漏洞修复面面观.docVIP

近几年来，令网络管理人员谈虎色变的网络安全问题莫过于蠕虫。蠕虫的爆发不仅导致个人电脑或服务器系统无法正常工作，还会造成网络系统的瘫痪。而系统漏洞作为网络安全的头号大敌，可谓万恶的根本。但要想在第一时间把每个漏洞都被及时修补好，基本是不可能的，即便可能做到，所需要的各种资源也是企业无法承受的。 打补丁不能盲目，不是每个补丁都需要在第一时间修补；不是每个补丁都可以随便打上。因为，漏洞的修补是需要策略的。 明确漏洞真相 漏洞所造成的安全问题具备一定的时效性，也具备很强的规律性。通过分析漏洞的生命周期，我们方可把握漏洞法则，寻找漏洞真相。从信息安全这个层面看，是先有漏洞和对漏洞进行攻击的可能性，才有补丁。漏洞是攻击者攻击的目标，而打补丁正是对漏洞的修补过程。 对于漏洞的定义，英汉双解计算机词典的解释如下：在计算机安全学中，漏洞是存在于一个系统内的弱点或缺陷，系统对一个特定的威胁攻击或危险事件的敏感性，或进行攻击的威胁作用的可能性。操作系统厂商微软对漏洞也给出了明确的定义：漏洞是可以在攻击过程中利用的弱点，可以是软件、硬件、程序缺点、功能设计或者配置不当。 由于漏洞所造成安全问题具备一定的时效性，也就是说，每一个漏洞都存在一个和产品类似的生命周期的概念。只有我们对漏洞生命周期的概念进行研究并且分析出其内在的一些规律，才能真正达到解决漏洞危害的目的。漏洞生命周期：简单而言，漏洞从客观存在到被发