軟件漏洞概述本講要點1.什么是軟件漏洞？軟件漏洞與軟件錯誤或軟件缺陷的關系是什么？2.為什么會出現軟件漏洞？3.軟件漏洞為什么要管理？如何管理？1.什么是軟件漏洞？（1）對信息安全中“漏洞”的認識ISO/IEC15408-1《信息技術—安全技術—IT安全評估標準》：漏洞是存在于評估對象中的、在一定的環境條件下可能違反安全功能要求的弱點。美國國家標準與技術研究院NIST內部報告《信息安全關鍵技術語詞匯表》：漏洞是存在于信息系統、系統安全過程、內部控制或實現過程中的、可被威脅源攻擊或觸發的弱點。1.什么是軟件漏洞？（1）對信息安全中“漏洞”的認識ISO/IEC27000《信息技術—安全技術—信息安全管理系統—概述和詞匯》：漏洞是能夠被一個或多個威脅利用的資產或控制中的弱點。小結，對漏洞認識的3個共同特點：漏洞是信息系統自身具有的弱點或者缺陷；漏洞存在環境通常是特定的；漏洞具有可利用性，若攻擊者利用了這些漏洞將會給信息系統安全帶來嚴重威脅和經濟損失。1.什么是軟件漏洞？（2）對“軟件漏洞”的認識基本認識：軟件（安全）漏洞是信息系統安全漏洞的一個重要方面。20世紀80年代，早期黑客的出現和第一個計算機病毒的產生，軟件漏洞逐漸引起人們的關注。在歷經30多年的研究過程中，學術界及產業界對漏洞給出了很多定義，漏洞的定義本身也隨著信息技術的發展而具有不同的含義與范疇。1.什么是軟件漏洞？（2）對“軟件漏洞”的認識基本認識：軟件漏洞通常被認為是軟件生命周期中與安全相關的設計錯誤、編碼缺陷及運行故障等。本書中并不對軟件漏洞/脆弱點、軟件缺陷以及軟件錯誤等概念嚴格區分。軟件漏洞一方面會導致有害的輸出或行為；另一方面漏洞也會被攻擊者所利用來攻擊系統。1.什么是軟件漏洞？（2）對“軟件漏洞”的認識基于軟件生命周期的認識：軟件系統或產品在設計、實現、配置、運行等過程中，由操作實體有意或無意產生的缺陷、瑕疵或錯誤，它們以不同形式存在于信息系統的各個層次和環節之中，且隨著信息系統的變化而改變。1.什么是軟件漏洞？（2）對“軟件漏洞”的認識基于軟件生命周期的認識：漏洞是貫穿軟件生命周期各環節的。在時間維度上，漏洞都會經歷產生、發現、公開、消亡等過程1.什么是軟件漏洞？（2）對“軟件漏洞”的認識危害：漏洞一旦被惡意主體所利用，就會造成對信息系統的安全損害，從而影響構建于信息系統之上正常服務的運行，危害信息系統及信息的安全屬性。1.什么是軟件漏洞？（3）軟件漏洞的特點持久性與時效性廣泛性與具體性可利用性與隱蔽性2.為什么會出現軟件漏洞？1）計算機系統結構決定了漏洞的必然性2）軟件趨向大型化，第三方擴展增多3）新技術、新應用產生之初即缺乏安全性考慮4）軟件使用場景更具威脅5）對軟件安全開發重視不夠，軟件開發者缺乏安全知識3.軟件漏洞為什么要管理？如何管理？（1）為什么要對漏洞進行管理？【案例2-1】白帽黑客的罪與罰【案例2-2】阿里巴巴月餅門案例分析：漏洞是一種“武器”讓白帽的漏洞發現有章有法漏洞管控勢在必行3.軟件漏洞為什么要管理？如何管理？（1）為什么要對漏洞進行管理3.軟件漏洞為什么要管理？如何管理？（2）如何管理？1）軟件漏洞分類通常可以從漏洞利用的成因、利用的位置、和對系統造成的直接威脅進行分類。①基于漏洞成因的分類內存破壞類、邏輯錯誤類、輸入驗證類、設計錯誤類和配置錯誤類。3.軟件漏洞為什么要管理？如何管理？②基于漏洞利用位置的分類本地漏洞。即需要操作系統級的有效帳號登錄到本地才能利用的漏洞，主要構成為權限提升類漏洞，即把自身的執行權限從普通用戶級別提升到管理員級別。遠程漏洞。即無需系統級的帳號驗證即可通過網絡訪問目標進行利用的漏洞。3.軟件漏洞為什么要管理？如何管理？③基于威脅類型的分類獲取控制。即可以導致劫持程序執行流程，轉向執行攻擊者指定的任意指令或命令，控制應用系統或操作系統。威脅最大，同時影響系統的機密性、完整性，甚至在需要的時候可以影響可用性。主要來源：內存破壞類。獲取信息。即可以導致劫持程序訪問預期外的資源并泄露給攻擊者，影響系統的機密性。主要來源：輸入驗證類、配置錯誤類漏洞。拒絕服務。即可以導致目標應用或系統暫時或永遠性地失去響應正常服務的能力，影響系統的可用性。主要來源：內存破壞類、意外處理錯誤類漏洞。3.軟件漏洞為什么要管理？如何管理？（2）如何管理？2）軟件漏洞分級對漏洞進行分級有助于人們對數目眾多的安全漏洞給予不同程度的關注并采取不同級別的措施。①按照漏洞嚴重等級進行分級3.軟件漏洞為什么要管理？如何管理？②利用通用漏洞評分系統（CVSS）進行分級依據對3種度量評價標準來對一個已知的安全漏洞危害程度進行打分。基本度量用于描述漏洞的固有基本特性，這些特性不隨時間和用戶環境的變化而改變。時間度量用于描述漏洞隨時間而改變的特性，這些特性不隨用戶環境的變化而改變。環境度量用于描述漏洞與特殊用戶環境相關的特性。3.軟件漏洞為什么要管理？如何管理？3）軟件漏洞管理國際標準①安全漏洞標識、描述及分級規范3.軟件漏洞為什么要管理？如何管理？②安全漏洞管理規范GuidetoUsingVulnerabilityNamingSchemes（NISTSP800—51Rev.1）TheTechnicalSpecificationforthesecuritycontentAutomationprotocol(SCAP)：SCAPVersion1.2（NISTSP800—126Rev.2）GuidetoEnterprisePatchManagementTechnologies（NISTSP800—40Rev.3）SourceCodeSecurityAnalysisToolFunctionalSpecification

（NISTSP500-268）Informationtechnology —Securitytechniques —Vulnerabilitydisclosure（ISO/IEC29147）Informationtechnology—Securitytechniques—Vulnerabilityhandlingprocesses（ISO/IEC30111）3.軟件漏洞為什么要管理？如何管理？②安全漏洞管理規范GuidetoUsingVulnerabilityNamingSchemes（NISTSP800—51Rev.1）TheTechnicalSpecificationforthesecuritycontentAutomationprotocol(SCAP)：SCAPVersion1.2（NISTSP800—126Rev.2）GuidetoEnterprisePatchManagementTechnologies（NISTSP800—40Rev.3）SourceCodeSecurityAnalysisToolFunctionalSpecification

（NISTSP500-268）Informationtechnology —Securitytechniques —Vulnerabilitydisclosure（ISO/IEC29147）Informationtechnology—Securitytechniques—Vulnerabilityhandlingprocesses（ISO/IEC30111）3.軟件漏洞為什么要管理？如何管理？4）軟件漏洞管理國內標準①安全漏洞標識與描述規范《信息安全技術安全漏洞標識與描述規范》（GB/T28458—2012）②安全漏洞分級規范《信息安全技術安全漏洞等級劃分指南》（GB/T30279—2013