什么是安全漏洞

漏洞扫描的对象是安全漏洞，那么什么是安全漏洞呢?安全漏洞是指信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中，由操作实体有意或无意制造的缺陷，这些缺陷以不同形式存在于信息系统的各个层次和环节中，随着信息系统的变化而改变。这些缺陷一旦被恶意主体利用，就会对信息系统的安全造成损害，从而影响构建其上正常服务的运行，危害信息系统及信息的安全性。

下面我们以漏洞CNVD-2020-10493为例，介绍由CNVD(国家信息安全漏洞共享平台)发布的安全漏洞信息中的主要内容，如表1-1所示。

表1-1　安全漏洞信息

2.漏洞

库在了解了安全漏洞的基本概念后，紧接着需要解决的问题就是“企业怎样才能知道安全漏洞都有哪些”和“在什么地方能够查到所有的安全漏洞”。这两个问题的答案都可以归结到漏洞库上。下面将介绍几个非常重要的漏洞库。

(1)CVE

CVE(Common Vulnerabilities & Exposures)是国际知名的安全漏洞库，也是已知漏洞和安全缺陷的标准化名称的列表，它是一个由企业界、政府界和学术界综合参与的非营利性国际项目，其使命是更加快速、有效地鉴别、发现和修复软件产品的安全漏洞。

(2)CNNVD

CNNVD(China National Vulnerability Database of In-formation Security，国家信息安全漏洞库)于2009年10月18日正式成立，是中国信息安全测评中心为切实履行漏洞分析和风险评估职能，负责建设并且运维的国家信息安全漏洞库。它面向企、事业单位及安全厂商等，提供灵活多样的信息安全数据服务，为我国信息安全保障提供基础服务。

(3)CNVD

CNVD(China National Vulnerability Database，国家信息安全漏洞共享平台)是由国家计算机网络应急技术处理协调中心(国家互联网应急中心，CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。建立CNVD的主要目标是与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞的统一收集验证、预警发布以及应急处置体系。切实提升我国在安全漏洞方面的整体研究水平和预防能力，提高我国信息系统及国产软件的安全性，进而带动国内相关安全产品的发展。

3.漏洞扫描

通过漏洞库，我们可以了解所有已经发现的安全漏洞的信息，但这并不能解决企业所面临的问题。企业在解决自身安全问题时，不仅需要知道全世界有哪些已经发布的漏洞，更重要的是要了解这些安全漏洞对企业有哪些影响。也就是说，企业需要清楚在漏洞库中发布的漏洞哪些是和自身相关的，哪些是和自身无关的，例如上文介绍的CNVD-2020-10493漏洞，对于那些已经部署了IBM Tivoli Monitoring的企业是有意义的，而对于那些没有使用IBM Tivoli Monitoring的企业是没有意义的，这些企业也就不需要关注这些了。其实，帮助企业解决这个问题，就是我们经常讲的漏洞扫描或漏洞发现的过程。

图1-3描述了一个漏洞扫描的过程。其中，在完成资产发现后，输出了资产信息，剩下就是一个基于漏洞库的漏洞匹配过程，也就是根据每个漏洞的相关属性(例如影响产品、漏洞描述等)，结合企业自身的资产信息，逐一进行比对和匹配，进而得到企业相对完整的漏洞信息。当然，这只是企业在漏洞管理(Vulnera-bility Management，VM)中的第一步，后面还有一系列其他工作，例如漏洞验证、漏洞评估、漏洞修复等。 图1-3　漏洞扫描流程

当前页面地址：http://m.msjkw.net//ruanjianjiaocheng/6083.html