26、27.脆弱性识别与分类.pdf

脆弱性识别与分类 1. 脆弱性识别 脆弱性是资产本身存在的问题 ，资产的脆弱性具有隐蔽性 ，有些脆弱性只有 在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分，不正确的、 起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性 ，脆弱性 识别是风险评估中最重要的一个环节。 脆弱性识别可以以资产为核心，针对具体资产,识别可能被威胁利用的弱点， 并对脆弱性的严重程度进行评估 ，也可以从物理、网络、系统、应用等层次进行 识别 ，然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标 准 ，也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的弱 点 ，其脆弱性严重程度是不同的 ，评估者应从组织安全策略的角度考虑、判断资 产的脆弱性及其严重程度。 脆弱性如果没有被相应的威胁利用 ，单纯的脆弱性本身不会对资产造成损害。 而且如果系统足够强健 ，严重的威胁也不会导致安全事件发生 ，并造成损失。即 威胁总是要利用资产的脆弱性才可能造成危害。 脆弱性识别时的数据应来自于资产的所有者、使用者 ，以及相关业务领域和 软硬件方面的专业人员等。脆弱性识别所采用的方法主要有：问卷调查、工具检 测、人工核查、文档查阅、渗透性测试等。 1.1. 脆弱性类型 脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网 络层、系统层、应用层等各个层面的安全问题 ，管理脆弱性又分为技术管理和组 织管理两方面 ，技术管理与具体技术活动相关 ，组织管理与管理环境相关。脆弱 性主要类别如下表所示： 类 型 识别对象 识别内容 从机房场地、机房防火、机房供配电、机房防静电、机 物理环境 房接地与防雷、电磁防护、通信线路的保护、机房区域 防护、机房设备管理等方面进行识别 从网络结构设计、边界保护、外部访问控制策略、内部 网络结构 访问控制策略、网络设备安全配置等方面进行识别 技术脆弱性 从补丁安装、物理保护、用户账号、口令策略、资源共 系统软件 享、事件审计、访问控制、新系统配置、注册表加固、 网络安全、系统管理等方面进行识别 从审计机制、审计存储、访问控制策略、数据完整性、 应用系统 通信、鉴别机制、密码保护方面识别 从物理和环境安全、通信与操作管理、访问控制、系统 技术管理 开发与维护、业务连续性等方面进行识别 管理脆弱性 从安全策略、组织安全、资产分类与控制、人员安全、 组织管理 符合性等方面进行识别 表：脆弱性分类表