服务项目

信息安全认证：信息安全脆弱性识别方法

文章录入：华道众合文章来源：华道众合添加时间：2021-2-7

组织资产实际存在的脆弱识别就是需要针对每一评估对象分别分析，哪些资产存在什么样的具体脆弱性，从而形成重要信息资产实际存在的脆弱性列表。

脆弱性识别不是简单地看资产是否存在分类列表的脆弱性，而是需要经过细致的调查和技术分析工作实现的，通常所采用的方法主要有问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。这里仅给出几项思路，具体的请参考相关文献。

a）手工安全检测

参照重要资产清单，使用检查表（Checklist）逐一手工检查测试服务或系统类资产的管理或技术弱点，包括∶网络设备（路由器/交换机等）安全检测、操作系统/服务安全检测、数据库管理系统安全检测、应用系统安全检测、安全设备（防火墙等）安全检测等。需要注意的是，由于业务信息、软件、硬件资产本身存在弱点无法改变，因此对这三类资产只针对资产所处环境进行弱点检测，如∶对硬件设备物理环境弱点检测，对软件应用平台、传输网络环境进行弱点检测等。

b）设备工具测试

参照重要资产清单，使用设备及测试工具逐一比对资产的配置或技术弱点，包括网络安全测试、系统安全测试、数据库安全测试、应用安全测试等。由于仪器设备在测试过程中具有一定的攻击性，因此需要审慎实施测试活动，包括严格规定测试的时间、范围、内容等，并做好应急准备，使测试活动对业务的影响降到最低。

c）渗透测试

渗透测试是模拟黑客行为对目标对象进行入侵，目的是发现目标对象的管理与技术弱点以及这些弱点被成功利用的可能。渗透测试对测试人员的技术能力要求较高，相比设备工具测试，渗透测试则具有较强的攻击性，因此信息系统所有者可以根据自己的技术实力，以及其他实际情况决定是否实施渗透测试，如果实施，需要严格控制测试的时间、范围等，并作好应急准备。

想了解更多的关于信息安全认证信息可以经常关注我们

【相关文章】