4.1.2 漏洞評估

漏洞評估的概念

漏洞( Vulnerability)也被稱為脆弱性，1947年馮。諾依曼建立計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)理論時認(rèn)為，計(jì)算機(jī)系統(tǒng)也有天生的類似基因的缺陷，也可能在使用和發(fā)展過程中產(chǎn)生意想不到的問題。20世紀(jì)七十至八十年代，早期黑客的出現(xiàn)和第一個計(jì)算機(jī)病毒的產(chǎn)生，軟件漏洞逐漸引起人們的關(guān)注。1970年中期，美國啟動的PA計(jì)劃(Protection Analysis Projec,t)和RISOS( Research in Secured Operating Systems)計(jì)劃開啟了信息安全漏洞研究工作的序幕。

在各種產(chǎn)品、主機(jī)、網(wǎng)絡(luò)和復(fù)雜信息系統(tǒng)中，安全漏洞以不同形式存在，而且數(shù)量逐年增加，利用漏洞造成的各類安全事件層出不窮。攻擊行為或網(wǎng)絡(luò)安全事件的發(fā)生正越來越多的受到利益驅(qū)動的影響，這種“黑色產(chǎn)業(yè)鏈”的興起，導(dǎo)致越來越多的網(wǎng)絡(luò)終端受害，大量機(jī)密信息被竊取，敏感數(shù)據(jù)信息在互聯(lián)網(wǎng)上傳播，并在黑市中待價而沽。工業(yè)控制領(lǐng)域以及新技術(shù)新應(yīng)用的安全漏洞、特別是基礎(chǔ)核心系統(tǒng)的安全漏洞已經(jīng)成為危害國家經(jīng)濟(jì)和發(fā)展安全的重要因素。

在三十多年的研究過程中，學(xué)術(shù)界、產(chǎn)業(yè)界以及政策制定者對漏洞給出了很多定義，漏洞本身也隨著信息技術(shù)的發(fā)展而具有不同的含義與范疇，從最初的基于訪問控制的定義逐步發(fā)展到涉及系統(tǒng)安全流程、設(shè)計(jì)、實(shí)施、內(nèi)部控制等全過程的定義。

1982年，Dennin從系統(tǒng)狀態(tài)、訪問控制策略的角度給出了漏洞定義。他認(rèn)為，系統(tǒng)中主體對對象的訪問是通過訪問控制矩陣實(shí)現(xiàn)的，這個訪問控制矩陣就是安全策略的具體實(shí)現(xiàn)， 應(yīng)該明確描述系統(tǒng)中的每一個主體可以執(zhí)行什么操作、不可以執(zhí)行什么操作。當(dāng)系統(tǒng)的操作和安全策略之間相沖突時，就產(chǎn)生了安全漏洞。因此，信息安全漏洞就是指導(dǎo)致訪問控制矩陣所定義的安全策略和系統(tǒng)操作之間沖突的所有因素因此，導(dǎo)致和系統(tǒng)操作。