《電子技術應用》
您所在的位置:首頁 > 其他 > 設計應用 > 基于信息安全管理體系的技術脆弱性管理探討
基于信息安全管理體系的技術脆弱性管理探討
2020年信息技術與網絡安全第12期
魏為民1,張運琴1,翟亞紅2
1.上海電力大學 計算機科學與技術學院,上海200090; 2.中國網絡安全審查技術與認證中心,北京100020
摘要: 脆弱性是可能被一個或多個威脅利用的資產或控制的弱點。脆弱性識別是組織實施風險評估活動中最重要的一個環(huán)節(jié),可從管理和技術兩個方面進行識別。探討了技術方面脆弱性的管理和軟件安裝限制兩方面的最佳實踐。提供一個關于技術方面脆弱性的實際審核案例,描述了主要的審核發(fā)現、溝通過程、受審核組織主要的改進方法等。
中圖分類號: TP399
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2020.12.004
引用格式: 魏為民,張運琴,翟亞紅. 基于信息安全管理體系的技術脆弱性管理探討[J].信息技術與網絡安全,2020,39(12):19-24.
Discussion on technical vulnerability management based on information security management system
Wei Weimin1,Zhang Yunqin1,Zhai Yahong2
1.School of Computer Science and Technology,Shanghai University of Electric Power,Shanghai 200090,China; 2.China Cybersecurity Review Technology and Certification Center,Beijing 100020,China
Abstract: Vulnerability is a weakness of an asset or control that can be exploited by one or more threats. Vulnerability identification is the most important activity of the organization′s risk assessment, and it can be identified from both manager and technical aspects. This paper explores the best practices for management of technical vulnerabilities and restrictions on software installation,provides a practical audit case of technical vulnerability,describes the main audit findings and communication process and the main improvement methods of the audited organization, etc.
Key words : 1.School of Computer Science and Technology,Shanghai University of Electric Power,Shanghai 200090,China; 2.China Cybersecurity Review Technology and Certification Center,Beijing 100020,China

0 引言

    2013年10月,國際標準化組織(International Organization for Standardization,ISO)正式發(fā)布了ISO/IEC 27001:2013《Information technology—Security techniques—Information security management systems—Requirements》,取代使用了8年之久的ISO/IEC 27001:2005。2016年8月,國家質量監(jiān)督檢驗檢疫總局與國家標準化管理委員會聯合發(fā)布了GB/T 22080-2016/ISO/IEC 27001:2013《信息技術 安全技術 信息安全管理體系 要求》,該標準使用翻譯法等同采用ISO/IEC 27001:2013,其中附錄A包括14個控制域、35個控制目標、114項控制措施,并增加了資料性附錄NA和NB[1]。按慣例,ISO每5年左右會對標準進行一次升級,2019年6月,經評審和確認,ISO/IEC 27001:2013標準維持現狀[2]。上述標準中信息安全管理體系(Information Security Management Systems,ISMS)是指“基于業(yè)務風險方法,建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的體系,是一個組織整個管理體系的一部分[3]”。本文將重點討論信息安全管理體系標準GB/T 22080-2016附錄A中的“A.12.6技術方面的脆弱性管理(Technical vulnerability management)”,包含“A.12.6.1技術方面脆弱性的管理(Management of technical vulnerabilities)”和“A.12.6.2 軟件安裝限制(Restrictions on software installation)”兩項控制措施,其目標是“防止對技術脆弱性的利用(To prevent exploitation of technical vulnerabilities)”。

    所謂脆弱性(vulnerability),又稱弱點或漏洞,ISO/IEC 27000:2016中將脆弱性定義為“可能被一個或多個威脅利用的資產或控制的弱點[3]”,而威脅是“可能對系統或組織造成危害的不期望事件的潛在原由[3]”。在GB/T 20984-2007中的定義是“脆弱性是可能被威脅所利用的資產或若干資產的薄弱環(huán)節(jié)[4]”。由此可見,脆弱性是資產或系統本身固有的,如果沒有被威脅所利用,僅僅脆弱性本身是不會對資產或系統造成損害的[4]。風險評估(risk assessment)是信息安全管理體系實施過程中最重要的一個活動,脆弱性識別(vulnerability identification)是風險評估中最重要的一個環(huán)節(jié)。而有些資產或系統的脆弱性只能在滿足一定的條件和特定的環(huán)境下才能顯現,這正是脆弱性識別困難之所在[5]




本文詳細內容請下載:http://ihrv.cn/resource/share/2000003217




作者信息:

魏為民1,張運琴1,翟亞紅2

(1.上海電力大學 計算機科學與技術學院,上海200090;

2.中國網絡安全審查技術與認證中心,北京100020)

此內容為AET網站原創(chuàng),未經授權禁止轉載。