資訊安全漏洞特征（時間的價值）

資訊安全漏洞是一個比較獨特的抽象概念，它具有以下特征：

（1） 資訊安全漏洞是一種狀态或條件。它的存在并不能導緻損害，但是可以被攻擊者利用，進而造成對系統安全的破壞。漏洞的惡意利用能夠影響人們的工作、生活，甚至給國家安全帶來災難性的後果。

（2） 漏洞可能是有意，也可能是無意造成的。在資訊系統中，人為主動形成的漏洞稱為預置性漏洞，但大多數的漏洞是由于疏忽造成的。

例如，軟體開發過程中不正确的系統設計或程式設計過程中的錯誤邏輯等。

（3） 漏洞廣泛存在。漏洞是不可避免的，它廣泛存在于資訊産品或系統的軟體、硬體、協定或算法。而且在同一軟體、硬體及協定的不同版本之間，相同軟體、硬體及協定構成的不同系統之間，以及同種系統在不同的設定條件下，都會存在各自不同的安全漏洞問題。

（4） 漏洞與時間緊密相關。一個系統從釋出的那一天起，随着使用者的深入使用，系統中存在的漏洞會被不斷暴露出來，這些早先被發現的漏洞也會不斷被系統供應商釋出的更新檔修複，或在以後釋出的新版系統中得以糾正。而在新版系統糾正了舊版本中原有漏洞的同時，也會引入一些新的漏洞和錯誤。因而随着時間的推移，舊的漏洞會不斷消失，新的漏洞會不斷出現。

（5） 漏洞研究具有兩面性和資訊不對稱性。針對漏洞的研究工作，一方面可以用于防禦，一方面也可以用于攻擊。同時，在目前的安全環境中，很多因素都會導緻攻擊者的出現。攻擊者相對于資訊系統的保護者具有很大的優勢，攻擊者隻需要找出一個漏洞，而防禦者卻在試圖消除所有漏洞。随着網絡的發展，包括惡意工具在内的各種攻擊工具均可從網際網路上自由下載下傳，任何有此意圖的人都能得到這些工具。而且出現了越來越多的無需太多知識或技巧的自動工具。同防護系統、網絡、資訊以及響應攻擊所需的支出相比要更廉價。盡管網絡安全和資訊保障技術能力也在逐漸增強，但攻與防的成本差距不斷增大，不對稱性越來越明顯。

From《資訊安全漏洞分析基礎》