《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 設(shè)計(jì)應(yīng)用 > 基于信息安全管理體系的技術(shù)脆弱性管理探討
基于信息安全管理體系的技術(shù)脆弱性管理探討
2020年信息技術(shù)與網(wǎng)絡(luò)安全第12期
魏為民1,張運(yùn)琴1,翟亞紅2
1.上海電力大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院,上海200090; 2.中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心,北京100020
摘要: 脆弱性是可能被一個(gè)或多個(gè)威脅利用的資產(chǎn)或控制的弱點(diǎn)。脆弱性識(shí)別是組織實(shí)施風(fēng)險(xiǎn)評(píng)估活動(dòng)中最重要的一個(gè)環(huán)節(jié),可從管理和技術(shù)兩個(gè)方面進(jìn)行識(shí)別。探討了技術(shù)方面脆弱性的管理和軟件安裝限制兩方面的最佳實(shí)踐。提供一個(gè)關(guān)于技術(shù)方面脆弱性的實(shí)際審核案例,描述了主要的審核發(fā)現(xiàn)、溝通過程、受審核組織主要的改進(jìn)方法等。
中圖分類號(hào): TP399
文獻(xiàn)標(biāo)識(shí)碼: A
DOI: 10.19358/j.issn.2096-5133.2020.12.004
引用格式: 魏為民,張運(yùn)琴,翟亞紅. 基于信息安全管理體系的技術(shù)脆弱性管理探討[J].信息技術(shù)與網(wǎng)絡(luò)安全,2020,39(12):19-24.
Discussion on technical vulnerability management based on information security management system
Wei Weimin1,Zhang Yunqin1,Zhai Yahong2
1.School of Computer Science and Technology,Shanghai University of Electric Power,Shanghai 200090,China; 2.China Cybersecurity Review Technology and Certification Center,Beijing 100020,China
Abstract: Vulnerability is a weakness of an asset or control that can be exploited by one or more threats. Vulnerability identification is the most important activity of the organization′s risk assessment, and it can be identified from both manager and technical aspects. This paper explores the best practices for management of technical vulnerabilities and restrictions on software installation,provides a practical audit case of technical vulnerability,describes the main audit findings and communication process and the main improvement methods of the audited organization, etc.
Key words : 1.School of Computer Science and Technology,Shanghai University of Electric Power,Shanghai 200090,China; 2.China Cybersecurity Review Technology and Certification Center,Beijing 100020,China

0 引言

    2013年10月,國際標(biāo)準(zhǔn)化組織(International Organization for Standardization,ISO)正式發(fā)布了ISO/IEC 27001:2013《Information technology—Security techniques—Information security management systems—Requirements》,取代使用了8年之久的ISO/IEC 27001:2005。2016年8月,國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局與國家標(biāo)準(zhǔn)化管理委員會(huì)聯(lián)合發(fā)布了GB/T 22080-2016/ISO/IEC 27001:2013《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》,該標(biāo)準(zhǔn)使用翻譯法等同采用ISO/IEC 27001:2013,其中附錄A包括14個(gè)控制域、35個(gè)控制目標(biāo)、114項(xiàng)控制措施,并增加了資料性附錄NA和NB[1]。按慣例,ISO每5年左右會(huì)對(duì)標(biāo)準(zhǔn)進(jìn)行一次升級(jí),2019年6月,經(jīng)評(píng)審和確認(rèn),ISO/IEC 27001:2013標(biāo)準(zhǔn)維持現(xiàn)狀[2]。上述標(biāo)準(zhǔn)中信息安全管理體系(Information Security Management Systems,ISMS)是指“基于業(yè)務(wù)風(fēng)險(xiǎn)方法,建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的體系,是一個(gè)組織整個(gè)管理體系的一部分[3]”。本文將重點(diǎn)討論信息安全管理體系標(biāo)準(zhǔn)GB/T 22080-2016附錄A中的“A.12.6技術(shù)方面的脆弱性管理(Technical vulnerability management)”,包含“A.12.6.1技術(shù)方面脆弱性的管理(Management of technical vulnerabilities)”和“A.12.6.2 軟件安裝限制(Restrictions on software installation)”兩項(xiàng)控制措施,其目標(biāo)是“防止對(duì)技術(shù)脆弱性的利用(To prevent exploitation of technical vulnerabilities)”。

    所謂脆弱性(vulnerability),又稱弱點(diǎn)或漏洞,ISO/IEC 27000:2016中將脆弱性定義為“可能被一個(gè)或多個(gè)威脅利用的資產(chǎn)或控制的弱點(diǎn)[3]”,而威脅是“可能對(duì)系統(tǒng)或組織造成危害的不期望事件的潛在原由[3]”。在GB/T 20984-2007中的定義是“脆弱性是可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)[4]”。由此可見,脆弱性是資產(chǎn)或系統(tǒng)本身固有的,如果沒有被威脅所利用,僅僅脆弱性本身是不會(huì)對(duì)資產(chǎn)或系統(tǒng)造成損害的[4]。風(fēng)險(xiǎn)評(píng)估(risk assessment)是信息安全管理體系實(shí)施過程中最重要的一個(gè)活動(dòng),脆弱性識(shí)別(vulnerability identification)是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。而有些資產(chǎn)或系統(tǒng)的脆弱性只能在滿足一定的條件和特定的環(huán)境下才能顯現(xiàn),這正是脆弱性識(shí)別困難之所在[5]。




本文詳細(xì)內(nèi)容請(qǐng)下載:http://ihrv.cn/resource/share/2000003217




作者信息:

魏為民1,張運(yùn)琴1,翟亞紅2

(1.上海電力大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院,上海200090;

2.中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心,北京100020)

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。