第1 章漏洞的定义

漏洞(Vulnerability)又叫脆弱性，这一概念早在1947 年冯? 诺依曼建立计算

机系统结构理论时就有涉及，他认为计算机的发展和自然生命有相似性，一个计算

机系统也有天生的类似基因的缺陷，也可能在使用和发展过程中产生意想不到的

问题。20 世纪80 年代，早期黑客的出现和及时个计算机病毒的产生，软件漏洞逐

渐引起人们的关注［1 ］ 。20 世纪70 年代中期，美国启动的PA 计划(Protection Analysis

Project)［2 ］ 和RISOS(Research in Secured Operating Systems )计划［3 ］ 开启

了信息安全漏洞研究工作的序幕。在历经30 多年的研究过程中，学术界、产业界

以及政策制定者对漏洞给出了很多定义，漏洞定义本身也随着信息技术的发展而

具有不同的含义与范畴，从最初的基于访问控制的定义发展到现阶段的涉及系统

安全流程、系统设计、实施、内部控制等全过程的定义。

1.1 漏洞的概念

1.1.1 基于访问控制

1982 年，Denning 从系统状态、访问控制策略的角度给出了漏洞定义［4］，认为

系统的状态由三大要素集合｛ S，O，A｝组成，其中：

(1) 操作主体集合S 是模型中活动实体(Entity)的系列主体(Subject) 。主体

同时属于对象，即S 属于O 。

(2) 操作客体集合O 是系统保护的实体的系列对象，每个对象定义有一个唯

一的名字。

(3) 规则集合A 是访问矩阵，行对应主体，列对应对象。

系统中主体对对象的访问安全策略是通过访问控制矩阵来实现。改变系统的

状态就是通过改变访问矩阵的基本操作元素，从而改变操作系统的指令模型。访

问矩阵的设置描述了主体能够做什么、不能做什么。这样，一个保护策略或安全策

略就把所有可能的状态划分为授权的和非授权的两个部分。从访问控制角度讲，

信息安全漏洞是导致操作系统执行的操作和访问控制矩阵所定义的安全策略之间

相冲突的所有因素。

1.1.2 基于状态空间

Bishop 和Bailey 在1996 年对信息安全漏洞给出了基于状态空间的定义［5 ］，认

为信息系统是由若干描述实体配置的当前状态所组成的，系统通过应用程序的状

态转变来改变系统的状态，通过系列授权和非授权的状态转变，所有的状态都可以

从给定的初始状态到达。容易受到攻击的状态是指通过授权的状态转变从非授权

状态可以到达的授权状态。受损害的状态是指已完成这种转变的状态。攻击就是

指到达受损状态的状态转变过程。

从状态空间角度来讲，漏洞是区别于所有非受损状态的容易受攻击的状态特

征。通常地讲，漏洞可以刻画许多容易受攻击的状态。

1.1.3 基于安全策略

对大多数系统来说，基于状态空间定义漏洞的主要问题是由于状态和迁移的

数量一般为指数级别，因此导致了状态空间"爆炸"，而不能有效地进行枚举或搜

索。因此，研究者们提出了基于安全策略的漏洞定义方法。

给定一个系统，安全策略规定了其用户哪些操作是允许的，哪些操作是不允许

的。其形式化的定义为：给定状态空间S = (M，T)，安全策略是状态对，其中，A 彻

M 是系统允许的状态集合，D = M-A 是系统不允许的状态集合。那么基于安全

策略的漏洞定义为：漏洞是一个二元组V = (N，P) 。其中，N 是一个非空的条件集

合，满足这些条件可导致违背某个系统x 的安全策略P 。

在文献［6］中，提出了一个层次式安全策略模型，在该模型中，根据安全策略被

实现的程度，展示了不同类型的安全策略。因此，对应于不同安全策略的违背，就

形成了不同类型的漏洞。

由美国MITRE 公司(一个由美国联邦政府支持的非营利性研究机构)在1999

年发起，旨在为信息安全产业界提供通用漏洞与披露(Common Vulnerabilities

and Exposures，CVE)的标准命名字典给出的定义也是基于安全策略的，即一个错

误(Mistake)如果可以被攻击者用于违反目标系统的一个合理的安全策略，那么它

就是一个漏洞。一个漏洞可以使目标系统(或者目标系统的集合)处于下列危险状

态之一：允许攻击者以他人身份运行命令；允许攻击者违反访问控制策略去访问数

据；允许攻击者伪装成另一个实体；允许攻击者发起拒绝服务攻击。

1.1.4 基于信息安全风险管理

1992 年，D.Longley 等［7］从风险管理角度把漏洞分成3 个方面来描述：一是存

在于自动化系统安全过程、管理控制以及内部控制等方面的缺陷，它能够被攻击者

所利用，从而获得对信息的非授权访问或者关键数据处理；二是在物理层、组织、程

序、人员、软件或硬件方面的缺陷，它能够被利用而导致对自动数据处理系统或行

为的损害；三是信息系统中存在的任何不足或缺陷。

1999 年，ISO/IEC 15408?1 给出的定义是：漏洞是存在于评估对象(TOE)中

的，在一定的环境条件下可能违反安全功能要求的弱点［8 ］ 。2000 年美国的信

息系统安全词汇表(NSTISSI No.4009)给出的定义认为漏洞是指可被利用的信

息系统、系统安全流程、内部控制或实施中存在的弱点［9 ］ 。2011 年美国国家标准

和技术研究院的?关键信息安全术语词汇表?(NIST IR 7298)认为漏洞是指威

胁源可以攻击或触发的信息系统、系统安全流程、内部控制或实施中的弱点［10 ］ 。

依据同年出版的?信息安全字典?给出的定义，漏洞是系统安全流程、系统设计、实

施、内部控制等过程中的弱点，这些弱点可以被攻击以违反系统安全策略；攻击或

对威胁暴露的可能性特定于给定的平台。依据2009 年ISO/IEC SC 27 的国

际标准?SD6：信息安全术语词汇表?中给出的定义：漏洞是一个或多个威胁可以利

用的一个或一组资产的弱点，是违反某些环境中安全功能要求的评估对象(TOE)

中的弱点，是在信息系统(包括其安全控制)或其环境的设计及实施中的缺陷、弱点

或特性［11 ］ 。

1.2 本书的定义

信息安全漏洞是信息技术、信息产品、信息系统在需求、设计、实现、配置、维护

和使用等过程中，有意或无意产生的缺陷，这些缺陷一旦被恶意主体所利用，就会

造成对信息产品或系统的安全损害，从而影响构建于信息产品或系统之上正常服

务的运行，危害信息产品或系统及信息的安全属性。也就是说，本书将漏洞研究的

对象限制在信息技术、信息产品、信息系统等方面，未将人和管理流程作为主要研

究目标；同时，明确了漏洞的产生环节，即需求、设计、实现、配置、运行等全生命周

期过程中均可能存在漏洞；，指出了漏洞的危害特性。

信息安全漏洞是和信息安全相对而言的。安全是阻止未经授权进入信息系统

的支撑结构，漏洞是信息产品或系统安全方面的缺陷。例如，在Intel Pentium 芯

片中存在的逻辑错误、在Sendmail 中的编程错误、在NFS 协议中认证方式上的弱

点、在Unix 系统管理员设置匿名FTP 服务时配置不当、对信息系统物理环境、信

息使用人员的管理疏漏等，这些问题都可能被攻击者使用，威胁到系统的安全。因

而这些都可以认为是系统中存在的安全漏洞。

有时漏洞被称为错误(Error) 、缺陷(Fault) 、弱点(Weakness)或故障(Failure)

等，这些术语很容易引起混淆。严格地讲，这些概念并不相同。错误是指犯下

的过失，是导致不正确结果的行为，它可能是印刷错误、下意识的误解、对问题考虑

不所造成的错误等；缺陷是指不正确的步骤、方法或数据定义；弱点是指难以

克服的不足或缺陷，缺陷和错误可以更正、解决，但弱点可能永远也没有解决的办

法；故障是指产品或系统产生了不正确的结果。在此情况下，系统或系统部件不能

完成其必需的功能。举例来说，执行某个操作而没有实现所希望的预期结果，可以

认为操作存在错误，并导致了故障；如果执行操作后得到了希望的结果，但同时又

产生了预料之外的副作用，或者在绝大多数情况下结果是正确的，但在特殊的条件

下得不到所希望的预期结果，则认为这个操作存在缺陷。而弱点的存在则是

的，是隐含的缺陷或错误。在许多情况下，人们习惯于将错误、缺陷、弱点都简单地

称为漏洞。需要指出的是，错误、缺陷、弱点和故障并不等于漏洞。错误、缺陷和弱

点是产生漏洞的条件，漏洞被利用后必然会破坏安全属性，但不一定能引起产品或

系统故障。

信息安全漏洞是一个比较独特的抽象概念，它具有以下特征：

(1) 信息安全漏洞是一种状态或条件。它的存在并不能导致损害，但是可以

被攻击者利用，从而造成对系统安全的破坏。漏洞的恶意利用能够影响人们的工

作、生活，甚至给国家安全带来灾难性的后果。

(2) 漏洞可能是有意，也可能是无意造成的。在信息系统中，人为主动形成的

漏洞称为预置性漏洞，但大多数的漏洞是由于疏忽造成的。例如，软件开发过程中

不正确的系统设计或编程过程中的错误逻辑等。

(3) 漏洞广泛存在。漏洞是不可避免的，它广泛存在于信息产品或系统的软

件、硬件、协议或算法。而且在同一软件、硬件及协议的不同版本之间，相同软件、

硬件及协议构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各

自不同的安全漏洞问题。

(4) 漏洞与时间紧密相关。一个系统从的那24小时起，随着用户的深入使

用，系统中存在的漏洞会被不断暴露出来，这些早先被发现的漏洞也会不断被系统

供应商的补丁修复，或在以后的新版系统中得以纠正。而在新版系统纠

正了旧版本中原有漏洞的同时，也会引入一些新的漏洞和错误。因而随着时间的

推移，旧的漏洞会不断消失，新的漏洞会不断出现。

(5) 漏洞研究具有两面性和信息不对称性。针对漏洞的研究工作，一方面可

以用于防御，一方面也可以用于攻击。同时，在当前的安全环境中，很多因素都会

导致攻击者的出现。攻击者相对于信息系统的保护者具有很大的优势，攻击者只

需要找出一个漏洞，而防御者却在试图消除所有漏洞。随着网络的发展，包括恶意

工具在内的各种攻击工具均可从互联网上自由下载，任何有此意图的人都能得到

这些工具。而且出现了越来越多的无需太多知识或技巧的自动工具。同防护系

统、网络、信息以及响应攻击所需的支出相比要更廉价。尽管网络安全和信息保障

技术能力也在逐步增强，但攻与防的成本差距不断增大，不对称性越来越明显。

在漏洞分析中，对漏洞的描述也就尤为重要，如果存在一个通用的漏洞描述语

言来规范漏洞检测的过程以及检测结果的表述，就可以实现自动化的漏洞管理，减

少人的介入，很大程度地提升漏洞管理工作的效率。漏洞描述语言是漏洞描述的

手段，漏洞描述语言研究主要可以归纳为自然语言、形式化方法两大类。自然语言

描述是指用人类的自然语言描述漏洞信息，这种语言的优势是操作性强，不需要专

门学习，方便人们漏洞，但缺乏揭示漏洞更深层次性质的能力，并且不利于漏

洞信息的交换整合以及进一步自动化检测和评估。形式化方法描述漏洞是指用预

先定义的语言符号集、语法规则、模型等机制将漏洞信息形式化。由于形式化的语

言或模型在描述漏洞的特征方面具有很好的抽象性，所以更利于漏洞信息的统一

以及分析评估的自动化，其缺点是需要专门学习，并且要适应日益提高的应用需求

而不断地改进和扩展。目前形式化的漏洞描述方法可分为两大类，一类是基于模

型的描述方法，例如，漏洞成因模型［12 ］ 、有限状态机模型［13］ 、扩展有限状态机模

型［14 ］ 、漏洞依赖图模型［15 ］及攻击模式模型［16 ］等；另一类是基于XML 的描述方法，

如OVAL［17 ］ 、VulXML［18 ］ 、AVDL［19 ］等。

参考文献

［1］ 赵树升.计算机病毒分析与防治简明教程.北京：清华大学出版社，2007.

［2］ Bibsey R， Hollingworth D.Protection Analysis Project Final Report.Marina Del Rey CA

USA Technical Report ISISR 7813.Information Sciences Institute，University of Southern

California，1978.

［3］ Abbott R，Chin J，Donnelley J，et al.Security Analysis and Enhancements of Computer Operating

Systems. Technical Report NB SIR 76?1041.Lawrence Livermore Laboratory TR

NBSIR?76?1041，National Bureau of Standards，Washington D C，1976.

［4］ Denning D.Cryptography and Data Security.Reading，M A，USA：Addison?Wesley，1982.

［5 ］ Bishop M，Bailey D. A Critical Analysis of Vulnerability Taxonomies， Technical Report

CSE?96?11.Davis，USA：Department of Computer Science at the University of California at

Davis，1996.

［6］ Engle S，Bishop M.A Model for Vulnerability Analysis and Classification.Department of

Computer Science，University of California，Davis，2008.

［7］ Longley.D，Shain M，Caell W.Information Security：Dictionary of Concepts，Standards

and Terms.New York，USA：MacMillan，1992.

［8］ ISO/IEC 15408?1. Information Technology ― Security Techniques ― Evaluation Criteria for

IT Security ― Part 1：Introduction and General Model (V2.1).International Organization for

Standardization (ISO)/International Electrotechnical Commission (IEC)，1999.

［9］ National Security Telecommunications and Information Systems Security Committee (NSTISSC)

.National Information Systems Security Glossary (NSTISSI No.4009)，2000.

［10］ Kissel R.Glossary of Key Information Security Terms，NIST IR 7298.National Institute

of Standards and Technology (NIST)，U.S.Department of Commerce，2011.

［11］ ISO/IEC SC 27.SD6：Glossary of Information Security Terms.International Organization

for Standardization (ISO)，2009.

［12］ Byers D，Ardi S，Shahmehri N，et al.Modeling software vulnerabilities with vulnerability

cause graphs. In：Proceedings of IEEE International Conference on Software Maintenance.

Philadelphia：IEEE Press，2006：411?422.

［13］ Chen H，Wagner D.2002.MOPS：An infrastructure for examining security properties of

software. In：Proceedings of the 9th ACM Conference on Computer and Communications

Security.Berkeley：ACM Press，2002：235?244.

［14］ 梁彬，侯看看，石文昌，等.一种基于安全状态跟踪检查的漏洞静态检测方法.计算机学

报，2009，32(5)：899?909.

［15］ Wilander J.Modeling and visualizing security properties of code using dependence graphs.

In：Proceedings of the 5th Conference on Software Engineering Research and Practice in

Sweden (SERPS ′05).V苯ster狈s：ACM Press 2005：65?74.

［16］ Gegick M，Williams L.Matching attack patterns to security vulnerabilities in software ― intensive

system designs.In：Proceedings of the 2005 Workshop on Software Engineering for

Secure Systems & Mdash.Building Trustworthy Applications.St.Louis，Missouri：ACM

Press，2005：1?7.

［17］ OVAL.Open vulnerability assessment language.http：//oval.mitre.org.2012?11?1.

［18］ VulXML.Web application security vulnerability descritption language.http：//www.owasp.

org/vulxml.2002?10?1.

［19］ AVDL.Vulnerability description language.http：//www.avdl.org.2003?4?1.