security vulnerabilities

定義：安全的薄弱環(huán)節(jié)。

學(xué)科：計(jì)算機(jī)科學(xué)技術(shù)_網(wǎng)絡(luò)與數(shù)據(jù)通信_(tái)網(wǎng)絡(luò)管理與安全

相關(guān)名詞：網(wǎng)絡(luò)安全 缺陷

圖片來源：視覺中國(guó)

【延伸閱讀】

安全漏洞是計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)產(chǎn)品及服務(wù)在全生命周期中，從需求分析、設(shè)計(jì)編碼到運(yùn)行維護(hù)等環(huán)節(jié)產(chǎn)生的涉及安全的缺陷或薄弱點(diǎn)。這些缺陷或薄弱點(diǎn)存在于系統(tǒng)各類組件中，無論是系統(tǒng)本身、安全程序，還是內(nèi)部控制及實(shí)施過程，都可能成為漏洞載體。一旦被黑客等惡意主體利用，就會(huì)損害網(wǎng)絡(luò)安全，輕則影響系統(tǒng)運(yùn)行，重則威脅資產(chǎn)的保密性、完整性和可用性。

安全漏洞從性質(zhì)上可分為技術(shù)漏洞與非技術(shù)漏洞。技術(shù)漏洞集中在信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備等技術(shù)環(huán)節(jié)：未及時(shí)打補(bǔ)丁的系統(tǒng)，如同未關(guān)門的房間；弱口令，則像簡(jiǎn)單而易被破解的密碼鎖；未加密的敏感數(shù)據(jù)傳輸，如同公開傳遞私密信息。非技術(shù)漏洞體現(xiàn)在人員和流程上：?jiǎn)T工的安全意識(shí)不足，隨意點(diǎn)擊不明鏈接易被入侵；授權(quán)不明確，會(huì)導(dǎo)致權(quán)限混亂；審核不充分，則難以及時(shí)發(fā)現(xiàn)異常。

簡(jiǎn)單說來，安全漏洞是軟硬件及管理的弱點(diǎn)，可被發(fā)現(xiàn)、利用并損害資產(chǎn)安全。它有三個(gè)典型特征：

弱點(diǎn)性。這是安全漏洞存在的基礎(chǔ)，可存在于產(chǎn)品、網(wǎng)絡(luò)、應(yīng)用、控制手段、實(shí)現(xiàn)方式或安全策略中。如軟件設(shè)計(jì)忽略用戶權(quán)限精細(xì)劃分，或網(wǎng)絡(luò)訪問策略過松，都可能成為漏洞源頭。

可利用性。這是區(qū)分安全漏洞與普通缺陷的關(guān)鍵，普通缺陷可能僅影響功能或性能，而安全漏洞可被惡意利用。其利用需“威脅源”主動(dòng)構(gòu)造攻擊條件，偶然觸發(fā)概率極低。比如針對(duì)某系統(tǒng)漏洞，攻擊者需編寫特定程序才能非法訪問。

損壞安全性。安全漏洞被利用后，必然損害資產(chǎn)安全，影響保密性、完整性和可用性。比如竊取核心數(shù)據(jù)破壞保密性，篡改業(yè)務(wù)數(shù)據(jù)影響完整性，發(fā)起拒絕服務(wù)攻擊導(dǎo)致系統(tǒng)無法服務(wù)，破壞可用性。

不同行業(yè)、組織雖網(wǎng)絡(luò)安全挑戰(zhàn)和風(fēng)險(xiǎn)管理目標(biāo)不同，漏洞治理體系存在差異，但在預(yù)防方面有共通性：可定期開展漏洞掃描與風(fēng)險(xiǎn)評(píng)估，及時(shí)修補(bǔ)高危漏洞；建立應(yīng)急響應(yīng)機(jī)制，降低漏洞被利用的影響；加強(qiáng)人員安全培訓(xùn)，增強(qiáng)漏洞防范意識(shí)。

（延伸閱讀作者：中國(guó)科學(xué)技術(shù)大學(xué)出版社副編審 黃成群）

責(zé)任編輯：張兆都