漏洞评估之漏洞评估的概念三

1990年，Longstaff-人认为漏洞是指系统中存在的任何不足或缺陷。在计算机安全中， 漏洞可以从以下两个方面来理解：一方面，漏洞是指自动化系统安全过程、管理控制以及内部控制等中的缺陷，它能够被威胁利用，从而获得对信息的非授权访问或者破坏关键数据处理；另一方面，漏洞是指在物理层、组织管理、软件程序或人员管理方面的缺陷，它能够被利用而导致对系统的损害。

1999年，ISO/IEC15408对漏洞给出的定义是：漏洞是存在于评估对象(TOE)中的，在一定的环境条件下可能违反安全功能要求的弱点。2003年美国发布的信息系统安全词汇表( NSTISSI N0.4009)给出的定义认为漏洞是指可被利用的信息系统、系统安全流程、内部控制或实施中存在的弱点。2006年美国家标准与技术研究院发布的《关键信息安全术语词汇表》(NIsT IR 7298)定义漏洞是指威胁源可以攻击或触发的信息系统、系统安全流程、 内部控制或实施中的弱点。同年出版的《信息安全字典》中给出的定义，漏洞是系统安全流程、系统设计、实施、内部控制等过程中的弱点，这些弱点可以被攻击以违反系统安全策略；攻击或对威胁暴露的可能性特定于给定的平台。2009年ISO/IEC SC 27发布的国际标准SD6: IT安全术语词汇表》中给出的定义是，漏洞是一个或多个威胁可以利用的一个或一组资产的弱点；是违反某些环境中安全功能要求的评估对象( TOE)中的弱点；是在信息系统（包括其安全控制）或其环境的设计及实施中的缺陷、弱点或特性。

综上所述，信息安全漏洞可以这样理解，从生命周期的角度出发，信息技术、信息产品和信息系统在需求、设计、实现、配置、维护和使用等过程中，有意或无意产生的缺陷，这些缺陷一旦被恶意主体所利用，就会造成对信息产品或系统的安全损害，从而影响构建于信息产品或系统之上正常服务的运行，危害信息产品或系统及信息的安全属性。

有时漏洞也被称作错误( Error)、缺陷(Fault)、弱点(Weakness)、或是故障( Failure)等，这些术语很容易引起混淆。在许多情况下，人们习惯于将错误、缺陷、弱点都简单地称为漏洞。需要指出的是，严格地说，错误、缺陷、弱点和故障并不等于漏洞。错误、缺陷和弱点是产生漏洞的条件，漏洞被利用后必然会破坏安全属性，但不一定能引起产品或系统故障。