漏洞是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。漏洞一旦被发现,就可使用这个漏洞获得计算机系统的额外权限,使攻击者能够在未授权的情况下访问或破坏系统,从而导致危害计算机系统安全。 漏洞问题是与时间紧密相关的。一个系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补,或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本具有漏洞的同时,也会引入一些新的漏洞和错误。漏洞存在的原因,包括不恰当的安全操作和规程,负责网络安全人员的培训不足,软件产品的质量较差等。 在一些企业和政府机构,一个重要的安全补丁只有在供应商提供后才计划安装在电脑中。如果公司或政府机构未能执行其安全策略,或者因为补丁安装时会扰乱计算机,导致系统管理员需要花费大量的时间去修复电脑配置来接收新补丁,这种延迟就会发生。软件供应商经常因为发布和商用有漏洞的产品而被批评。美国政府专家表示,80%对联邦计算机系统的成功侵入是由低质量的软件和众多因为过早发布导致的软件漏洞引起的。但目前对于软件生产商销售有设计缺陷的产品还没有相关的法律责任或监管机制。事实是,产品附带的许可协议中还包括一个对软件制造商的免责声明。
参考书目Wilson,C.CRS Report for Congress:Computer Attack and Cyberterrorism:Vulnerabilities and Policy Issues
王磊. 计算机系统安全漏洞研究[D].西安电子科技大学,2004.
深入阅读
单国栋,戴英侠,王航. 计算机漏洞分类研究[J]. 计算机工程,2002,10:3-6.
Enrico Perla,Massimiliano Oldani,(译)吴世忠,郁莲,郭涛,董国伟. 内核漏洞的利用与防范.机械工业出版社华章公司,2012.3.15
王清.0day安全:软件漏洞分析技术.电子工业出版社,2008
相关主题