5.4 脆弱性識別

5.4.1 脆弱性識別內容

脆弱性是資產本身存在的，如果沒有被相應的威脅利用，單純的脆弱性本身不會對資產造成損害。而且如果系統足夠強健，嚴重的威脅也不會導致安全事件發生，并造成損失。即，威脅總是要利用資產的脆弱性才可能造成危害。

資產的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環境下才能顯現，這是脆弱性識別中最為困難的部分。不正確的、起不到應有作用的或沒有正確實施的安全措施本身就可能是一個脆弱性。

脆弱性識別是風險評估中最重要的一個環節。脆弱性識別可以以資產為核心，針對每一項需要保護的資產,識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估；也可以從物理、網絡、系統、應用等層次進行識別，然后與資產、威脅對應起來。脆弱性識別的依據可以是國際或國家安全標準，也可以是行業規范、應用流程的安全要求。對應用在不同環境中的相同的弱點，其脆弱性嚴重程度是不同的，評估者應從組織安全策略的角度考慮、判斷資產的脆弱性及其嚴重程度。信息系統所采用的協議、應用流程的完備與否、與其他網絡的互聯等也應考慮在內。

脆弱性識別時的數據應來自于資產的所有者、使用者，以及相關業務領域和軟硬件方面的專業人員等。脆弱性識別所采用的方法主要有：問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。

脆弱性識別主要從技術和管理兩個方面進行，技術脆弱性涉及物理層、網絡層、系統層、應用層等各個層面的安全問題。管理脆弱性又可分為技術管理脆弱性和組織管理脆弱性兩方面，前者與具體技術活動相關，后者與管理環境相關。

對不同的識別對象，其脆弱性識別的具體要求應參照相應的技術或管理標準實施。例如，對物理環境的脆弱性識別應按GB/T 9361-2000中的技術指標實施；對操作系統、數據庫應按GB 17859-1999中的技術指標實施；對網絡、系統、應用等信息技術安全性的脆弱性識別應按GB/T 18336-2001中的技術指標實施；對管理脆弱性識別方面應按GB/T 19716-2005的要求對安全管理制度及其執行情況進行檢查，發現管理脆弱性和不足。表9提供了一種脆弱性識別內容的參考。

5.4.2　脆弱性賦值

可以根據脆弱性對資產的暴露程度、技術實現的難易程度、流行程度等，采用等級方式對已識別的脆弱性的嚴重程度進行賦值。由于很多脆弱性反映的是同一方面的問題，或可能造成相似的后果，賦值時應綜合考慮這些脆弱性，以確定這一方面脆弱性的嚴重程度。
對某個資產，其技術脆弱性的嚴重程度還受到組織管理脆弱性的影響。因此，資產的脆弱性賦值還應參考技術管理和組織管理脆弱性的嚴重程度。
脆弱性嚴重程度可以進行等級化處理，不同的等級分別代表資產脆弱性嚴重程度的高低。等級數值越大，脆弱性嚴重程度越高。表10提供了脆弱性嚴重程度的一種賦值方法。
表10　脆弱性嚴重程度賦值表