【正文】 ? 加固核查與問責(zé) ? 通過安全審計(jì)核實(shí)漏洞消除情況和效果。 ? 數(shù)據(jù)顯示，及時(shí)安裝有效補(bǔ)丁可避免約 95%的信息安全損失。 ?第三步 ： 污染數(shù)據(jù)到達(dá)觸發(fā)點(diǎn)（ taint sink）時(shí)，根據(jù)觸發(fā)機(jī)制對具有污染標(biāo)識的數(shù)據(jù)、內(nèi)存等進(jìn)行檢查，從而發(fā)現(xiàn)可能的安全問題。 ? 分析出什么樣的操作導(dǎo)致了被污染對象 x的信息被傳遞給了沒有受污染的對象 y記為 x?t(y)，其中 t表示程序操作。 124 動態(tài)污染傳播主要步驟 ?第一步 ： 標(biāo)識污點(diǎn)源 。 ?執(zhí)行測試：將測試數(shù)據(jù)輸入到運(yùn)行的系統(tǒng)中； ?監(jiān)控異常：對被測對象出現(xiàn)的故障或異常進(jìn)行監(jiān)控 ， 以確定由哪些測試數(shù)據(jù)引起的什么樣的問題 ， 而無法定位問題所在的模糊測試是不完備的測試； ?漏洞確認(rèn)與分析：確定所發(fā)現(xiàn)的漏洞是否可重現(xiàn) ， 如果重現(xiàn)成功 ， 則進(jìn)一步判斷該漏洞是否可被利用 。 122 模糊測試主要步驟 ?明確被測對象：確定被測對象 ， 界定測試范圍 。 ? 第二代主要用于發(fā)現(xiàn)系統(tǒng)的漏洞 。 ?優(yōu)勢 ? 與靜態(tài) 分析 方法相比，動態(tài) 分析 方法的最大優(yōu)勢在于其分析結(jié)果的精確，即誤報(bào)率較低 ?動態(tài)分析關(guān)鍵技術(shù) ? 模糊測試 ? 動態(tài)污染傳播 121 模糊測試 ?模糊測試是一種基于缺陷注入的自動軟件測試技術(shù)，使用大量精心構(gòu)造的數(shù)據(jù)作為應(yīng)用程序的輸入，以程序是否出現(xiàn)異常為標(biāo)志，來發(fā)現(xiàn)應(yīng)用程序中可能存在的安全漏洞。 ?度量指標(biāo)： ? 可靠性 —— 被檢測為真的任何屬性，都確實(shí)為真，即無誤報(bào)； ? 完備性 —— 所有確實(shí)為真的屬性，必然可被檢測出為真，即無漏報(bào)。 ?符號執(zhí)行的方法也是在程序的 CFG上使用 WorkList算法進(jìn)行遍歷 。 118 符號執(zhí)行 ?符號執(zhí)行的目標(biāo)是把程序轉(zhuǎn)化成一組約束，同時(shí)檢查程序模擬執(zhí)行過程中的狀態(tài)是否出錯。 117 流分析技術(shù) —— 數(shù)據(jù)流 ?數(shù)據(jù)流分析是要得出程序中數(shù)據(jù)流動的信息，也就是程序中變量的相關(guān)信息，比如，可到達(dá)的變量定義，可用的表達(dá)式，別名信息，變量的使用及取值情況 等。 ?控制流圖是對代碼執(zhí)行時(shí)可能經(jīng)過的所有路徑的圖形化表示，通過對代碼中的分支、循環(huán)等關(guān)系的分析來獲得代碼的結(jié)構(gòu)關(guān)系。 111 CNNVD 112 知識域：信息安全漏洞 ?知識子域：安全漏洞檢測 ? 了解基于 靜態(tài)分析的 漏洞檢測方法 ? 了解基于 動態(tài)分析 的漏洞檢測方法 113 漏洞檢測技術(shù) ?目標(biāo)：研究專門的技術(shù)手段和方法，建立多角度的漏洞檢測能力 ? 經(jīng)驗(yàn)向理論轉(zhuǎn)化 ? 形成自動化、規(guī)?；芰? ?方法： ? 靜態(tài)分析 ? 動態(tài)分析 114 靜態(tài)分析技術(shù) ?靜態(tài)分析方法直接掃描程序代碼，提取程序關(guān)鍵語法，解釋其語義，理解程序行為，根據(jù)預(yù)先設(shè)定的漏洞特征、安全規(guī)則等檢測漏洞。 1996年開始， XForce將研究發(fā)現(xiàn)以安全公告的形式發(fā)布在其數(shù)據(jù)庫中。 108 Bugtraq 109 ISS XForce ?IBM 2022年 10月收購互聯(lián)網(wǎng)安全系統(tǒng)公司 ISS后，進(jìn)行了全面整合，提供安全產(chǎn)品與安全服務(wù)，包括 MMS安全服務(wù)、 IPS、和企業(yè)漏洞掃描。 2022年 8月， Security Focus被賽門鐵克公司整個并購，但它要求保持提供獨(dú)立的安全服務(wù)。 ?Secunia到目前為止已發(fā)布漏洞近 42022條。 104 NVD 105 丹麥安全公司 Secunia ?Secunia 是丹麥知名互聯(lián)網(wǎng)安全公司，成立于2022年，作為一家獨(dú)立的漏洞信息披露 單位 ， 具有很強(qiáng)的研究實(shí)力 。 ?NVD通過其規(guī)范的漏洞描述、漏洞評級和詳細(xì)的漏洞參考信息等內(nèi)容，稱為國際權(quán)威的漏洞共享平臺。 102 CVE 103 NVD ?NVD（美國國家漏洞庫） 是美國 政府建立的 漏洞數(shù)據(jù)庫 。 ?CVE已稱為國際通用的漏洞參考標(biāo)準(zhǔn)，通過 CVE編號實(shí)現(xiàn)了漏洞的統(tǒng)一描述和管理。 CVE在信息安全業(yè)界統(tǒng)一基礎(chǔ)術(shù)語和規(guī)范重要漏洞資源之間的參考引用方面卓有成效，起到了無可替代的作用。美國的國家漏洞庫（ NVD）、 USCERT公告、 SANS Top 20及其他諸多重要漏洞庫和漏洞公告中均使用的是 CVE漏洞名稱，廠商及研究人員也普遍使用和引用 CVE。 Exposures，通用漏洞披露） ?美國國家漏洞數(shù)據(jù)庫（ NVD） ?丹麥安全公司 Secunia ?Security Focus Bugtraq ?美國 IBM公司的 ISS XForce ?中國國家信息安全漏洞庫（ CNNVD） 100 CVE ?通用漏洞 披露 （ CVE）是 MITRE公司提出的漏洞命名規(guī)范。 93 信息安全漏洞研究 ?漏洞是一種戰(zhàn)略資源 ? 數(shù)量、種類、分布 ? 攻守雙方的焦點(diǎn) ? 風(fēng)險(xiǎn)評估的要點(diǎn) ? 地下經(jīng)濟(jì)的源點(diǎn) 94 信息安全漏洞研究 ? 漏洞分析的框架 ? 基礎(chǔ)研究 ? 漏洞發(fā)現(xiàn) ? 漏洞控制 ? 漏洞消減 ? 國家級的漏洞分析需要多方面的參與 ? 漏洞是一種多方參與的、灰色的、非常規(guī)性對象 ? 攻擊者的挑戰(zhàn) —— 現(xiàn)實(shí)問題 ? 學(xué)術(shù)界的研究 —— 科學(xué)探索 ? 產(chǎn)業(yè)界的反應(yīng) —— 防御修復(fù) ? 政府高度重視 —— 管理控制 95 學(xué)術(shù)界的研究 ?這種現(xiàn)象是偶然的？必然的？是否有規(guī)可循？ ?1976年，Ｍ .Harrison等人在對可靠性的研究中發(fā)現(xiàn)：“在一個受保護(hù)系統(tǒng)中，一個給定狀態(tài)對于一個基本權(quán)限是否可靠是無法判定的”； ?1988年， Adelman證明了：“任意一個程序是否包含惡意代碼是不可判定的”； ?1989年 ：“任意一個程序是否包含病毒是不可判定的”； ?漏洞的存在與發(fā)現(xiàn)機(jī)理如何呢？ 96 學(xué)術(shù)界的研究 ?自 20 世紀(jì) 70 年代 以來， 學(xué)術(shù)界 圍繞 漏洞理論開展 了大量研究 ；主要關(guān)注以下基礎(chǔ)性的問題： ? 漏洞的機(jī)理是什么？ ? 漏洞如何進(jìn)入信息系統(tǒng)？ ? 漏洞的表現(xiàn)形式是什么？ ? 漏洞的危害有多大？ ? 漏洞是否能夠消除？方法有哪些？ ?這些研究涉及概念、分類、方法、模型等，不同的研究者從不同的角度給出自己的答案。 86 Knight的廣義漏洞分類法 ?提出了四類型分類法，將人的行為對信息系統(tǒng)安全的影響引入到漏洞分類中。一旦被惡意主體所利用，就會造成對信息系統(tǒng)的安全損害，從而影響構(gòu)建于信息系統(tǒng)之上正常服務(wù)的運(yùn)行，危害信息系統(tǒng)及信息的安全屬性。這些控制上的失誤稱為系統(tǒng)漏洞或安全缺陷” 78 標(biāo)準(zhǔn)機(jī)構(gòu)的定義 ? 1999年， ISO/IEC15408（ GB/T18336）定義：漏洞是存在于評估對象（ TOE）中的，在一定的環(huán)境條件下可能違反安全功能要求的弱點(diǎn)； ? 2022年，美國 NIST《 信息安全關(guān)鍵術(shù)語詞匯表 》 定義：漏洞是指存在于信息系統(tǒng)、系統(tǒng)安全過程、內(nèi)部控制或?qū)崿F(xiàn)中的，可被威脅源攻擊或觸發(fā)的弱點(diǎn)； ? 2022年， ISO/IEC SC 27《 SD6： IT安全術(shù)語詞匯表 》 定義：漏洞是一個或多個威脅可以利用的一個或一組資產(chǎn)的弱點(diǎn)；是違反某些環(huán)境中安全功能要求的 TOE中的弱點(diǎn)；是在信息系統(tǒng)（包括其安全控制）或其環(huán)境的設(shè)計(jì)及實(shí)施中的缺陷、弱點(diǎn)或特性。 76 學(xué)者們的解釋： Longstaff的定義 ?1990年，從風(fēng)險(xiǎn)管理角度將漏洞定義為： ? 存在于自動化系統(tǒng)安全過程、管理控制以及內(nèi)部控制等中的缺陷，它能夠被攻擊者所利用，從而獲得對信息的非授權(quán)訪問或者破壞關(guān)鍵數(shù)據(jù)處理； ? 或是在物理層、組織、程序、人員、軟件或硬件方面的缺陷，它能夠被利用而導(dǎo)致對自動數(shù)據(jù)處理系統(tǒng)或行為的損害； ? 或是信息系統(tǒng)中存在的任何不足或缺陷。 ?隨著計(jì)算機(jī)應(yīng)用的發(fā)展和互聯(lián)網(wǎng)絡(luò)的出現(xiàn)，漏洞相繼在軟件、硬件、管理過程，甚至人的環(huán)節(jié)出現(xiàn)，引起病毒泛濫、黑客猖獗，使得安全漏洞成為網(wǎng)絡(luò)空間的一個現(xiàn)實(shí)、熱門話題。 此新版中，可查看各個用戶的啟動項(xiàng)，而且刪除 Userinit 項(xiàng)目時(shí)會發(fā)出安全警告，以及其它一些改進(jìn)，推薦更新！ 中國安天實(shí)驗(yàn)室 72 知識域：信息安全漏洞 ?知識子域：安全漏洞基礎(chǔ) ? 理解漏洞的概念，分類分