|
|
知识路径: > 网络安全漏洞防护技术原理与应用 > 网络安全漏洞概述 >
|
|
相关知识点:2个
|
|
|
|
|
网络信息系统的产品漏洞已是普遍性的安全问题。国内外漏洞数据库统计显示,商业操作系统、商业数据库以及开源软件都不同程度地存在安全漏洞。由于软件及网络信息系统的复杂性,网络信息产品的安全漏洞问题还远未能解决。人工智能(AI)、区块链、5G等新领域的漏洞问题将成为研究重点和热点。网络安全漏洞分析与管理技术正向智能化方向发展。国内外网络安全专家正在开展基于机器学习和大数据来分析网络信息系统安全漏洞的研究。
|
|
|
|
安全漏洞分析及漏洞管理是网络安全的基础性工作。美国的MITRE公司开发通用漏洞披露(Common Vulnerabilities and Exposures,CVE)来统一规范漏洞命名。MITRE还建立了一个通用缺陷列表(Common Weakness Enumeration,CWE),用于规范化地描述软件架构、设计以及编码存在的安全漏洞。针对安全漏洞的危害性评估,事件响应与安全组织论坛(FIRST)制定和发布了通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)。CVSS采用十分制的方式对安全漏洞的严重性进行计分评估,分数越高则表明漏洞的危害性越大。CVSS的最新版本是v3.0。另外,在网络攻防方面,双方都期望事先掌握漏洞资源,以便掌握网络安全的主动权。国际上已经出现安全漏洞地下交易市场,将重要的零日漏洞以高价出售。针对安全漏洞问题的研究已成为网络安全的研究热点,主要研究工作包括漏洞信息搜集分析和网络安全威胁情报服务、漏洞度量、基于漏洞的攻击图自动化生成、漏洞利用自动化、漏洞发现等。
|
|
|
|
网络安全漏洞事关国家安全,很多发达国家已将安全漏洞列为国家安全战略资源。美国建立国家漏洞库(National Vulnerability Database,NVD)。美国军方建立了信息战“红色小组”(Information Warfare Red Team)用于模拟网络敌手发现DoD系统中的安全漏洞,从而促进其安全性改善。日本成立了“信息安全缺陷分析中心”,其职责是分析操作系统和软件包中的安全缺陷,重点是分析日本各政府机构网站的信息安全漏洞。微软(Microsoft)、赛门铁克(Symantec)、思科(Cisco)、甲骨文(Oracle)等国际厂商都有自己相关的网络安全漏洞分类分级标准。目前,我国相关部门针对安全漏洞管理问题,建立起国家信息安全漏洞库CNNVD、国家信息安全漏洞共享平台CNVD,制定和颁发了一系列漏洞标准规范,主要有《信息安全技术安全漏洞分类(GB/T 33561—2017)》《信息安全技术安全漏洞等级划分指南(GB/T 30279—2013)》《信息安全技术安全漏洞标识与描述规范(GB/T 28458—2012)》《信息安全技术信息安全漏洞管理规范(GB/T 30276—2013)》。
|
|
|
