分类 | 说明 | 主要来源 | |
1 | 非技术性安全漏洞 | 涉及管理组织结构、管理制度、管理流程、人员管理等 | ①网络安全责任主体不明确。组织中缺少网络安全机构或机构不健全,导致安全措施无法落实 ②网络安全策略不完备。组织缺乏规范网络信息安全策略。如缺少笔记本电脑内网安全接入控制策略 ③网络安全操作技能不足。组织中没有制度化安全意识和技能培训机制。如员工不会防范垃圾邮件 ④网络安全监督缺失。组织中缺少强有力的网络信息安全监督机制,安全策略无法落实,无法掌握网络安全态势。如恶意代码防护策略缺少更新和维护 ⑤网络安全特权控制不完备。系统存在特权账号,缺少超级用户权限审计和约束,引发内部安全威胁 |
2 | 技术性安全漏洞 | 涉及网络结构、通信协议、设备、软件产品、系统配置、应用系统等 | ①设计错误(Design Error)。系统或软件程序设计错误导致安全漏洞。如TCP/IP协议设计错误导致IP地址可伪造 ②辅入验证错误(Input Validation Error)。未验证用户输入数据合法性,使攻击者非法进入系统 ③缓冲区溢出(Buffer Overflow)。输入程序缓冲区数据超过其规定长度,造成缓冲区溢出,破坏程序正常堆栈,使程序执行其他代码 ④意外情况处置错误(Exceptional Condition Handling Error)。程序在实现逻辑中没有考虑到一些意外情况,导致运行出错 ⑤访问验证错误(Access Validation Error)。程序访问验证部分存在某些逻辑错误,使攻击者可以绕过访问控制进入系统 ⑥配置错误(Configuration Error)。系统和应用配置有误(配置参数、访问权限、策略安装位置) ⑦竞争条件(Race Condition)。程序处理文件等实体在时序和同步方面存在问题,存在一个短暂时机,使攻击者能够施以外来影响 ⑧环境错误(Condition Error)。某些环境变量的错误或恶意设置造成安全漏洞 |