脆弱点识别与评估

2.3.5　脆弱点识别与评估

1.脆弱点识别

脆弱点识别也称为弱点识别，弱点是资产本身存在的，如果没有相应的威胁发生，单纯的弱点本身不会对资产造成损害。而且如果系统足够强健，再严重的威胁也不会导致安全事件，并造成损失。即威胁总是要利用资产的弱点才可能造成危害。

脆弱点识别主要从技术和管理两个方面进行，技术脆弱点涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱点又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。

对不同的对象，其脆弱点识别的具体要求应参照相应的技术或管理标准实施。例如，对物理环境的脆弱点识别可以参照GB/T 9361—2000《计算机场地安全要求》中的技术指标实施；对操作系统、数据库可以参照GB 17859—1999《计算机信息系统安全保护等级划分准则》中的技术指标实施。管理脆弱点识别方面可以参照ISO/IEC 17799—2005《Code of practice for information security management》的要求对安全管理制度及其执行情况进行检查，发现管理漏洞和不足。我国的《信息安全风险评估指南》列举了不同对象的脆弱点识别内容参考，如表2－7所示。

表2－7　脆弱点识别内容

资产的脆弱点具有隐蔽性，有些弱点只有在一定条件和环境下才能显现，这是脆弱点识别中最为困难的部分。需要注意的是，不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个弱点。

脆弱点识别将针对每一项需要保护的资产，找出可能被威胁利用的弱点，并对脆弱点的严重程度进行评估。脆弱点识别时的数据应来自于资产的所有者、使用者，以及相关业务领域的专家和软硬件方面的专业等人员。

脆弱点识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。

2.脆弱点评估

安全事件的影响与脆弱点被利用后对资产的损害程度密切相关，而安全事件发生的可能性与脆弱点被利用的可能性有关，而脆弱点被利用的可能性与脆弱点技术实现的难易程度、脆弱点流行程度有关。脆弱点评估就是对脆弱点被利用后对资产损害程度、技术实现的难易程度、弱点流行程度进行评估，评估的结果一般都是定性等级划分形式，综合的标识脆弱点的严重程度。也可以对脆弱点被利用后对资产的损害程度以及被利用的可能性分别评估，然后以一定方式综合。若很多弱点反映的是同一方面的问题，应综合考虑这些脆弱点，最终确定这一方面的脆弱点严重程度。

对某个资产，其技术脆弱点的严重程度受到组织的管理脆弱点的影响，因此，资产的脆弱点赋值还应参考技术管理和组织管理脆弱点的严重程度。

我国的《信息安全风险评估指南》依据脆弱点被利用后，对资产造成的危害程度，将脆弱点严重程度的等级划分为五级，分别代表资产脆弱点严重程度的高低。等级数值越大，脆弱点严重程度越高，如表2－8所示。

表2－8　脆弱点严重程度赋值