《表1 数据脆弱性识别示例》
漏洞可能存在于物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各个方面。脆弱性一旦被威胁成功利用就可能对资产造成损害。脆弱性识别可从管理和技术两个方面进行,管理脆弱性包括与具体技术活动相关的技术管理脆弱性,如物理和环境、通信、运行、访问控制、系统获取、开发和维护、业务连续性等,以及与管理环境相关的组织管理脆弱性,如安全策略、信息安全组织、资产管理、人力资源、符合性等。技术脆弱性识别对象包括物理环境、网络结构、系统软件、应用中间件、应用系统等。可依据国际或国家安全标准、行业规范等进行脆弱性识别。例如,对物理环境和操作系统、数据库应分别按GB/T 9361-2011和GB 17859-1999中的技术指标进行脆弱性识别。对管理脆弱性识别可按照GB/T 22081-2016的要求对组织的安全管理制度及其执行情况进行核查[5]。以数据脆弱性识别为例,其识别示例如表1所示。
图表编号 | XD00197604800 严禁用于非法目的 |
---|---|
绘制时间 | 2020.12.10 |
作者 | 魏为民、张运琴、翟亚红 |
绘制单位 | 上海电力大学计算机科学与技术学院、上海电力大学计算机科学与技术学院、中国网络安全审查技术与认证中心 |
更多格式 | 高清、无水印(增值服务) |