软件漏洞概述

信息安全漏洞是信息安风险的主要根源之一，是网络攻防对抗中的主要目标。由于信息系统漏洞的危害性、多样性和广泛性，在当前网路空间博弈中，漏洞作为一种战略资源被各方所积极关注。 对于信息安全漏洞的不同认识有以下三个主要的共同特点：

软件漏洞是信息安全系统漏洞的重要组成部分。分析、理解软件漏洞对于我们了解软件安全威胁是非常关键的。 常说的软件漏洞包括软件错误、软件缺陷以及软件失效。其简单关系如下图：

软件错误：开发人员在开发过程中出现的不符合预期效果的人为差错，其结果可能导致软件缺陷的发生。 软件缺陷：软件运行过程中出现的有人为因素或其他客观原因引起的不希望出现的或不可接受的偏差。 软件故障：软件运行出现感知的不正常的、不正确的或不按规范执行的状态。 软件失效：指软件完全丧失规定功能，是软件缺陷的外在表现

软件漏洞通常被认为是软件生命周期中出现的设计错误、编码缺陷以及运行故障。 通常按照时间维度上的漏洞产生、发现、公开和消亡的角度，分为以下三类：

漏洞的特点：

1）计算机系统结构决定了漏洞的必然性。 下图说明了冯诺依曼体系计算机容易产生漏洞的原因：

2）软件趋向大型化，第三方拓展增多 常用大型软件为了充分使软件功能得到扩充，通常会有第三方拓展，这些拓展插件的存在，增加系统功能的同时也导致的安全隐患的存在，研究表名“代码行数越多，缺陷也就越多“ 3）软件新技术、新应用产生之初即缺乏安全意识 比如大多数网络协议，在设计之初就没有考虑过其安全性。当今互联网技术蓬勃发展，新技术的不断出现，也带来了大量新的安全按挑战。 4）软件使用场景更具威胁 网络技术是发展，软件被用于各行各业，遍及各个社会层次。软件开发者需要考虑的问题更多，并且黑客与恶意攻击者比以往有更多的机会和时间来访问软件系统，并尝试寻找、利用软件漏洞。 5）软件安全开发重视度不够，开发者缺少安全意识。

1）基于漏洞成因的分类

2）基于漏洞利用位置分类

3）基于威胁类型分类

根据安全漏洞生命周期中漏洞发现、利用、修复和公开四个阶段，对应的管理行为分为预防、收集、消减和发布等实施活动。