《电子技术应用》
您所在的位置:首页 > 其他 > 设计应用 > 基于信息安全管理体系的技术脆弱性管理探讨
基于信息安全管理体系的技术脆弱性管理探讨
2020年信息技术与网络安全第12期
魏为民1,张运琴1,翟亚红2
1.上海电力大学 计算机科学与技术学院,上海200090; 2.中国网络安全审查技术与认证中心,北京100020
摘要: 脆弱性是可能被一个或多个威胁利用的资产或控制的弱点。脆弱性识别是组织实施风险评估活动中最重要的一个环节,可从管理和技术两个方面进行识别。探讨了技术方面脆弱性的管理和软件安装限制两方面的最佳实践。提供一个关于技术方面脆弱性的实际审核案例,描述了主要的审核发现、沟通过程、受审核组织主要的改进方法等。
中图分类号: TP399
文献标识码: A
DOI: 10.19358/j.issn.2096-5133.2020.12.004
引用格式: 魏为民,张运琴,翟亚红. 基于信息安全管理体系的技术脆弱性管理探讨[J].信息技术与网络安全,2020,39(12):19-24.
Discussion on technical vulnerability management based on information security management system
Wei Weimin1,Zhang Yunqin1,Zhai Yahong2
1.School of Computer Science and Technology,Shanghai University of Electric Power,Shanghai 200090,China; 2.China Cybersecurity Review Technology and Certification Center,Beijing 100020,China
Abstract: Vulnerability is a weakness of an asset or control that can be exploited by one or more threats. Vulnerability identification is the most important activity of the organization′s risk assessment, and it can be identified from both manager and technical aspects. This paper explores the best practices for management of technical vulnerabilities and restrictions on software installation,provides a practical audit case of technical vulnerability,describes the main audit findings and communication process and the main improvement methods of the audited organization, etc.
Key words : 1.School of Computer Science and Technology,Shanghai University of Electric Power,Shanghai 200090,China; 2.China Cybersecurity Review Technology and Certification Center,Beijing 100020,China

0 引言

    2013年10月,国际标准化组织(International Organization for Standardization,ISO)正式发布了ISO/IEC 27001:2013《Information technology—Security techniques—Information security management systems—Requirements》,取代使用了8年之久的ISO/IEC 27001:2005。2016年8月,国家质量监督检验检疫总局与国家标准化管理委员会联合发布了GB/T 22080-2016/ISO/IEC 27001:2013《信息技术 安全技术 信息安全管理体系 要求》,该标准使用翻译法等同采用ISO/IEC 27001:2013,其中附录A包括14个控制域、35个控制目标、114项控制措施,并增加了资料性附录NA和NB[1]。按惯例,ISO每5年左右会对标准进行一次升级,2019年6月,经评审和确认,ISO/IEC 27001:2013标准维持现状[2]。上述标准中信息安全管理体系(Information Security Management Systems,ISMS)是指“基于业务风险方法,建立、实施、运行、监视、评审、保持和改进信息安全的体系,是一个组织整个管理体系的一部分[3]”。本文将重点讨论信息安全管理体系标准GB/T 22080-2016附录A中的“A.12.6技术方面的脆弱性管理(Technical vulnerability management)”,包含“A.12.6.1技术方面脆弱性的管理(Management of technical vulnerabilities)”和“A.12.6.2 软件安装限制(Restrictions on software installation)”两项控制措施,其目标是“防止对技术脆弱性的利用(To prevent exploitation of technical vulnerabilities)”。

    所谓脆弱性(vulnerability),又称弱点或漏洞,ISO/IEC 27000:2016中将脆弱性定义为“可能被一个或多个威胁利用的资产或控制的弱点[3]”,而威胁是“可能对系统或组织造成危害的不期望事件的潜在原由[3]”。在GB/T 20984-2007中的定义是“脆弱性是可能被威胁所利用的资产或若干资产的薄弱环节[4]”。由此可见,脆弱性是资产或系统本身固有的,如果没有被威胁所利用,仅仅脆弱性本身是不会对资产或系统造成损害的[4]风险评估(risk assessment)是信息安全管理体系实施过程中最重要的一个活动,脆弱性识别(vulnerability identification)是风险评估中最重要的一个环节。而有些资产或系统的脆弱性只能在满足一定的条件和特定的环境下才能显现,这正是脆弱性识别困难之所在[5]




本文详细内容请下载:http://www.chinaaet.com/resource/share/2000003217




作者信息:

魏为民1,张运琴1,翟亚红2

(1.上海电力大学 计算机科学与技术学院,上海200090;

2.中国网络安全审查技术与认证中心,北京100020)

此内容为AET网站原创,未经授权禁止转载。