0 引言

    2013年10月，国际标准化组织(International Organization for Standardization，ISO)正式发布了ISO/IEC 27001：2013《Information technology—Security techniques—Information security management systems—Requirements》，取代使用了8年之久的ISO/IEC 27001：2005。2016年8月，国家质量监督检验检疫总局与国家标准化管理委员会联合发布了GB/T 22080-2016/ISO/IEC 27001:2013《信息技术 安全技术 信息安全管理体系 要求》，该标准使用翻译法等同采用ISO/IEC 27001：2013，其中附录A包括14个控制域、35个控制目标、114项控制措施，并增加了资料性附录NA和NB^[1]。按惯例，ISO每5年左右会对标准进行一次升级，2019年6月，经评审和确认，ISO/IEC 27001：2013标准维持现状^[2]。上述标准中信息安全管理体系(Information Security Management Systems，ISMS)是指“基于业务风险方法，建立、实施、运行、监视、评审、保持和改进信息安全的体系，是一个组织整个管理体系的一部分[3]”。本文将重点讨论信息安全管理体系标准GB/T 22080-2016附录A中的“A.12.6技术方面的脆弱性管理(Technical vulnerability management)”，包含“A.12.6.1技术方面脆弱性的管理(Management of technical vulnerabilities)”和“A.12.6.2 软件安装限制(Restrictions on software installation)”两项控制措施，其目标是“防止对技术脆弱性的利用(To prevent exploitation of technical vulnerabilities)”。

    所谓脆弱性(vulnerability)，又称弱点或漏洞，ISO/IEC 27000：2016中将脆弱性定义为“可能被一个或多个威胁利用的资产或控制的弱点^[3]”，而威胁是“可能对系统或组织造成危害的不期望事件的潜在原由^[3]”。在GB/T 20984-2007中的定义是“脆弱性是可能被威胁所利用的资产或若干资产的薄弱环节^[4]”。由此可见，脆弱性是资产或系统本身固有的，如果没有被威胁所利用，仅仅脆弱性本身是不会对资产或系统造成损害的^[4]。风险评估(risk assessment)是信息安全管理体系实施过程中最重要的一个活动，脆弱性识别(vulnerability identification)是风险评估中最重要的一个环节。而有些资产或系统的脆弱性只能在满足一定的条件和特定的环境下才能显现，这正是脆弱性识别困难之所在^[5]。

本文详细内容请下载:http://www.chinaaet.com/resource/share/2000003217

作者信息:

魏为民1，张运琴1，翟亚红2

(1.上海电力大学 计算机科学与技术学院，上海200090；

2.中国网络安全审查技术与认证中心，北京100020)