脆弱性识别对于风险评估的重要性

脆弱性识别是风险评估中最重要的一个环节。脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健,严重的威胁也不会导致安全事件发生,并造成损失。今天擎标就给大家介绍一下脆弱性识别对于风险评估的重要性。

资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分。不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。

脆弱性识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;也可以从物理、网络、系统、应用等层次进行识别,然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的弱点,其脆弱性严重程度是不同的,评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。信息系统所采用的协议、应用流程的完备与否、与其他网络的互联等也应考虑在内。

脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。

脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面,前者与具体技术活动相关,后者与管理环境相关。

对不同的识别对象,其脆弱性识别的具体要求应参照相应的技术或管理标准实施。例如,对物理环境的脆弱性识别应按GB/T 9361-2000中的技术指标实施;对操作系统、数据库应按GB17859-1999中的技术指标实施;对网络、系统、应用等信息技术安全性的脆弱性识别应按GB/T18336-2001中的技术指标实施;对管理脆弱性识别方面应按GB/T 19716-2005的要求对安全管理制度及其执行情况进行检查,发现管理脆弱性和不足。

如果已有安全措施确认,在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。

安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。

已有安全措施确认与脆弱性识别存在一定的联系。一般来说,安全措施的使用将减少系统技术或管理上的脆弱性,但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的脆弱性,而是一类具体措施的集合,为风险处理计划的制定提供依据和参考。

上海擎标专业从事CCRC认证服务,咨询团队全程跟踪指导培训,合理穿插企业时间,减少企业精力投入的同时,高效专业的顺利完成认证,最重要的是可以保障结果,客服人员和400电话(4001827001)全程值守,欢迎您的咨询。