漏洞:也被译作“脆弱性”,源自拉丁语的“伤口”,是一种特殊类型的 bug, bug是导致系统行为不符合预期的缺陷,其中,安全bug是指能影响到系统 CIA三要素的缺陷。在安全 bug 的范畴里,能够被攻击者恶意利用从而操纵软件故意执行非预期功能的bug就是漏洞。漏洞可能存在于物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各个方面。漏洞的根源是人类的智力有限,只要信息系统仍由人类负责设计、制造和使用,漏洞就难以避免。
从影响范围的角度,漏洞可以分为通用型和事件型。通用型漏洞源自存在设计、实现缺陷的通用ICT产品,如基础模块、APP应用、开发框架、硬件设备等,产品中的所有用户均可能受到影响。事件型漏洞来自特定部署环境下信息资产的安全弱点,比如站点独有的实现缺陷、不恰当的系统配置、弱口令等,一般仅影响单个组织或单个系统。CVE(通用漏洞和暴露)是一个开放的漏洞列表,主要收录通用型漏洞,并为之赋予枚举编号。我国的CNVD(国家信息安全漏洞共享平台)等漏洞库也建立了类似的通用型漏洞编号体系。
GB/T 30279基于漏洞产生或触发的技术原因,将漏洞划分为代码问题、配置错误和环境问题等类。代码问题是指代码开发过程中产生的漏洞,可细分为资源管理错误、输入验证错误、数字错误、竞争条件问题、处理逻辑错误、加密问题、授权问题、数据转换问题和未声明功能。配置错误是指在使用过程中因不当配置产生的漏洞,如采用了默认的不安全配置。环境问题指由运行环境原因导致的安全问题,又分为信息泄露(如通过日志、调试输出或侧信道)和故障注入(通过改变物理环境触发故障)。
包括计算机在内的各种设备均存在漏洞,请大家发现自己的电脑或者手机提示需要软件升级或者单独打补丁时及时下载安装。国家信息安全漏洞共享平台网址如下:https://www.cnvd.org.cn/
