信息安全漏洞特征（时间的价值）

信息安全漏洞是一个比较独特的抽象概念，它具有以下特征：

 

（1） 信息安全漏洞是一种状态或条件。它的存在并不能导致损害，但是可以被攻击者利用，从而造成对系统安全的破坏。漏洞的恶意利用能够影响人们的工作、生活，甚至给国家安全带来灾难性的后果。

 

（2） 漏洞可能是有意，也可能是无意造成的。在信息系统中，人为主动形成的漏洞称为预置性漏洞，但大多数的漏洞是由于疏忽造成的。

例如，软件开发过程中不正确的系统设计或编程过程中的错误逻辑等。

 

（3） 漏洞广泛存在。漏洞是不可避免的，它广泛存在于信息产品或系统的软件、硬件、协议或算法。而且在同一软件、硬件及协议的不同版本之间，相同软件、硬件及协议构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。

 

（4） 漏洞与时间紧密相关。一个系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来，这些早先被发现的漏洞也会不断被系统供应商发布的补丁修复，或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中原有漏洞的同时，也会引入一些新的漏洞和错误。因而随着时间的推移，旧的漏洞会不断消失，新的漏洞会不断出现。

 

（5） 漏洞研究具有两面性和信息不对称性。针对漏洞的研究工作，一方面可以用于防御，一方面也可以用于攻击。同时，在当前的安全环境中，很多因素都会导致攻击者的出现。攻击者相对于信息系统的保护者具有很大的优势，攻击者只需要找出一个漏洞，而防御者却在试图消除所有漏洞。随着网络的发展，包括恶意工具在内的各种攻击工具均可从互联网上自由下载，任何有此意图的人都能得到这些工具。而且出现了越来越多的无需太多知识或技巧的自动工具。同防护系统、网络、信息以及响应攻击所需的支出相比要更廉价。尽管网络安全和信息保障技术能力也在逐步增强，但攻与防的成本差距不断增大，不对称性越来越明显。

From《信息安全漏洞分析基础》