网络安全漏洞来源是什么
网络安全漏洞来源如下:
网络安全责任主体不明确。组织中缺少针对网络安全负责任的机构,或者是网络安全机构不健全,导致网络安全措施缺少责任部门落实。
网络安全策略不完备。组织中缺少或者没有形成一套规范的网络信息安全策略。例如,缺少笔记本电脑安全接入控制策略,有可能导致外部非安全电脑随意接入内部网络中,从而使得内部网络安全防护机制失去保护效果。
网络安全操作技能不足。组织中缺少对工作人员的网络安全职责规范要求,没有制度化的安全意识和技能培训机制。例如,员工缺少新的网络信息安全威胁知识和预防能力,不知道如何防范垃圾邮件和设置安全口令。
网络安全监督缺失。组织中缺少强有力的网络信息安全监督机制,网络信息安全策略的实施无法落实,无法掌握网络安全态势。例如,恶意代码防护策略缺少更新和维护。
网络安全特权控制不完备。网络信息系统中存在特权账号,缺少对超级用户权限的审计和约束,从而引发内部安全威胁。
设计错误 (Design Error) 。由于系统或软件程序设计错误而导致的安全漏洞。例如,TCP/IP 协议设计错误导致的 IP 地址可以伪造。
输入验证错误 (InputValidation Error) 。由于未对用户输入数据的合法性进行验证,使攻击者非法进入系统。
缓冲区溢出 (Buffer Overflow) 。输入程序缓冲区的数据超过其规定长度,造成缓冲区溢出,破坏程序正常的堆栈,使程序执行其他代码。
意外情况处置错误 (Exceptional Condition Handling Error) 。由千程序在实现逻辑中没有考虑到一些意外情况,而导致运行出错。
访问验证错误 (Access Validation Error) 。由于程序的访问验证部分存在某些逻辑错误,使攻击者可以绕过访问控制进入系统。
配置错误 (Configuration Error) 。由于系统和应用的配置有误,或配置参数、访问权限、策略安装位置有误。
竞争条件 (Race Cond on) 。由于程序处理文件等实体在时序和同步方面存在问题,存在一个短暂的时机使攻击者能够施以外来的影响。
环境错误 (Condition Error) 。由于一些环境变晕的错误或恶意设置造成的安全漏洞。