文獻(xiàn)標(biāo)識(shí)碼: A
DOI: 10.19358/j.issn.2096-5133.2020.12.004
引用格式: 魏為民,張運(yùn)琴,,翟亞紅. 基于信息安全管理體系的技術(shù)脆弱性管理探討[J].信息技術(shù)與網(wǎng)絡(luò)安全,,2020,,39(12):19-24.
0 引言
2013年10月,,國(guó)際標(biāo)準(zhǔn)化組織(International Organization for Standardization,,ISO)正式發(fā)布了ISO/IEC 27001:2013《Information technology—Security techniques—Information security management systems—Requirements》,取代使用了8年之久的ISO/IEC 27001:2005,。2016年8月,,國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局與國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)聯(lián)合發(fā)布了GB/T 22080-2016/ISO/IEC 27001:2013《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》,該標(biāo)準(zhǔn)使用翻譯法等同采用ISO/IEC 27001:2013,,其中附錄A包括14個(gè)控制域,、35個(gè)控制目標(biāo)、114項(xiàng)控制措施,,并增加了資料性附錄NA和NB[1],。按慣例,ISO每5年左右會(huì)對(duì)標(biāo)準(zhǔn)進(jìn)行一次升級(jí),,2019年6月,,經(jīng)評(píng)審和確認(rèn),ISO/IEC 27001:2013標(biāo)準(zhǔn)維持現(xiàn)狀[2],。上述標(biāo)準(zhǔn)中信息安全管理體系(Information Security Management Systems,,ISMS)是指“基于業(yè)務(wù)風(fēng)險(xiǎn)方法,建立,、實(shí)施,、運(yùn)行、監(jiān)視、評(píng)審,、保持和改進(jìn)信息安全的體系,,是一個(gè)組織整個(gè)管理體系的一部分[3]”,。本文將重點(diǎn)討論信息安全管理體系標(biāo)準(zhǔn)GB/T 22080-2016附錄A中的“A.12.6技術(shù)方面的脆弱性管理(Technical vulnerability management)”,,包含“A.12.6.1技術(shù)方面脆弱性的管理(Management of technical vulnerabilities)”和“A.12.6.2 軟件安裝限制(Restrictions on software installation)”兩項(xiàng)控制措施,其目標(biāo)是“防止對(duì)技術(shù)脆弱性的利用(To prevent exploitation of technical vulnerabilities)”,。
所謂脆弱性(vulnerability),,又稱弱點(diǎn)或漏洞,ISO/IEC 27000:2016中將脆弱性定義為“可能被一個(gè)或多個(gè)威脅利用的資產(chǎn)或控制的弱點(diǎn)[3]”,,而威脅是“可能對(duì)系統(tǒng)或組織造成危害的不期望事件的潛在原由[3]”,。在GB/T 20984-2007中的定義是“脆弱性是可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)[4]”。由此可見(jiàn),,脆弱性是資產(chǎn)或系統(tǒng)本身固有的,,如果沒(méi)有被威脅所利用,僅僅脆弱性本身是不會(huì)對(duì)資產(chǎn)或系統(tǒng)造成損害的[4],。風(fēng)險(xiǎn)評(píng)估(risk assessment)是信息安全管理體系實(shí)施過(guò)程中最重要的一個(gè)活動(dòng),,脆弱性識(shí)別(vulnerability identification)是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。而有些資產(chǎn)或系統(tǒng)的脆弱性只能在滿足一定的條件和特定的環(huán)境下才能顯現(xiàn),,這正是脆弱性識(shí)別困難之所在[5],。
本文詳細(xì)內(nèi)容請(qǐng)下載:http://forexkbc.com/resource/share/2000003217
作者信息:
魏為民1,張運(yùn)琴1,,翟亞紅2
(1.上海電力大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院,,上海200090;
2.中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心,,北京100020)