security vulnerabilities

定義：安全的薄弱環(huán)節(jié)。

學科：計算機科學技術(shù)_網(wǎng)絡(luò)與數(shù)據(jù)通信_網(wǎng)絡(luò)管理與安全

相關(guān)名詞：網(wǎng)絡(luò)安全 缺陷

圖片來源：視覺中國

【延伸閱讀】

安全漏洞是計算機系統(tǒng)、網(wǎng)絡(luò)產(chǎn)品及服務(wù)在全生命周期中，從需求分析、設(shè)計編碼到運行維護等環(huán)節(jié)產(chǎn)生的涉及安全的缺陷或薄弱點。這些缺陷或薄弱點存在于系統(tǒng)各類組件中，無論是系統(tǒng)本身、安全程序，還是內(nèi)部控制及實施過程，都可能成為漏洞載體。一旦被黑客等惡意主體利用，就會損害網(wǎng)絡(luò)安全，輕則影響系統(tǒng)運行，重則威脅資產(chǎn)的保密性、完整性和可用性。

安全漏洞從性質(zhì)上可分為技術(shù)漏洞與非技術(shù)漏洞。技術(shù)漏洞集中在信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備等技術(shù)環(huán)節(jié)：未及時打補丁的系統(tǒng)，如同未關(guān)門的房間；弱口令，則像簡單而易被破解的密碼鎖；未加密的敏感數(shù)據(jù)傳輸，如同公開傳遞私密信息。非技術(shù)漏洞體現(xiàn)在人員和流程上：員工的安全意識不足，隨意點擊不明鏈接易被入侵；授權(quán)不明確，會導致權(quán)限混亂；審核不充分，則難以及時發(fā)現(xiàn)異常。

簡單說來，安全漏洞是軟硬件及管理的弱點，可被發(fā)現(xiàn)、利用并損害資產(chǎn)安全。它有三個典型特征：

弱點性。這是安全漏洞存在的基礎(chǔ)，可存在于產(chǎn)品、網(wǎng)絡(luò)、應(yīng)用、控制手段、實現(xiàn)方式或安全策略中。如軟件設(shè)計忽略用戶權(quán)限精細劃分，或網(wǎng)絡(luò)訪問策略過松，都可能成為漏洞源頭。

可利用性。這是區(qū)分安全漏洞與普通缺陷的關(guān)鍵，普通缺陷可能僅影響功能或性能，而安全漏洞可被惡意利用。其利用需“威脅源”主動構(gòu)造攻擊條件，偶然觸發(fā)概率極低。比如針對某系統(tǒng)漏洞，攻擊者需編寫特定程序才能非法訪問。

損壞安全性。安全漏洞被利用后，必然損害資產(chǎn)安全，影響保密性、完整性和可用性。比如竊取核心數(shù)據(jù)破壞保密性，篡改業(yè)務(wù)數(shù)據(jù)影響完整性，發(fā)起拒絕服務(wù)攻擊導致系統(tǒng)無法服務(wù)，破壞可用性。

不同行業(yè)、組織雖網(wǎng)絡(luò)安全挑戰(zhàn)和風險管理目標不同，漏洞治理體系存在差異，但在預(yù)防方面有共通性：可定期開展漏洞掃描與風險評估，及時修補高危漏洞；建立應(yīng)急響應(yīng)機制，降低漏洞被利用的影響；加強人員安全培訓，增強漏洞防范意識。

（延伸閱讀作者：中國科學技術(shù)大學出版社副編審 黃成群）

責任編輯：張兆都