《计算机网络与信息安全技术》电子课件 CH07系统脆弱性分析技术.ppt

应对措施 在网站投入使用之前，应该通过“应用层安全检测”。 目前比较常见的有“Watchfire AppScan”、 “数据库弱点深度扫描器”、 “Web应用弱点深度扫描”、 “网上木马自动分析溯源器”等产品供检测使用。 * 《计算机网络与信息安全技术》教学课件 V08.08 * 系统脆弱性分析技术 第 7 章 基本内容 针对网络系统或网络应用的安全技术，本章首先从自我检查的角度入手，分析系统不安全的各种因素，采用工具检测并处理系统的各种脆弱性。 7.1 漏洞扫描概述 　　漏洞源自“vulnerability”（脆弱性）。一般认为，漏洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。 　　标准化组织CVE（Common Vulnerabilities and Exposures, 即“公共漏洞与暴露”）致力于所有安全漏洞及安全问题的命名标准化，安全产品对漏洞的描述与调用一般都与CVE兼容。 7.1.1 漏洞的概念 信息安全的 “木桶理论” 　　对一个信息系统来说，它的安全性不在于它是否采用了最新的加密算法或最先进的设备，而是由系统本身最薄弱之处，即漏洞所决定的。只要这个漏洞被发现，系统就有可能成为网络攻击的牺牲品。 7.1 漏洞扫描概述 7.1.2 漏洞的发现 　　一个漏洞并不是自己突然出现的，必须有人发现它。这个工作主