漏洞评估之漏洞评估的概念三
1990年,Longstaff-人认为漏洞是指系统中存在的任何不足或缺陷。在计算机安全中, 漏洞可以从以下两个方面来理解:一方面,漏洞是指自动化系统安全过程、管理控制以及内部控制等中的缺陷,它能够被威胁利用,从而获得对信息的非授权访问或者破坏关键数据处理;另一方面,漏洞是指在物理层、组织管理、软件程序或人员管理方面的缺陷,它能够被利用而导致对系统的损害。
1999年,ISO/IEC15408对漏洞给出的定义是:漏洞是存在于评估对象(TOE)中的,在一定的环境条件下可能违反安全功能要求的弱点。2003年美国发布的信息系统安全词汇表( NSTISSI N0.4009)给出的定义认为漏洞是指可被利用的信息系统、系统安全流程、内部控制或实施中存在的弱点。2006年美国家标准与技术研究院发布的《关键信息安全术语词汇表》(NIsT IR 7298)定义漏洞是指威胁源可以攻击或触发的信息系统、系统安全流程、 内部控制或实施中的弱点。同年出版的《信息安全字典》中给出的定义,漏洞是系统安全流程、系统设计、实施、内部控制等过程中的弱点,这些弱点可以被攻击以违反系统安全策略;攻击或对威胁暴露的可能性特定于给定的平台。2009年ISO/IEC SC 27发布的国际标准SD6: IT安全术语词汇表》中给出的定义是,漏洞是一个或多个威胁可以利用的一个或一组资产的弱点;是违反某些环境中安全功能要求的评估对象( TOE)中的弱点;是在信息系统(包括其安全控制)或其环境的设计及实施中的缺陷、弱点或特性。
综上所述,信息安全漏洞可以这样理解,从生命周期的角度出发,信息技术、信息产品和信息系统在需求、设计、实现、配置、维护和使用等过程中,有意或无意产生的缺陷,这些缺陷一旦被恶意主体所利用,就会造成对信息产品或系统的安全损害,从而影响构建于信息产品或系统之上正常服务的运行,危害信息产品或系统及信息的安全属性。
有时漏洞也被称作错误( Error)、缺陷(Fault)、弱点(Weakness)、或是故障( Failure)等,这些术语很容易引起混淆。在许多情况下,人们习惯于将错误、缺陷、弱点都简单地称为漏洞。需要指出的是,严格地说,错误、缺陷、弱点和故障并不等于漏洞。错误、缺陷和弱点是产生漏洞的条件,漏洞被利用后必然会破坏安全属性,但不一定能引起产品或系统故障。
- 上一篇:漏洞评估之漏洞评估的概念二
- 下一篇:漏洞评估之漏洞管理