4.1.2 漏洞评估
漏洞评估的概念
漏洞( Vulnerability)也被称为脆弱性,1947年冯。诺依曼建立计算机系统结构理论时认为,计算机系统也有天生的类似基因的缺陷,也可能在使用和发展过程中产生意想不到的问题。20世纪七十至八十年代,早期黑客的出现和第一个计算机病毒的产生,软件漏洞逐渐引起人们的关注。1970年中期,美国启动的PA计划(Protection Analysis Projec,t)和RISOS( Research in Secured Operating Systems)计划开启了信息安全漏洞研究工作的序幕。
在各种产品、主机、网络和复杂信息系统中,安全漏洞以不同形式存在,而且数量逐年增加,利用漏洞造成的各类安全事件层出不穷。攻击行为或网络安全事件的发生正越来越多的受到利益驱动的影响,这种“黑色产业链”的兴起,导致越来越多的网络终端受害,大量机密信息被窃取,敏感数据信息在互联网上传播,并在黑市中待价而沽。工业控制领域以及新技术新应用的安全漏洞、特别是基础核心系统的安全漏洞已经成为危害国家经济和发展安全的重要因素。
在三十多年的研究过程中,学术界、产业界以及政策制定者对漏洞给出了很多定义,漏洞本身也随着信息技术的发展而具有不同的含义与范畴,从最初的基于访问控制的定义逐步发展到涉及系统安全流程、设计、实施、内部控制等全过程的定义。
1982年,Dennin从系统状态、访问控制策略的角度给出了漏洞定义。他认为,系统中主体对对象的访问是通过访问控制矩阵实现的,这个访问控制矩阵就是安全策略的具体实现, 应该明确描述系统中的每一个主体可以执行什么操作、不可以执行什么操作。当系统的操作和安全策略之间相冲突时,就产生了安全漏洞。因此,信息安全漏洞就是指导致访问控制矩阵所定义的安全策略和系统操作之间冲突的所有因素因此,导致和系统操作。