本文是一个安全漏洞相关的科普, 介绍安全漏洞的概念认识, 漏洞在几个维度上的分类及实例展示。
安全漏洞及相关的概念
本节介绍什么是安全漏洞及相关的概况。
安全漏洞的定义
我们经常听到漏洞这个概念,可什么是安全漏洞?想给它一个清晰完整的定义其实是非常困难的。 如果你去搜索一下对于漏洞的定义, 基本上会发现高大上的学术界和讲求实用的工业界各有各的说法,漏洞相关的各种角色,比如研究者、厂商、用户,对漏洞的认识也是非常不一致的。从业多年,我至今都找不到一个满意的定义,于是我自己定义一个:安全漏洞是信息系统在生命周期的各个阶段(设计、实现、运维等过程)中产生的某类问题,这些问题会对系统的安全(机密性、完整性、可用性)产生影响。这是一个从研究者角度的偏狭义的定义,影响的主体范围限定在了信息系统中, 以尽量不把我们所不熟悉的对象扯进来。漏洞之所以被描述为某种“问题”,是因为我发现无法简单地用脆弱性、缺陷和 Bug 等概念来涵盖它,而更象是这些概念的一个超集。
漏洞会在系统生命周期内的各个阶段被引入进来,比如设计阶段引入的一个设计得非常容易被破解的加密算法,实现阶段引入的一个代码缓冲区溢出问题,运维阶段的一个错误的安全配置,这些都有可能最终成为漏洞。定义对安全的影响也只涉及狭义信息安全的三方面:机密性、完整性和可用性。 漏洞造成的敏感信息泄露导致机密性的破坏;造成数据库中的信息被非法篡改导致完整性的破坏;造成服务器进程的崩溃导致可用性的丧失。漏洞也可能同时导致多个安全属性的破坏。
链接: http://pan.baidu.com/s/1qWDF1Vm 密码: j1x8