阿里云服务器ECS    
弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新 [咨询更多]
阿里云存储OSS
简单易用、多重冗余、数据备份高可靠、多层次安全防护安全性更强、低成本 [咨询更多]
阿里云数据库RDS
稳定可靠、可弹性伸缩、更拥有容灾、备份、恢复、监控、迁移等方面的全套解决方案 [咨询更多]
阿里云安全产品
DDoS高防IP、web应用防火墙、安骑士、sll证书、态势感知众多阿里云安全产品热销中 [咨询更多]
阿里云折扣优惠    
云服务器ECS、数据库、负载均衡等产品新购、续费、升级联系客服获取更多专属折扣 [咨询更多]
什么是安全漏洞
2020-8-20    点击量:
  漏洞扫描的对象是安全漏洞,那么什么是安全漏洞呢?安全漏洞是指信息技术、信息产品、信息系统在设计、实现、配置、运行等过程中,由操作实体有意或无意制造的缺陷,这些缺陷以不同形式存在于信息系统的各个层次和环节中,随着信息系统的变化而改变。这些缺陷一旦被恶意主体利用,就会对信息系统的安全造成损害,从而影响构建其上正常服务的运行,危害信息系统及信息的安全性。
  
  下面我们以漏洞CNVD-2020-10493为例,介绍由CNVD(国家信息安全漏洞共享平台)发布的安全漏洞信息中的主要内容,如表1-1所示。
  
  表1-1 安全漏洞信息
表1-1所示
安全漏洞信息
  
  2.漏洞
  
  库在了解了安全漏洞的基本概念后,紧接着需要解决的问题就是“企业怎样才能知道安全漏洞都有哪些”和“在什么地方能够查到所有的安全漏洞”。这两个问题的答案都可以归结到漏洞库上。下面将介绍几个非常重要的漏洞库。
  
  (1)CVE
  
  CVE(Common Vulnerabilities & Exposures)是国际知名的安全漏洞库,也是已知漏洞和安全缺陷的标准化名称的列表,它是一个由企业界、政府界和学术界综合参与的非营利性国际项目,其使命是更加快速、有效地鉴别、发现和修复软件产品的安全漏洞。
  
  (2)CNNVD
  
  CNNVD(China National Vulnerability Database of In-formation Security,国家信息安全漏洞库)于2009年10月18日正式成立,是中国信息安全测评中心为切实履行漏洞分析和风险评估职能,负责建设并且运维的国家信息安全漏洞库。它面向企、事业单位及安全厂商等,提供灵活多样的信息安全数据服务,为我国信息安全保障提供基础服务。
  
  (3)CNVD
  
  CNVD(China National Vulnerability Database,国家信息安全漏洞共享平台)是由国家计算机网络应急技术处理协调中心(国家互联网应急中心,CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。建立CNVD的主要目标是与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞的统一收集验证、预警发布以及应急处置体系。切实提升我国在安全漏洞方面的整体研究水平和预防能力,提高我国信息系统及国产软件的安全性,进而带动国内相关安全产品的发展。
  
  3.漏洞扫描
  
  通过漏洞库,我们可以了解所有已经发现的安全漏洞的信息,但这并不能解决企业所面临的问题。企业在解决自身安全问题时,不仅需要知道全世界有哪些已经发布的漏洞,更重要的是要了解这些安全漏洞对企业有哪些影响。也就是说,企业需要清楚在漏洞库中发布的漏洞哪些是和自身相关的,哪些是和自身无关的,例如上文介绍的CNVD-2020-10493漏洞,对于那些已经部署了IBM Tivoli Monitoring的企业是有意义的,而对于那些没有使用IBM Tivoli Monitoring的企业是没有意义的,这些企业也就不需要关注这些了。其实,帮助企业解决这个问题,就是我们经常讲的漏洞扫描或漏洞发现的过程。
  
  图1-3描述了一个漏洞扫描的过程。其中,在完成资产发现后,输出了资产信息,剩下就是一个基于漏洞库的漏洞匹配过程,也就是根据每个漏洞的相关属性(例如影响产品、漏洞描述等),结合企业自身的资产信息,逐一进行比对和匹配,进而得到企业相对完整的漏洞信息。当然,这只是企业在漏洞管理(Vulnera-bility Management,VM)中的第一步,后面还有一系列其他工作,例如漏洞验证、漏洞评估、漏洞修复等。
  图1-3 漏洞扫描流程
漏洞扫描流程
联系客服免费领取更多阿里云产品新购、续费升级折扣,叠加官网活动折上折更优惠