脆弱性是資産本身存在的,如果沒有被相應威脅利用,單純的脆弱性本身不會對資産造成影響。即,威脅總是要利用資産的脆弱性才能造成危害。
脆弱性識别可以以資産為核心,針對每一項需要保護的資産,識别可能被威脅利用的弱點,并對脆弱性的嚴重程度進行評估。也可以從實體,網絡,系統,應用等層次進行裝置,然後與資産,威脅對應起來。
脆弱性識别的依據可以是國際或國家安全标準,也可以是行業規範應用流程的安全要求。
對不同環境中的相同弱點,其脆弱性嚴重程度是不同的。
脆弱性識别所采用的方法主要有:問卷調查、工具檢測、人工核查、文檔查閱、滲透測試等。
脆弱性識别主要從技術和管理兩方面進行,技術設計實體層、網絡層、系統層、應用層等各個層面,管理脆弱性可分為技術管理脆弱性群組織管理脆弱性兩方面。
對不同識别對象,其脆弱性識别具體要求可參照等級保護相關标準《GB /T 22239-2020》,也可參考相對應标準實施,如
實體脆弱性《GB/T 9361-XXXX(計算機場地安全要求)》
作業系統、資料庫《GB 17859-XXXX (計算機資訊系統安全保護等級劃分準則)》
管理脆弱性《GB/T 19716-XXXX(資訊安全管理實用規則)》
默默滴、低調滴、前行!
QQ:1226741439