(一)脆弱性识别
(1)定义:通过各种测试方法,获得网络资产中所存在的缺陷清单
(2)特点:以资产为核心,针对每项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性严重程度进行评估
(3)识别依据:网络安全法律法规政策、国内外网络信息安全标准以及行业领域内网络安全要求
对不同环境中的相同弱点,脆弱性严重程度不同,应从组织安全策略角度考虑,判断资产脆弱性及其严重程度
(二)国际通用安全漏洞评分参考标准CVSS(Common Vulnerability Scoring System)
(1)CWE Top25评估软件漏洞安全等级
(2)脆弱性识别方法
- 漏洞扫描
- 人工检查
- 问卷调查
- 安全访谈
- 渗透测试
(三)脆弱性评估工作分类
分类 | 说明 | |
1 | 技术脆弱性评估 | 从现有安全技术措施的合理性和有效性方面进行评估 |
2 | 管理脆弱性评估 | 方法:从网络信息安全管理上分析评估存在的安全弱点,并标识其严重程度。对组织结构、人员配备、安全意识、教育培训、安全操作、设备管理、应急响应、安全制度等方面进行合理性、必要性评价 目的:确认安全策略的执行情况 |
(四)脆弱性严重程度赋值方法
等级 | 标识 | 脆弱性可利用性 | 被威胁利用后果 |
5 | 很高 | 很高 | 对业务和资产造成完全损害 |
4 | 高 | 高或很高 | 对业务和资产造成重大损害 |
3 | 中等 | 较高、高或很高 | 对业务和资产造成一般损害 |
2 | 低 | 一般、转高、高或很高 | 对业务和资产造成较小损害 |
1 | 很低 | 低、一般、较高、高或很高 | 对业务和资产造成损害可以忽略 |