软考教材重点内容 信息安全工程师 第13章 网络安全漏洞防护技术原理与应用

13.1.1 网络安全漏洞概念
网络安全漏洞又称为脆弱性，简称漏洞。漏洞一般是致使网络信息系统安全策略相冲突的缺陷，这种缺陷通常称为安全隐患。安全漏洞的影响主要有机密性受损、完整性破坏、可用性降低、抗抵赖性缺失、可控制性下降、真实性不保等。根据己经公开的漏洞信息，网络信息系统的硬件层、软硬协同层、系统层、网络层、数据层、应用层、业务层、人机交互层都已被发现存在安全漏洞。
例如，国外网络安全机构己经公布了 Meltdown(融化)和 Spectre(幽灵) 。

13.2 网络安全漏洞分类与管理
网络安全漏洞来源、网络安全漏洞分类、网络安全漏洞发布、网络安全漏洞信息获取、网络安全漏洞管理过程。

13.2.1 网络安全漏洞来源
网络信息系统的漏洞主要来自两个方面:一方面是非技术性安全漏洞，涉及管理组织结构、管理制度、管理流程、人员管理等;另一方面是技术性安全漏洞，主要涉及网络结构、通信协议、设备、软件产品、系统配置、应用系统等。

13.2.2 网络安全漏洞分类
网络安全漏洞分类有利于漏洞信息的管理，但是目前还没有统一的漏洞分类标准。国际上较为认可的是 CVE 漏洞分类和 CVSS 漏洞分级标准。另外，还有我国信息安全漏洞分类及 OWASP 漏洞分类。

1. CVE 漏洞分类
CVE 是由美国 MITRE 公司建设和维护的安全漏洞字典。CVE 给出己经公开的安全漏洞的统一标识和规范化描述，其目标是便于共享漏洞数据。CVE 条目的包含内容是标识数字、安全漏洞简要描述、至少有一个公开参考。标识数字简称 CVE ID，其格式由年份数字和其他数字组成，如 CVE-2019-1543 为一个 Open SSL安全漏洞编号。CVE 是国际上权威的网络安全漏洞发布组织，其成员包含众多全球知名的安全企业和研究机构。

2. CVSS
CVSS 是一个通用漏洞计分系统，分数计算依据由基本度量计分、时序度量计分、环境度量计分组成。以 CVSS v3.0 为例，其中，基本度量计分由攻击向量、攻击复杂性、特权要求、用户交互、完整性影响、保密性影响、可用性影响、影响范围等参数决定。时序度量计分由漏洞利用代码成熟度、修补级别、漏洞报告可信度等参数决定。环境度量计分由完整性要求、保密性要求、可用性要求、修订基本得分等决定.

3.我国信息安全漏洞分类
我国网络安全管理部门建立了国家信息安全漏洞库(CNNVD)漏洞分类分级标准、国家信息安全漏洞共享平台(CNVD)漏洞分类分级标准。
1)国家信息安全漏洞库(CNNVD)漏洞分类
CNNVD 将信息安全漏洞划分为:配置错误、代码问题、资源管理错误、数字错误、信息泄露、跨站脚本、路径遍历、SQL 注入、代码注入、访问控制错误和资料不足等。
2)国家信息安全漏洞共享平台(CNVD)漏洞分类
CNVD 根据漏洞产生原因，将漏洞分为 11 种类型:输入验证错误、访问验证错误、意外情况处理错误数目、边界条件错误数目、配置错误、竞争条件、环境错误、设计错误、缓冲区错误、其他错误、未知错误。

4. OWASP TOP 10 漏洞分类
OWASP (Open Web Application Security Program)组织发布了有关 Web 应用程序的前十种安全漏洞。目前，已发布多个版本，主要的漏洞类型有注入、未验证的重定向和转发、失效的身份认证、XML 外部实体(XXE )、敏感信息泄露、失效的访问控制、安全配置错误、跨站脚本(XSS )、不安全的反序列化、使用含有己知漏洞的组件、不足的日志记录和监控、非安全加密存储。

13.2.3 网络安全漏洞发布
安全漏洞发布机制是一种向公众及用户公开漏洞信息的方法。及时将安全漏洞信息公布给用户，有利于帮助安全相关部门采取措施及时堵住漏洞，不让攻击者有机可乘，从而提高系统的安全性，减少漏洞带来的危害和损失。安全漏洞发布一般由软硬件开发商、安全组织、黑客或用户来进行。

漏洞发布方式主要有三种形式:网站、电子邮件以及安全论坛。

13.2.4 网络安全漏洞信息获取

国内外漏洞信息来源主要有四个方面:
一是网络安全应急响应机构;
二是网络安全厂商;
三是 IT 产品或系统提供商;
四是网络安全组织。