安全漏洞

security vulnerabilities

定义：安全的薄弱环节。

学科：计算机科学技术_网络与数据通信_网络管理与安全

相关名词：网络安全 缺陷

【延伸阅读】

安全漏洞是计算机系统、网络产品及服务在全生命周期中，从需求分析、设计编码到运行维护等环节产生的涉及安全的缺陷或薄弱点。这些缺陷或薄弱点存在于系统各类组件中，无论是系统本身、安全程序，还是内部控制及实施过程，都可能成为漏洞载体。一旦被黑客等恶意主体利用，就会损害网络安全，轻则影响系统运行，重则威胁资产的保密性、完整性和可用性。

安全漏洞从性质上可分为技术漏洞与非技术漏洞。技术漏洞集中在信息系统、网络设备等技术环节：未及时打补丁的系统，如同未关门的房间；弱口令，则像简单而易被破解的密码锁；未加密的敏感数据传输，如同公开传递私密信息。非技术漏洞体现在人员和流程上：员工的安全意识不足，随意点击不明链接易被入侵；授权不明确，会导致权限混乱；审核不充分，则难以及时发现异常。

简单说来，安全漏洞是软硬件及管理的弱点，可被发现、利用并损害资产安全。它有三个典型特征：

弱点性。这是安全漏洞存在的基础，可存在于产品、网络、应用、控制手段、实现方式或安全策略中。如软件设计忽略用户权限精细划分，或网络访问策略过松，都可能成为漏洞源头。

可利用性。这是区分安全漏洞与普通缺陷的关键，普通缺陷可能仅影响功能或性能，而安全漏洞可被恶意利用。其利用需“威胁源”主动构造攻击条件，偶然触发概率极低。比如针对某系统漏洞，攻击者需编写特定程序才能非法访问。

损坏安全性。安全漏洞被利用后，必然损害资产安全，影响保密性、完整性和可用性。比如窃取核心数据破坏保密性，篡改业务数据影响完整性，发起拒绝服务攻击导致系统无法服务，破坏可用性。

不同行业、组织虽网络安全挑战和风险管理目标不同，漏洞治理体系存在差异，但在预防方面有共通性：可定期开展漏洞扫描与风险评估，及时修补高危漏洞；建立应急响应机制，降低漏洞被利用的影响；加强人员安全培训，增强漏洞防范意识。

（延伸阅读作者：中国科学技术大学出版社副编审 黄成群）

内容来源：学习强国、全国科学技术名词审定委员会