《電子技術應用》
您所在的位置:首頁 > 其他 > 設計應用 > 基于信息安全管理體系的技術脆弱性管理探討
基于信息安全管理體系的技術脆弱性管理探討
2020年信息技術與網絡安全第12期
魏為民1,張運琴1,翟亞紅2
1.上海電力大學 計算機科學與技術學院,上海200090; 2.中國網絡安全審查技術與認證中心,北京100020
摘要: 脆弱性是可能被一個或多個威脅利用的資產或控制的弱點。脆弱性識別是組織實施風險評估活動中最重要的一個環節,可從管理和技術兩個方面進行識別。探討了技術方面脆弱性的管理和軟件安裝限制兩方面的最佳實踐。提供一個關于技術方面脆弱性的實際審核案例,描述了主要的審核發現、溝通過程、受審核組織主要的改進方法等。
中圖分類號: TP399
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2020.12.004
引用格式: 魏為民,張運琴,翟亞紅. 基于信息安全管理體系的技術脆弱性管理探討[J].信息技術與網絡安全,2020,39(12):19-24.
Discussion on technical vulnerability management based on information security management system
Wei Weimin1,Zhang Yunqin1,Zhai Yahong2
1.School of Computer Science and Technology,Shanghai University of Electric Power,Shanghai 200090,China; 2.China Cybersecurity Review Technology and Certification Center,Beijing 100020,China
Abstract: Vulnerability is a weakness of an asset or control that can be exploited by one or more threats. Vulnerability identification is the most important activity of the organization′s risk assessment, and it can be identified from both manager and technical aspects. This paper explores the best practices for management of technical vulnerabilities and restrictions on software installation,provides a practical audit case of technical vulnerability,describes the main audit findings and communication process and the main improvement methods of the audited organization, etc.
Key words : 1.School of Computer Science and Technology,Shanghai University of Electric Power,Shanghai 200090,China; 2.China Cybersecurity Review Technology and Certification Center,Beijing 100020,China

0 引言

    2013年10月,國際標準化組織(International Organization for Standardization,ISO)正式發布了ISO/IEC 27001:2013《Information technology—Security techniques—Information security management systems—Requirements》,取代使用了8年之久的ISO/IEC 27001:2005。2016年8月,國家質量監督檢驗檢疫總局與國家標準化管理委員會聯合發布了GB/T 22080-2016/ISO/IEC 27001:2013《信息技術 安全技術 信息安全管理體系 要求》,該標準使用翻譯法等同采用ISO/IEC 27001:2013,其中附錄A包括14個控制域、35個控制目標、114項控制措施,并增加了資料性附錄NA和NB[1]。按慣例,ISO每5年左右會對標準進行一次升級,2019年6月,經評審和確認,ISO/IEC 27001:2013標準維持現狀[2]。上述標準中信息安全管理體系(Information Security Management Systems,ISMS)是指“基于業務風險方法,建立、實施、運行、監視、評審、保持和改進信息安全的體系,是一個組織整個管理體系的一部分[3]”。本文將重點討論信息安全管理體系標準GB/T 22080-2016附錄A中的“A.12.6技術方面的脆弱性管理(Technical vulnerability management)”,包含“A.12.6.1技術方面脆弱性的管理(Management of technical vulnerabilities)”和“A.12.6.2 軟件安裝限制(Restrictions on software installation)”兩項控制措施,其目標是“防止對技術脆弱性的利用(To prevent exploitation of technical vulnerabilities)”。

    所謂脆弱性(vulnerability),又稱弱點或漏洞,ISO/IEC 27000:2016中將脆弱性定義為“可能被一個或多個威脅利用的資產或控制的弱點[3]”,而威脅是“可能對系統或組織造成危害的不期望事件的潛在原由[3]”。在GB/T 20984-2007中的定義是“脆弱性是可能被威脅所利用的資產或若干資產的薄弱環節[4]”。由此可見,脆弱性是資產或系統本身固有的,如果沒有被威脅所利用,僅僅脆弱性本身是不會對資產或系統造成損害的[4]風險評估(risk assessment)是信息安全管理體系實施過程中最重要的一個活動,脆弱性識別(vulnerability identification)是風險評估中最重要的一個環節。而有些資產或系統的脆弱性只能在滿足一定的條件和特定的環境下才能顯現,這正是脆弱性識別困難之所在[5]




本文詳細內容請下載:http://www.viuna.cn/resource/share/2000003217




作者信息:

魏為民1,張運琴1,翟亞紅2

(1.上海電力大學 計算機科學與技術學院,上海200090;

2.中國網絡安全審查技術與認證中心,北京100020)

此內容為AET網站原創,未經授權禁止轉載。
主站蜘蛛池模板: 国产精品亚洲日日摸夜夜添 | 小黄鸭视频网站 | 日韩久久精品 | 在线观看91精品国产入口 | avhd101永久地址高清迷片 | 在线欧美国产 | 欧美高清国产在线观看 | 麻豆大豆行情一区 | 最近最新2019中文字幕1 | 国产在线综合一区二区三区 | 毛片免| 999yy成年在线视频免费看 | 亚洲综合激情丁香六月 | 日本 欧美 在线 | 韩国伦理片在线看免 | 国产精品1区2区3区在线播放 | 免费黄色小视频在线观看 | 夫妻毛片| 亚洲 欧美 在线观看 | 一本大道香蕉中文在线高清 | 一级黄色性生活视频 | 亚洲人成高清毛片 | 国产三级精品三级在专区 | 亚洲国产日韩在线观看 | 久爱午夜精品免费视频 | 国产成人综合精品 | 亚洲最大激情中文字幕 | 好色在线| 久久天天躁夜夜躁狠狠 | 99r在线视频 | 97视频精品全国在线观看 | 欧美色图日韩色图 | 婷婷网五月天天综合天天爱 | 伦理片中文字幕2019在线 | 欧美日韩中文字幕 | 久久九九色 | 日本在线视频一区二区 | 日本中文字幕一区二区有码在线 | 中文字幕欧美激情 | 国产高清不卡视频在线播放 | 亚洲无砖砖区免费 |