處理錯(cuò)誤類漏洞。3.軟件漏洞為什么要管理？如何管理？（2）如何管理？2）軟件漏洞分級(jí)對(duì)漏洞進(jìn)行分級(jí)有助于人們對(duì)數(shù)目眾多的安全漏洞給予不同程度的關(guān)注并采取不同級(jí)別的措施。①按照漏洞嚴(yán)重等級(jí)進(jìn)行分級(jí)3.軟件漏洞為什么要管理？如何管理？②利用通用漏洞評(píng)分系統(tǒng)（CVSS）進(jìn)行分級(jí)依據(jù)對(duì)3種度量評(píng)價(jià)標(biāo)準(zhǔn)來對(duì)一個(gè)已知的安全漏洞危害程度進(jìn)行打分。基本度量用于描述漏洞的固有基本特性，這些特性不隨時(shí)間和用戶環(huán)境的變化而改變。時(shí)間度量用于描述漏洞隨時(shí)間而改變的特性，這些特性不隨用戶環(huán)境的變化而改變。環(huán)境度量用于描述漏洞與特殊用戶環(huán)境相關(guān)的特性。3.軟件漏洞為什么要管理？如何管理？3）軟件漏洞管理國際標(biāo)準(zhǔn)①安全漏洞標(biāo)識(shí)、描述及分級(jí)規(guī)范3.軟件漏洞為什么要管理？如何管理？②安全漏洞管理規(guī)范GuidetoUsingVulnerabilityNamingSchemes（NISTSP800—51Rev.1）TheTechnicalSpecificationforthesecuritycontentAutomationprotocol(SCAP)：SCAPVersion1.2（NISTSP800—126Rev.2）GuidetoEnterprisePatchManagementTechnologies（NISTSP800—40Rev.3）SourceCodeSecurityAnalysisToolFunctionalSpecification

（NISTSP500-268）Informationtechnology —Securitytechniques —Vulnerabilitydisclosure（ISO/IEC29147）Informationtechnology—Securitytechniques—Vulnerabilityhandlingprocesses（ISO/IEC30111）3.軟件漏洞為什么要管理？如何管理？②安全漏洞管理規(guī)范GuidetoUsingVulnerabilityNamingSchemes（NISTSP800—51Rev.1）TheTechnicalSpecificationforthesecuritycontentAutomationprotocol(SCAP)：SCAPVersion1.2（NISTSP800—126Rev.2）GuidetoEnterprisePatchManagementTechnologies（NISTSP800—40Rev.3）SourceCodeSecurityAnalysisToolFunctionalSpecification

（NISTSP500-268）Informationtechnology —Securitytechniques —Vulnerabilitydisclosure（ISO/IEC29147）Informationtechnology—Securitytechniques—Vulnerabilityhandlingprocesses（ISO/IEC30111）3.軟件漏洞為什么要管理？如何管理？4）軟件漏洞管理國內(nèi)標(biāo)準(zhǔn)①安全漏洞標(biāo)識(shí)與描述規(guī)范《信息安全技術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范》（GB/T28458—2012）②安全漏洞分級(jí)規(guī)范《信息安全技術(shù)安全漏洞等級(jí)劃分指南》（GB/T30279—2013