摘要:信息安全漏洞是信息安全中最為常見的威脅之一。對(duì)于信息安全漏洞威脅的解決通常采用漏洞發(fā)現(xiàn)和漏洞修補(bǔ)的方式來解決，但在實(shí)際中存在諸多的問題。本文研究分析了信息安全漏洞在管理上存在的問題，分析了當(dāng)前最新的安全漏洞閉環(huán)管理理念，并指出了其中一些不足和可行的改進(jìn)。

關(guān)鍵詞:信息安全；漏洞；管理

1緒論

在計(jì)算機(jī)世界，漏洞通常是三個(gè)因素的交集：即系統(tǒng)的脆弱性或缺陷，攻擊者可能訪問的缺陷以及攻擊者利用缺陷的能力[1]。在本文中我們主要關(guān)注的是IT軟件或IT設(shè)備中內(nèi)嵌操作系統(tǒng)應(yīng)軟件編寫缺陷而可能被攻擊者利用的安全漏洞。對(duì)于安全漏洞的認(rèn)識(shí)和對(duì)其防護(hù)，企業(yè)和組織已不陌生，但是在具體實(shí)踐中仍存在一些實(shí)際操作的問題。本文將針對(duì)國(guó)內(nèi)外安全界針對(duì)安全漏洞管理提出的新思路進(jìn)行研究和分析，對(duì)其中存在問題進(jìn)行闡述并提出相應(yīng)可行的技術(shù)應(yīng)對(duì)措施。

2漏洞管理目前存在的問題

國(guó)外權(quán)威機(jī)構(gòu)、相關(guān)國(guó)家機(jī)構(gòu)和安全人員對(duì)安全漏洞的管理很早就提出了相關(guān)的理念，流程和管理思路。例如ParkForeman將漏洞管理分為漏洞識(shí)別、周期性實(shí)踐分類、修復(fù)和減輕安全漏洞[2]。ISO組織和美國(guó)NIST組織在ISO/IECFIDIS27005：2008[3]和NISTSP800-30[4]標(biāo)準(zhǔn)中亦提出類似的漏洞管理流程。但是目前在企業(yè)中針對(duì)安全漏洞的安全防護(hù)和安全管理多采用購(gòu)買安全廠家的漏洞掃描產(chǎn)品進(jìn)行漏洞掃描，根據(jù)掃描結(jié)果進(jìn)行手工加固的方式。在這種實(shí)踐模式中，往往存在以下三個(gè)問題。

摘要：隨著信息時(shí)代的到來，計(jì)算機(jī)技術(shù)已經(jīng)在生活的各個(gè)領(lǐng)域得到了廣泛的應(yīng)用，網(wǎng)絡(luò)風(fēng)險(xiǎn)的存在使得人們?cè)絹碓揭庾R(shí)到計(jì)算機(jī)系統(tǒng)的安全性。根據(jù)工作經(jīng)驗(yàn)及有關(guān)資料，對(duì)計(jì)算機(jī)軟件中存在的安全隱患進(jìn)行了分類。從靜態(tài)檢測(cè)技術(shù)、動(dòng)態(tài)檢測(cè)技術(shù)等多種檢測(cè)方法和檢測(cè)技術(shù)的應(yīng)用入手，探討了計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)的種類。

關(guān)鍵詞：計(jì)算機(jī)；安全漏洞；監(jiān)測(cè)技術(shù)；技術(shù)應(yīng)用

伴隨著社會(huì)的進(jìn)步和科技的發(fā)展，計(jì)算機(jī)軟件的安全漏洞檢測(cè)技術(shù)也在不斷地完善，以提高軟件的防護(hù)能力。要檢查軟件的安全問題，原則上要解決軟件中可能存在的安全漏洞，定期維護(hù)軟件。安全檢測(cè)技術(shù)是通信和計(jì)算機(jī)安全的基礎(chǔ)。要進(jìn)行廣泛宣傳，提高用戶的安全意識(shí)。要適應(yīng)時(shí)代的發(fā)展，運(yùn)用計(jì)算機(jī)技術(shù)。電腦操作是人們?nèi)粘９ぷ鞯闹匾画h(huán)，電腦軟件的開發(fā)是一個(gè)循序漸進(jìn)的過程。有些黑客在軟件開發(fā)過程中利用源碼錯(cuò)誤入侵電腦軟件，破壞系統(tǒng)，造成電腦用戶經(jīng)濟(jì)上和物質(zhì)上的損失，再加上電腦在商業(yè)、金融、銀行以及國(guó)家數(shù)據(jù)存儲(chǔ)領(lǐng)域的應(yīng)用。軟體安全漏洞問題的出現(xiàn)，既損害了個(gè)人利益，也損害了國(guó)家利益。所以開發(fā)計(jì)算機(jī)軟件作為安全漏洞檢測(cè)技術(shù)的重要組成部分，對(duì)國(guó)家和個(gè)人都有重要意義。

1計(jì)算機(jī)軟件安全漏洞概念

計(jì)算機(jī)安全漏洞是安裝軟件時(shí)的缺陷或問題。計(jì)算機(jī)和軟件之間的沖突和不友好會(huì)導(dǎo)致安全漏洞、計(jì)算機(jī)黑客、計(jì)算機(jī)病毒入侵和未經(jīng)授權(quán)的訪問，以及計(jì)算機(jī)操作的危險(xiǎn)性，這引起了人們對(duì)計(jì)算機(jī)病毒的關(guān)注，2017年一種勒索病毒，對(duì)信息安全造成了嚴(yán)重影響造成了巨大的損失。計(jì)算機(jī)病毒影響著生產(chǎn)和生活的方方面面，計(jì)算機(jī)病毒的存在不僅會(huì)導(dǎo)致內(nèi)在的信息丟失，嚴(yán)重會(huì)被一些不法分子竊取重要信息，信息的安全將會(huì)因此受到嚴(yán)重的不良影響，因此，應(yīng)該科學(xué)利用安全漏洞檢測(cè)技術(shù)，降低計(jì)算機(jī)中毒的可能性，保障計(jì)算機(jī)整體安全，為信息安全性做貢獻(xiàn)。安全漏洞分為兩類：（1）安全漏洞。由于設(shè)計(jì)水平有限，在軟件開發(fā)過程中缺乏安全性和病毒攻擊，計(jì)算機(jī)安全水平很低。（2）功能缺陷。電腦在正常運(yùn)行時(shí)出現(xiàn)錯(cuò)誤，導(dǎo)致與系統(tǒng)發(fā)生沖突，使電腦無法正常運(yùn)行。

2計(jì)算機(jī)軟件漏洞及其分類

為貫徹落實(shí)全市政府網(wǎng)站安全漏洞專項(xiàng)整治會(huì)議精神，做好*區(qū)網(wǎng)站安全漏洞檢查整治工作，特制定方案如下：

一、工作目標(biāo)和原則

通過政府網(wǎng)站安全漏洞專項(xiàng)整治行動(dòng)，堵塞安全漏洞，消除安全隱患，落實(shí)管理責(zé)任，加強(qiáng)安全管理，提高信息安全保障能力和水平。專項(xiàng)整治行動(dòng)要堅(jiān)持“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，各部門各單位負(fù)責(zé)本部門的政府網(wǎng)站及下屬網(wǎng)站自查并接受市、區(qū)檢查。

二、組織領(lǐng)導(dǎo)及分工

為保障本次專項(xiàng)整治行動(dòng)扎實(shí)推行，成立政府網(wǎng)站安全漏洞專項(xiàng)整治行動(dòng)領(lǐng)導(dǎo)小組，組長(zhǎng)由副區(qū)長(zhǎng)谷云彪同志擔(dān)任，成員由區(qū)科技和信息化委員會(huì)、公安*分局、區(qū)保密局分管領(lǐng)導(dǎo)組成。領(lǐng)導(dǎo)小組下設(shè)辦公室，辦公室設(shè)在區(qū)科技和信息化委員會(huì)。各有關(guān)部門要明確分管領(lǐng)導(dǎo)和具體人員，按照全區(qū)部署做好專項(xiàng)整治。具體分工：

專項(xiàng)整治行動(dòng)由區(qū)科信委牽頭，公安*分局、區(qū)保密局、區(qū)政府各部門共同承擔(dān)。

隨著互聯(lián)網(wǎng)的高速發(fā)展，人們對(duì)于網(wǎng)絡(luò)的需求越來越大，對(duì)于個(gè)人信息保護(hù)的意識(shí)也越來越強(qiáng)，因此人們對(duì)于網(wǎng)絡(luò)病毒也開始重視起來。網(wǎng)絡(luò)病毒本身對(duì)于用戶的安全是一種極大的威脅。因此掌握一定的網(wǎng)絡(luò)安全知識(shí)，對(duì)病毒有一定的了解是新時(shí)代網(wǎng)民需要學(xué)習(xí)的一項(xiàng)基本技能。

1系統(tǒng)漏洞攻擊介紹

計(jì)算機(jī)漏洞一般是指硬件本身存在的設(shè)計(jì)缺陷或者軟件為了便于修復(fù)所留存的程序后門，這些漏洞缺陷一旦被黑客發(fā)現(xiàn)并加以利用，用戶的信息內(nèi)容將被完全暴露。隨著計(jì)算機(jī)的廣泛普及，黑客們也開始利用操作系統(tǒng)本身的漏洞開展攻擊。通過向緩沖區(qū)發(fā)送大量的數(shù)據(jù)或者根據(jù)計(jì)算出的緩沖區(qū)長(zhǎng)度種植病毒，計(jì)算機(jī)就會(huì)發(fā)生卡頓的現(xiàn)象或者直接被黑客控制。例如“沖擊波”，“灰鴿子”等病毒就是利用這一漏洞進(jìn)行攻擊。如果使用操作不當(dāng)極其容易發(fā)生此問題，最終導(dǎo)致軟件崩潰無法繼續(xù)運(yùn)行。

2計(jì)算機(jī)系統(tǒng)漏洞概述

2.1計(jì)算機(jī)操作系統(tǒng)漏洞。目前較為主流的操作系統(tǒng)由于系統(tǒng)功能較為繁雜，或多或少都存在一定的系統(tǒng)漏洞。而從攻擊者的角度來說較為常用的攻擊方式有操作系統(tǒng)后門和I/O非法訪問兩種，這兩種方式各有特點(diǎn)，其主要的防護(hù)手段也各不相同。2.2計(jì)算機(jī)應(yīng)用軟件漏洞。軟件漏洞則是因程序員在對(duì)軟件需要編寫是需要對(duì)軟件定期維護(hù)而留下的后門，經(jīng)過多次更新之后往往會(huì)出現(xiàn)一些與系統(tǒng)兼容性上的問題，但是一旦這些漏洞被黑客發(fā)現(xiàn)并加以漏洞，就可以在用戶的電腦上種木馬來竊取自己感興趣的信息，一些危害性比較大的木馬還會(huì)造成死機(jī)藍(lán)屏的現(xiàn)象。2.3計(jì)算機(jī)服務(wù)與軟件運(yùn)行漏洞服務(wù)器數(shù)據(jù)庫(kù)漏洞。用戶在瀏覽網(wǎng)站進(jìn)行個(gè)人用戶注冊(cè)的過程中，服務(wù)器會(huì)根據(jù)用戶的登錄信息生成一條靜態(tài)口令，這一口令可以看做是計(jì)算機(jī)在服務(wù)器上的身份證，可以保障訪問安全。此舉的目的是為了防止出現(xiàn)注冊(cè)信息相同導(dǎo)致出現(xiàn)串號(hào)的現(xiàn)象。黑客一般通過對(duì)服務(wù)器進(jìn)行漏洞掃描，一旦發(fā)現(xiàn)漏洞便加以利用，使用數(shù)據(jù)庫(kù)注入工具對(duì)數(shù)據(jù)庫(kù)進(jìn)行破解，進(jìn)而可以直接獲取到數(shù)據(jù)庫(kù)信息，更有甚者使用用戶的個(gè)人賬戶做一些不正當(dāng)?shù)男袨?。遠(yuǎn)程登錄漏洞。器主要利用是的計(jì)算機(jī)網(wǎng)絡(luò)及操作漏洞，可以通過外網(wǎng)IP對(duì)目標(biāo)計(jì)算機(jī)實(shí)行實(shí)時(shí)控制。但是它本身也存在一定的缺陷，遠(yuǎn)程登錄技術(shù)使用TCP/IP作為數(shù)據(jù)傳輸協(xié)議，此過程傳輸?shù)臄?shù)據(jù)不會(huì)經(jīng)過防火墻加密，而這就給了黑客可乘之機(jī)，通過技術(shù)監(jiān)聽實(shí)現(xiàn)對(duì)數(shù)據(jù)的劫持，從而獲取主機(jī)的相關(guān)私密信息，這對(duì)用戶來說無疑是一種非常危險(xiǎn)的事情。Finger漏洞。主要依靠協(xié)議的轉(zhuǎn)發(fā)機(jī)制，通過操作四肢分配實(shí)現(xiàn)對(duì)目標(biāo)的攻擊，但是地址單元又是單一可控的，這就給了黑客可乘之機(jī)，侵入到計(jì)算機(jī)或壞計(jì)算機(jī)系統(tǒng)。電子郵件。黑客將惡意鏈接添加到電子郵件當(dāng)中然后通過網(wǎng)絡(luò)發(fā)送到用戶的電子郵箱中。一旦用戶點(diǎn)開了這條惡意鏈接，惡意程序就會(huì)自動(dòng)安裝到用戶的系統(tǒng)中，系統(tǒng)中信息的私密性將蕩然無存。

3計(jì)算機(jī)系統(tǒng)漏洞的安全防范技術(shù)

【摘要】隨著我國(guó)科學(xué)技術(shù)的持續(xù)快速發(fā)展，計(jì)算機(jī)已成為人們?nèi)粘９ぷ骱蜕畹闹匾獦?gòu)成單元，為生活與工作帶來了極大便利。而計(jì)算機(jī)軟件在為計(jì)算機(jī)在應(yīng)用層面上帶來強(qiáng)大功能的基礎(chǔ)上，也極大地滿足了日常所需?？梢哉f，人們對(duì)計(jì)算機(jī)的有效運(yùn)用正是基于軟件前提下出現(xiàn)。因此，隨著計(jì)算機(jī)軟件應(yīng)用的日益廣泛，其安全性更加受到人們的高度重視，計(jì)算機(jī)軟件本身也可直接影響到計(jì)算機(jī)本身的性能。本文概述了計(jì)算機(jī)軟件安全漏洞檢測(cè)的價(jià)值，結(jié)合實(shí)際，并對(duì)當(dāng)前檢測(cè)存在的問題展開梳理與分析，提出相關(guān)策略。

【關(guān)鍵詞】計(jì)算機(jī)軟件；安全檢測(cè)；漏洞；問題

當(dāng)前，我國(guó)已經(jīng)步入了高度信息化的生活時(shí)代，網(wǎng)絡(luò)信息技術(shù)得到了大量的推廣與應(yīng)用，為民眾的生活創(chuàng)造了極大便利。需要注意的是，在人們充分享受計(jì)算機(jī)網(wǎng)絡(luò)所帶來的便利時(shí)，也需要意識(shí)到計(jì)算機(jī)技術(shù)所存在的潛在安全問題。其中，計(jì)算機(jī)軟件最易遭受的安全問題便是病毒，一些惡性病毒甚至可直接對(duì)計(jì)算機(jī)造成癱瘓，并且對(duì)用戶的計(jì)算機(jī)數(shù)據(jù)帶來巨大的風(fēng)險(xiǎn)隱患，導(dǎo)致隱私泄露。故而，對(duì)計(jì)算機(jī)軟件進(jìn)行可靠、有效的安全檢測(cè)有著重要的現(xiàn)實(shí)意義。

1計(jì)算機(jī)軟件安全檢測(cè)的意義

對(duì)計(jì)算機(jī)軟件實(shí)施安全檢測(cè)，其目的其實(shí)并非是判斷某項(xiàng)程序有無出現(xiàn)錯(cuò)誤，而是去分析這一項(xiàng)程序是否存在缺陷。因?yàn)?，即使某?xiàng)程序存在漏洞，軟件也是可以照常運(yùn)行的，只是其安全性能發(fā)生了降低?？v觀當(dāng)下我國(guó)的軟件安全檢測(cè)技術(shù)而言，其安全檢測(cè)形式基本可以分成動(dòng)態(tài)和靜態(tài)兩種。進(jìn)行對(duì)軟件的安全檢測(cè)，是為了可以明確其運(yùn)行是不是達(dá)到了最初的預(yù)期目標(biāo)。通常意義上，安全檢測(cè)主要可以分成三個(gè)環(huán)節(jié)：①功能性檢測(cè)；②滲透性檢測(cè)；③對(duì)檢測(cè)結(jié)果實(shí)施再次驗(yàn)證。在安全檢測(cè)的過程中，如果發(fā)現(xiàn)了程序漏洞，那么則會(huì)對(duì)其展開兩方面的檢測(cè)：①檢測(cè)軟件的安全功能能夠達(dá)到運(yùn)行需求；②對(duì)訪問控制、保密性能、安全管理等進(jìn)行安全監(jiān)測(cè)。

2計(jì)算機(jī)軟件安全檢測(cè)存在的普遍問題

一、導(dǎo)言

據(jù)美國(guó)電影產(chǎn)業(yè)估計(jì)，由于非法的復(fù)制行為和經(jīng)由物理媒介（錄像帶、DVD、VCD等）傳播的盜版電影所導(dǎo)致的收入損失超過了30億美元。

這種對(duì)非法下載導(dǎo)致的收入損失的估計(jì)是有問題的，因?yàn)楹茈y確定非法下載的哪些部分會(huì)給電影產(chǎn)業(yè)帶來收入上的損失，而且非法下載所帶來的“免費(fèi)宣傳”是否會(huì)對(duì)票房收入有積極影響也未可知。然而，通過互聯(lián)網(wǎng)傳播的非法拷貝很可能對(duì)DVD銷售和付費(fèi)網(wǎng)絡(luò)電影有越來越大的影響。低成本的高速寬帶互聯(lián)網(wǎng)連接和P2P文件共享網(wǎng)絡(luò)的發(fā)展使得非法電影拷貝的下載越來越容易，這使得電影產(chǎn)業(yè)對(duì)非法下載的關(guān)注愈加強(qiáng)烈。而非法復(fù)制的電影在該電影于美國(guó)電影院線放映之前就在網(wǎng)絡(luò)上出現(xiàn)的狀況則加強(qiáng)了電影產(chǎn)業(yè)對(duì)這一問題的關(guān)注。

大部分關(guān)于阻止非法復(fù)制電影之活動(dòng)的討論集中于摧毀盜版電影的大規(guī)模制作和傳播，并采取措施阻止消費(fèi)者從DVD、VCD、付費(fèi)網(wǎng)絡(luò)下載或數(shù)字電視廣播等渠道制作非法電影拷貝。直到最近，關(guān)于安全措施的公共討論還幾乎沒有，而這些安全措施將阻止非法電影拷貝落入那些企圖對(duì)其進(jìn)行大批量制作——有些是在院線放映之前——的人們手中。

本研究試圖對(duì)從2002年1月起18個(gè)月內(nèi)美國(guó)票房收入前50名之電影的互聯(lián)網(wǎng)非法拷貝的源頭進(jìn)行歸類。沒有事實(shí)支撐的爭(zhēng)論已有不少，但在公共領(lǐng)域里還沒有發(fā)現(xiàn)關(guān)于這個(gè)課題的可靠數(shù)據(jù)。本文簡(jiǎn)要分析了電影制作和發(fā)行的過程，并確認(rèn)了可能會(huì)導(dǎo)致電影的非法拷貝被試圖傳播它們的人獲得的安全漏洞。在研究期間我們還分析了互聯(lián)網(wǎng)盜版、院線放映和DVD發(fā)行之間的時(shí)間差，并描述了確定互聯(lián)網(wǎng)拷貝的可能源頭以及本分析之結(jié)果的方法論問題。最后，本文還提出了減少電影制作和發(fā)行過程中的安全漏洞的一些建議。

二、電影制作和發(fā)行

1引言

網(wǎng)絡(luò)安全漏洞是影響電力企業(yè)信息安全的關(guān)鍵因素，為此，電力公司在創(chuàng)建安全防護(hù)系統(tǒng)及網(wǎng)絡(luò)安全技術(shù)應(yīng)用上，必須充分考慮安全系統(tǒng)中存在的漏洞管理缺陷，需要從收集大量的漏洞信息、檢測(cè)系統(tǒng)漏洞、危險(xiǎn)評(píng)估及漏洞處理等多個(gè)方面考慮，創(chuàng)新漏洞管理系統(tǒng)，適應(yīng)漏洞管理需求。因此，本文首先簡(jiǎn)要闡述了網(wǎng)絡(luò)信息安全漏洞管理的重要性，其次分析了當(dāng)前我國(guó)電力企業(yè)網(wǎng)絡(luò)信息安全漏洞管理中存在的問題，并提出了針對(duì)性的管理對(duì)策，以期推動(dòng)我國(guó)網(wǎng)絡(luò)信息安全漏洞管理工作的順利開展。信息化建設(shè)推動(dòng)了我國(guó)國(guó)民經(jīng)濟(jì)發(fā)展，便利了人民生活、生產(chǎn)工作的開展，是我國(guó)社會(huì)發(fā)展的必然趨勢(shì)。電力企業(yè)作為技術(shù)性產(chǎn)業(yè)，在電力系統(tǒng)信息化發(fā)展上取得了巨大果效，但是因?yàn)橄嚓P(guān)安全工作者缺乏管理經(jīng)驗(yàn)，致使網(wǎng)絡(luò)信息安全出現(xiàn)諸多漏洞問題，還有部分漏洞問題迄今為止都沒有得到很好地解決，所以必須加強(qiáng)電力企業(yè)網(wǎng)絡(luò)信息安全管理問題研究，維護(hù)網(wǎng)絡(luò)用戶信息安全。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，為人們的生活生產(chǎn)創(chuàng)造了有利條件，但是隨著網(wǎng)絡(luò)技術(shù)的不斷創(chuàng)新發(fā)展，信息數(shù)據(jù)也越來越多，一旦用戶重要信息在傳遞過程中出現(xiàn)安全漏洞問題，將造成嚴(yán)重影響，所以，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)來說，結(jié)合自身特性設(shè)置安全漏洞防護(hù)管理措施，防用戶信息安全泄漏工作就顯得至關(guān)重要。

2我國(guó)電力企業(yè)網(wǎng)絡(luò)信息安全漏洞管理中存在的問題

2.1網(wǎng)絡(luò)安全意識(shí)不高，缺乏網(wǎng)絡(luò)安全管理人才。電力企業(yè)在發(fā)展過程中過度關(guān)注網(wǎng)絡(luò)及其信息系統(tǒng)的價(jià)值性，而忽視了網(wǎng)絡(luò)信息漏洞管理。其主要原因在于企業(yè)及員工缺乏網(wǎng)絡(luò)安全意識(shí)，或存在僥幸心理，認(rèn)為網(wǎng)絡(luò)信息安全漏洞問題不會(huì)輕易發(fā)生。另外，電力企業(yè)網(wǎng)絡(luò)安全管理方面專業(yè)人才較少，尤其缺少網(wǎng)絡(luò)信息安全漏洞管理方面的人才，致使企業(yè)中網(wǎng)絡(luò)信息安全漏洞情況較嚴(yán)重。2.2網(wǎng)絡(luò)安全漏洞防護(hù)能力落后。我國(guó)網(wǎng)絡(luò)信息技術(shù)發(fā)展加快，致使電力企業(yè)網(wǎng)絡(luò)安全漏洞防護(hù)能力匱乏，不僅如此，還有部分電力企業(yè)沒有創(chuàng)建網(wǎng)絡(luò)安全漏洞防護(hù)系統(tǒng)，致使企業(yè)安全防護(hù)及漏洞管理能力落后。另外，還有部分?jǐn)?shù)據(jù)得不到有效恢復(fù)，致使系統(tǒng)內(nèi)部信息及數(shù)據(jù)丟失，影響電力企業(yè)發(fā)展，造成不必要的損失，因此，必須加強(qiáng)電力企業(yè)網(wǎng)絡(luò)安全漏洞防護(hù)工作建設(shè)。2.3漏洞檢測(cè)周期過長(zhǎng)及漏洞規(guī)則更新滯后。目前，我國(guó)網(wǎng)絡(luò)安全漏洞檢測(cè)產(chǎn)品生產(chǎn)商通常會(huì)半個(gè)月更新一次漏洞檢測(cè)庫(kù)，而且還不能確保更新的是最新漏洞信息，也就是說漏洞信息自公布初期到檢測(cè)結(jié)束至少需要消耗半個(gè)月的時(shí)間甚至更長(zhǎng)時(shí)間。另外，由于電力企業(yè)網(wǎng)絡(luò)信息規(guī)模較大，且資產(chǎn)較多，對(duì)其進(jìn)行資產(chǎn)管理及漏洞管理需要消耗數(shù)月時(shí)間，并且掃描后還需要結(jié)合掃描結(jié)果進(jìn)行分析，將風(fēng)險(xiǎn)清單下發(fā)至企業(yè)各部門，最后轉(zhuǎn)交給資產(chǎn)負(fù)責(zé)人進(jìn)行處理，這種工作模式不僅浪費(fèi)了大量的時(shí)間成本，還不能保證漏洞的時(shí)效性，嚴(yán)重降低了漏洞處理效率。

3電力企業(yè)網(wǎng)絡(luò)信息安全漏洞管理

3.1加強(qiáng)網(wǎng)絡(luò)安全管理人員的安全意識(shí)教育。網(wǎng)絡(luò)漏洞安全管理人員的專業(yè)性直接關(guān)系著電力企業(yè)的網(wǎng)絡(luò)信息安全，因此，需要?jiǎng)?chuàng)建完善合理的網(wǎng)絡(luò)安全管理制度對(duì)其進(jìn)行防護(hù)，使相關(guān)安全管理及技術(shù)人員充分掌握安全防護(hù)技能。網(wǎng)絡(luò)信息安全漏洞管理對(duì)于電力企業(yè)發(fā)展而言至關(guān)重要，所以，企業(yè)必須加強(qiáng)對(duì)安全管理人員的意識(shí)培養(yǎng)及技術(shù)培訓(xùn)，使其充分了解企業(yè)安全防護(hù)措施，重視網(wǎng)絡(luò)信息安全漏洞管理。3.2做好信息安全等級(jí)保護(hù)工作。因?yàn)殡娏ζ髽I(yè)信息關(guān)系著企業(yè)各部門及員工利益，甚至影響企業(yè)的生存發(fā)展，所以必須做好信息分級(jí)保護(hù)措施。例如可以創(chuàng)建單獨(dú)的信息漏洞防護(hù)系統(tǒng)，也可以借助漏洞防護(hù)設(shè)備維護(hù)信息安全，防止泄露，危害企業(yè)利益及信息安全。3.3升級(jí)防火墻。由于網(wǎng)絡(luò)信息安全漏洞管理的需求，通常情況下，網(wǎng)絡(luò)安全防護(hù)人員會(huì)設(shè)置一定的安全權(quán)限以保證用戶信息安全。而防火墻的作用在于對(duì)重要信息進(jìn)行隔離保護(hù)，只有取得相關(guān)權(quán)限的人才能通過防火墻以取得信息，這種方式能夠有效保證信息安全。所以，及時(shí)對(duì)防火墻進(jìn)行升級(jí)是非常必要的。

1計(jì)算機(jī)軟件安全漏洞的成因及危害

1.1成因。計(jì)算機(jī)軟件是由相關(guān)人員按照實(shí)際的使用需要進(jìn)行設(shè)計(jì)開發(fā)的程序，由此使得人為因素成為軟件安全漏洞的主要成因之一。軟件開發(fā)人員在進(jìn)行設(shè)計(jì)的過程中，因需要完成大量計(jì)算，所以可能會(huì)出現(xiàn)一些錯(cuò)誤，如果這些錯(cuò)誤未能及時(shí)發(fā)現(xiàn)，那么便會(huì)形成安全漏洞。同時(shí)，邏輯方面的錯(cuò)誤也是軟件開發(fā)設(shè)計(jì)時(shí)比較常見的問題，當(dāng)軟件中的某個(gè)程序存在邏輯錯(cuò)誤時(shí)，安全漏洞也會(huì)隨之出現(xiàn)。由于計(jì)算機(jī)軟件中邏輯程序的復(fù)雜程度越來越高，從而使得軟件開發(fā)設(shè)計(jì)的失誤率隨之增大，若是軟件的運(yùn)行環(huán)境發(fā)生變化，則可能引起新的安全漏洞。所以軟件的安全漏洞很難徹底消除，只能通過相應(yīng)的方式進(jìn)行修補(bǔ)。因此，及時(shí)發(fā)現(xiàn)軟件漏洞就顯得尤為重要，而這一目標(biāo)需要借助相關(guān)的檢測(cè)技術(shù)予以實(shí)現(xiàn)。1.2危害。計(jì)算機(jī)軟件安全漏洞的危害性相對(duì)較高，當(dāng)軟件存在安全漏洞時(shí)，會(huì)給黑客入侵提供渠道，并且各行木馬程序和計(jì)算機(jī)病毒也會(huì)通過漏洞進(jìn)入到計(jì)算機(jī)當(dāng)中，由于是從漏洞侵入，所以殺毒軟件可能無法進(jìn)行有效地預(yù)防。同時(shí)，有些病毒專門針對(duì)軟件漏洞，只要計(jì)算機(jī)軟件中存在安全漏洞，此類病毒便會(huì)在不被察覺的情況下侵入計(jì)算機(jī)系統(tǒng)，影響計(jì)算機(jī)的穩(wěn)定運(yùn)行。

2計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)

目前，可用于計(jì)算機(jī)軟件安全漏洞檢測(cè)的技術(shù)較多，大體上可將之歸為兩類，具體如圖1所示。2.1動(dòng)態(tài)檢測(cè)技術(shù)的應(yīng)用。2.1.1非執(zhí)行棧。該檢測(cè)技術(shù)能夠?qū)跅５墓暨M(jìn)行有效防范，其基本原理是通過停止棧的運(yùn)行，來阻止黑客利用惡意代碼對(duì)計(jì)算機(jī)中的棧進(jìn)行攻擊。在應(yīng)用該技術(shù)對(duì)計(jì)算機(jī)軟件安全漏洞進(jìn)行檢測(cè)時(shí)，需要將某個(gè)棧頁標(biāo)記為不可執(zhí)行，雖然這樣可以防止黑客對(duì)棧進(jìn)行攻擊，但若是將惡意代碼寫入到數(shù)據(jù)段中，便可能繞過該檢測(cè)技術(shù)，所以容易造成檢測(cè)失敗。為了解決這一問題，業(yè)內(nèi)的專家經(jīng)過研究后，對(duì)該技術(shù)進(jìn)行改進(jìn)，將非執(zhí)行棧變?yōu)榉菆?zhí)行堆，由此可以檢測(cè)并有效阻止所有試圖注入進(jìn)程內(nèi)存中的惡意代碼，并且在應(yīng)用時(shí)，基本不會(huì)對(duì)計(jì)算機(jī)系統(tǒng)的性能造成影響。2.1.2內(nèi)部映射。該技術(shù)又被稱之為內(nèi)存映射，是軟件安全漏洞檢測(cè)中較為常用一種技術(shù)，應(yīng)用該技術(shù)進(jìn)行漏洞檢測(cè)時(shí)，不需要對(duì)代碼進(jìn)行改變，借助連接的方式，可以對(duì)黑客的攻擊進(jìn)行映射，從而達(dá)到干擾攻擊，阻止入侵的目的。在映射干擾下，黑客利用漏洞對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行入侵時(shí)，無法準(zhǔn)確找到目的地址，從而導(dǎo)致入侵失敗，由此使計(jì)算機(jī)的安全得到保障。通過該技術(shù)能夠?qū)Φ刂诽D(zhuǎn)攻擊進(jìn)行檢測(cè)，并且可以對(duì)此類攻擊進(jìn)行有效阻止。2.1.3沙箱。這是一種通過限制進(jìn)程訪問資源的方式，來對(duì)黑客的攻擊進(jìn)行預(yù)防。該技術(shù)最為突出的應(yīng)用優(yōu)勢(shì)在于，不會(huì)改變系統(tǒng)內(nèi)核及應(yīng)用程序。為使該技術(shù)在安全漏洞檢測(cè)中更加全面，需要對(duì)策略進(jìn)行嚴(yán)格定義，這樣便可以使軟件程序免受黑客的惡意攻擊。因該技術(shù)對(duì)安全策略具有較強(qiáng)的依賴性，所以在應(yīng)用時(shí)，并不會(huì)產(chǎn)生兼容性問題。2.1.4程序解釋。該檢測(cè)技術(shù)是在某些程序啟動(dòng)運(yùn)行后，通過對(duì)其行為的監(jiān)視，來達(dá)到安全檢查的目的。簡(jiǎn)而言之，只要有計(jì)算機(jī)中有程序運(yùn)行，該技術(shù)便會(huì)對(duì)其進(jìn)行相應(yīng)的監(jiān)視和安全檢查，從而發(fā)現(xiàn)程序是否存在安全漏洞。這種檢測(cè)技術(shù)雖然效果較好，但卻會(huì)過度消耗系統(tǒng)的性能，而通過程序監(jiān)視可有效解決這一問題。2.1.5安全共享庫(kù)。就計(jì)算機(jī)軟件而言，有部分安全漏洞是因?yàn)閷?duì)安全性較低的共享庫(kù)進(jìn)行使用而引起的，對(duì)于此類漏洞，可以通過安全共享庫(kù)技術(shù)進(jìn)行解決處理。該技術(shù)實(shí)質(zhì)上是一種動(dòng)態(tài)鏈接，可對(duì)函數(shù)進(jìn)行檢測(cè)，并對(duì)不安全的函數(shù)進(jìn)行攔截，從而達(dá)到阻止黑客攻擊的目的。2.2靜態(tài)檢測(cè)技術(shù)的應(yīng)用。通過實(shí)際應(yīng)用發(fā)現(xiàn)，靜態(tài)檢測(cè)技術(shù)中的程序評(píng)注是以評(píng)注信息對(duì)程序內(nèi)潛在的漏洞進(jìn)行查找，由于會(huì)產(chǎn)生誤報(bào)的情況，所以需要人為排查，確認(rèn)是否為安全漏洞，如果是則會(huì)對(duì)其進(jìn)行修復(fù)；類型推斷在較大的應(yīng)用程序檢測(cè)中較為適用，但在使用中常常會(huì)引起兼容性問題；元編譯在應(yīng)用時(shí)，除了要建模之外，還需要編譯擴(kuò)展，對(duì)于小問題的檢測(cè)效果較佳，但也同樣存在誤報(bào)，并且在廣泛的應(yīng)用程序中，可用性較差；約束解算器不存在兼容性問題，只是誤報(bào)量較高，若是應(yīng)用程序較大，則在安全漏洞中的檢測(cè)效果一般；詞法檢測(cè)技術(shù)也會(huì)產(chǎn)生一定的誤報(bào)，但總體上可以接受，該技術(shù)的性能較快，且不會(huì)對(duì)目標(biāo)程序產(chǎn)生影響，唯一的不足是需要進(jìn)行人工核查。鑒于此，因靜態(tài)檢測(cè)技術(shù)本身的缺陷較多，所以在計(jì)算機(jī)軟件安全漏洞檢測(cè)中，不建議單獨(dú)使用某種靜態(tài)檢測(cè)技術(shù)，而是應(yīng)當(dāng)將其與動(dòng)態(tài)檢測(cè)技術(shù)中某些技術(shù)進(jìn)行聯(lián)合使用，通過技術(shù)整合，在發(fā)揮自身應(yīng)用優(yōu)勢(shì)的基礎(chǔ)上，彌補(bǔ)不足，提高安全漏洞檢測(cè)效果，這對(duì)于確保計(jì)算機(jī)系統(tǒng)的安全性具有重要的現(xiàn)實(shí)意義。

3結(jié)論

綜上所述，計(jì)算機(jī)軟件安全漏洞實(shí)質(zhì)上就是軟件本身存在的缺陷，黑客常常會(huì)利用軟件的安全漏洞，對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊，輕則會(huì)使系統(tǒng)正常運(yùn)行受到影響，嚴(yán)重時(shí)，會(huì)造成重要信息丟失。因此，應(yīng)當(dāng)運(yùn)用相應(yīng)的檢測(cè)技術(shù)來解決軟件的安全漏洞問題，從而確保計(jì)算機(jī)系統(tǒng)的安全性。在未來一段時(shí)期，應(yīng)當(dāng)加大對(duì)安全漏洞檢測(cè)技術(shù)的研究力度，除對(duì)現(xiàn)有的技術(shù)進(jìn)行逐步改進(jìn)和完善之外，還應(yīng)開發(fā)一些新的檢測(cè)技術(shù)，從而使其能夠更好地為計(jì)算機(jī)系統(tǒng)安全提供保障。

摘要：隨著計(jì)算機(jī)軟件技術(shù)研究與應(yīng)用的深入，計(jì)算機(jī)軟件安全也受到更加嚴(yán)重的威脅。木馬、黑客攻擊等都導(dǎo)致計(jì)算機(jī)軟件中的信息安全得不到保障，使計(jì)算機(jī)用戶面臨巨大的財(cái)產(chǎn)損失。立足這一背景，本文運(yùn)用文獻(xiàn)資料法、調(diào)查法、歸納總結(jié)法等對(duì)計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)進(jìn)行分析，并就漏洞檢測(cè)技術(shù)在計(jì)算機(jī)軟件中的具體應(yīng)用展開論述，希望能為相關(guān)工作帶來些許幫助。

關(guān)鍵詞：計(jì)算機(jī)軟件；安全漏洞檢測(cè)技術(shù)；具體應(yīng)用

在信息化時(shí)代，計(jì)算機(jī)軟件技術(shù)獲得了更進(jìn)一步的發(fā)展，計(jì)算機(jī)軟件功能更加豐富、數(shù)據(jù)存儲(chǔ)與處理能力更強(qiáng)，適用范圍更廣。但與此同時(shí)，計(jì)算機(jī)軟件也還存有一些安全漏洞，這給黑客的攻擊、不法分子的入侵提供了途徑，也讓計(jì)算機(jī)使用者的信息安全、財(cái)產(chǎn)安全得不到保障[1]。下面結(jié)合實(shí)際，就計(jì)算機(jī)軟件安全漏洞以及相關(guān)的漏洞檢測(cè)技術(shù)做具體分析。

1計(jì)算機(jī)軟件安全漏洞

計(jì)算機(jī)軟件安全漏洞是指能對(duì)計(jì)算機(jī)軟件系統(tǒng)安全構(gòu)成威脅的缺陷，計(jì)算機(jī)軟件漏洞通常是由設(shè)計(jì)開發(fā)階段的主觀失誤造成。目前一般將計(jì)算機(jī)軟件安全漏洞分成兩種是形式，分別是安全性漏洞與功能性漏洞。安全性漏洞對(duì)整個(gè)計(jì)算機(jī)系統(tǒng)的影響較小，但會(huì)加大網(wǎng)絡(luò)黑客攻擊計(jì)算系統(tǒng)的幾率，而一旦黑客利用計(jì)算機(jī)軟件漏洞侵入計(jì)算機(jī)系統(tǒng)，就會(huì)造成系統(tǒng)混亂。功能性漏洞對(duì)整個(gè)計(jì)算機(jī)系統(tǒng)的影響巨大，其會(huì)嚴(yán)重影響計(jì)算機(jī)系統(tǒng)的功能與運(yùn)行狀態(tài)[2]。計(jì)算機(jī)軟件安全漏洞的產(chǎn)生與多種原因有關(guān)，如在軟件設(shè)計(jì)開發(fā)階段編程人員犯了邏輯性錯(cuò)誤，導(dǎo)致計(jì)算機(jī)軟件存有安全隱患。此外，計(jì)算機(jī)軟件的安全漏洞還有可能是由網(wǎng)絡(luò)環(huán)境引起，在不同的軟硬件中，因設(shè)備的版本問題可能會(huì)存在相應(yīng)的安全漏洞。當(dāng)計(jì)算機(jī)軟件使用較長(zhǎng)時(shí)間時(shí)，安全性能也有可能會(huì)下降，安全漏洞會(huì)顯現(xiàn)出來。深入研究可知，計(jì)算機(jī)軟件安全漏洞的出現(xiàn)與人的操作有關(guān)，錯(cuò)誤的操作有可能引起安全漏洞產(chǎn)生，但計(jì)算機(jī)軟件安全漏洞與計(jì)算機(jī)系統(tǒng)自身的安全性無多大關(guān)系，可以說計(jì)算機(jī)軟件與計(jì)算機(jī)系統(tǒng)安全相互獨(dú)立。

2計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)

摘要：隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，信息時(shí)代已經(jīng)到來，計(jì)算機(jī)技術(shù)普及到各行各業(yè)各個(gè)領(lǐng)域，成為應(yīng)用最廣泛的高科技產(chǎn)品，給人們的工作生活學(xué)習(xí)帶來了極大的便利。但是，隨著互聯(lián)網(wǎng)的快速發(fā)展，越來越多的交易依賴于各種網(wǎng)絡(luò)平臺(tái)實(shí)現(xiàn)，計(jì)算機(jī)網(wǎng)絡(luò)安全已經(jīng)成為社會(huì)各界最為關(guān)注的重點(diǎn)問題，能否及時(shí)堵住計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞、保證計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用安全意義重大。文章在歸納計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞的基礎(chǔ)上，提出了有效防范計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞的措施。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)安全；漏洞；防范措施

21世紀(jì)是互聯(lián)網(wǎng)的時(shí)代，網(wǎng)絡(luò)信息技術(shù)迅猛發(fā)展，不斷向網(wǎng)絡(luò)化、智能化、數(shù)字化突破，以自身具有的高速運(yùn)算能力代替了傳統(tǒng)的人工運(yùn)算，提高了工作質(zhì)量與工作效率，深入社會(huì)生產(chǎn)、人類生活的方方面面，解放了大量的勞動(dòng)力，凸顯了在社會(huì)發(fā)展中的重要地位，成為人們工作生活學(xué)習(xí)不可或缺的內(nèi)容。據(jù)2020年中國(guó)互聯(lián)網(wǎng)信息中心的第45次《中國(guó)互聯(lián)網(wǎng)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2020年3月我國(guó)網(wǎng)民數(shù)據(jù)已經(jīng)超過9億，達(dá)到了9.04億，互聯(lián)網(wǎng)普及率達(dá)到64.5%。互聯(lián)網(wǎng)承載了海量人群的大多數(shù)資產(chǎn)，使其潛在價(jià)值不可估計(jì)的同時(shí)也存在巨大的安全威脅，如惡意攻擊、種植病毒等。利用計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞攻擊網(wǎng)絡(luò)是最常見的網(wǎng)絡(luò)安全問題，對(duì)網(wǎng)絡(luò)中資產(chǎn)、數(shù)據(jù)、信息的安全性、完整性及機(jī)密性等造成危害與影響。據(jù)國(guó)家信息安全漏洞庫(kù)統(tǒng)計(jì)數(shù)據(jù)顯示，僅2018年就發(fā)現(xiàn)未知的網(wǎng)絡(luò)安全漏洞2萬多個(gè)，這暴露了計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞問題的兇惡本性。眾多計(jì)算機(jī)安全漏洞事件給受害人帶來了巨大的精神及財(cái)產(chǎn)損失，甚至破壞人們的身體健康，威脅生命安全。因此，必須認(rèn)識(shí)計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞的危害，并有效防范這些漏洞，以保障計(jì)算機(jī)網(wǎng)絡(luò)的安全。

1計(jì)算機(jī)網(wǎng)絡(luò)安全概述

1.1計(jì)算機(jī)網(wǎng)絡(luò)安全的界定

對(duì)計(jì)算機(jī)的管理操作及數(shù)據(jù)處理分析進(jìn)行必要的安全保護(hù)，確保計(jì)算機(jī)軟硬件系統(tǒng)不被破壞、數(shù)據(jù)不被泄露，保障計(jì)算機(jī)的安全穩(wěn)定的應(yīng)用就是計(jì)算機(jī)網(wǎng)絡(luò)安全。