一、软件漏洞的概念
1、信息安全漏洞简述
信息安全漏洞是信息安风险的主要根源之一,是网络攻防对抗中的主要目标。由于信息系统漏洞的危害性、多样性和广泛性,在当前网路空间博弈中,漏洞作为一种战略资源被各方所积极关注。
对于信息安全漏洞的不同认识有以下三个主要的共同特点:
- 漏洞是信息系统自身的弱点或缺陷。
- 漏洞存在环境通常是特定的。
- 漏洞具有可利用性,若攻击者利用了这些漏洞,将会给信息系统带来不可估量的的损失。
2、软件漏洞
软件漏洞是信息安全系统漏洞的重要组成部分。分析、理解软件漏洞对于我们了解软件安全威胁是非常关键的。
常说的软件漏洞包括软件错误、软件缺陷以及软件失效。其简单关系如下图:
软件错误:开发人员在开发过程中出现的不符合预期效果的人为差错,其结果可能导致软件缺陷的发生。
软件缺陷:软件运行过程中出现的有人为因素或其他客观原因引起的不希望出现的或不可接受的偏差。
软件故障:软件运行出现感知的不正常的、不正确的或不按规范执行的状态。
软件失效:指软件完全丧失规定功能,是软件缺陷的外在表现
3、软件漏洞概念
软件漏洞通常被认为是软件生命周期中出现的设计错误、编码缺陷以及运行故障。
通常按照时间维度上的漏洞产生、发现、公开和消亡的角度,分为以下三类:
- 0 day漏洞:指已经被发现,但未被公开或官方还未发布补丁的漏洞
- 1 day漏洞:指厂商已经发现并公开了相关补丁,但由于部分用户还未及时打补丁,此漏洞依然具有可利用性。
- 历史漏洞:距离漏洞补丁发布时间较久,不可利用的漏洞。
漏洞的特点:
- 持久性与时效性
- 广泛性与具体性
- 可利用性与隐蔽性
4、软件漏洞的成因分析
1)计算机系统结构决定了漏洞的必然性。
下图说明了冯诺依曼体系计算机容易产生漏洞的原因:
2)软件趋向大型化,第三方拓展增多
常用大型软件为了充分使软件功能得到扩充,通常会有第三方拓展,这些拓展插件的存在,增加系统功能的同时也导致的安全隐患的存在,研究表名“代码行数越多,缺陷也就越多“
3)软件新技术、新应用产生之初即缺乏安全意识
比如大多数网络协议,在设计之初就没有考虑过其安全性。当今互联网技术蓬勃发展,新技术的不断出现,也带来了大量新的安全按挑战。
4)软件使用场景更具威胁
网络技术是发展,软件被用于各行各业,遍及各个社会层次。软件开发者需要考虑的问题更多,并且黑客与恶意攻击者比以往有更多的机会和时间来访问软件系统,并尝试寻找、利用软件漏洞。
5)软件安全开发重视度不够,开发者缺少安全意识。
二、软件漏洞标准化管理
1、软件漏洞分类
1)基于漏洞成因的分类
- 内存破坏类
- 逻辑错误类
- 输入验证类
- 设计错误类
- 配置错误类
2)基于漏洞利用位置分类
- 本地漏洞
- 远程漏洞
3)基于威胁类型分类
- 获取控制
- 获取信息
- 拒绝服务
2、软件漏洞分级
3、安全漏洞管理规范
根据安全漏洞生命周期中漏洞发现、利用、修复和公开四个阶段,对应的管理行为分为预防、收集、消减和发布等实施活动。
- 漏洞预防阶段:厂商采取相应措施来提高产品安全水平,对用户使用的计算机系统进行安全加固等安全配置
- 漏洞收集阶段:漏洞收集组织与漏送管理涉及的各方沟通,广泛处理并收集漏洞,确认漏洞存在后回复报告方。
- 漏洞消减阶段:依据处理策略在规定时间内修复漏洞,依据漏洞类型和危害程度优先开发高危漏洞修复措施。
- 漏洞发布阶段:在规定时间内发布漏洞及相关修复措施。厂商应建立发布渠道,及时通知用户。