|
知识路径: > 网络安全风险评估技术原理与应用 > 网络安全风险评估过程 > 网络安全脆弱性知识 >
|
相关知识点:14个
|
|
|
|
脆弱性识别是指通过各种测试方法,获得网络资产中所存在的缺陷清单,这些缺陷会导致对信息资产的非授权访问、泄密、失控、破坏或不可用、绕过已有的安全机制,缺陷的存在将会危及网络资产的安全。
|
|
|
一般来说,脆弱性识别以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估。脆弱性识别的依据是网络安全法律法规政策、国内外网络信息安全标准以及行业领域内的网络安全要求。网络安全法律法规政策用于评估资产所在地的法律合规性风险。《商用密码管理条例》规定国家对商用密码产品的科研、生产、销售和使用实行专控管理。而欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)要求任何收集、传输、保留或处理涉及欧盟所有成员国内的个人信息的机构组织受该条例的约束。国内外网络信息安全标准则用于从国际、国内两个维度评估资产的风险状况。例如,OWASP Top 10可以作为Web应用程序的漏洞评估参考标准;CVE、CWE、CNNVD、CNVD等用作评估资产存在的漏洞情况。PCI DSS(Payment Card Industry Data Security Standards)用于国际上评估支付卡工业数据安全。
|
|
|
对不同环境中的相同弱点,其脆弱性的严重程度是不同的,评估工作人员应从组织安全策略的角度考虑,判断资产的脆弱性及其严重程度。目前,国际上通用安全漏洞评分参考标准是CVSS(Common Vulnerability Scoring System);CWE Top 25可以评估软件漏洞安全等级。脆弱性识别所采用的方法主要有漏洞扫描、人工检查、问卷调查、安全访谈和渗透测试等。我国《信息安全技术信息安全风险评估规范(征求意见稿)》给出了一种脆弱性严重程度的赋值方法,如下表所示。
|
|
|
|
|
脆弱性评估工作又可分为技术脆弱性评估和管理脆弱性评估。
|
|
|
. 技术脆弱性评估。技术脆弱性评估主要从现有安全技术措施的合理性和有效性方面进行评估。
|
|
|
. 管理脆弱性评估。管理脆弱性评估从网络信息安全管理上分析评估存在的安全弱点,并标识其严重程度。安全管理脆弱性评估主要是指对组织结构、人员配备、安全意识、教育培训、安全操作、设备管理、应急响应、安全制度等方面进行合理性、必要性评价,其目的在于确认安全策略的执行情况。
|
|
|