关于脆弱性管理问题-崔书昆.pptVIP

关于脆弱性管理问题 崔书昆 2006年8月 关于脆弱性管理问题 脆弱性， 俗称漏洞，包括信息资产中的无意造成的缺欠、弱点，也包括有意安置的陷门、后门等等。对脆弱性进行搜寻、分析、修补、检验、利用等统称脆弱性管理。它是当前信息安全工作中,特别是信息安全资源管理工作中,一个十分值得关注的问题。 关于脆弱性管理问题 一、脆弱性问题涉及信息安全的全局 二、脆弱性问题已上升为战略性问题 三、脆弱性管理是一个系统工程 四、加强脆弱性管理的建议 一、脆弱性问题涉及信息安全的全局 1970年兰德公司《计算机的安全控制》： 脆弱性存在于硬件、软件、通信和人员组织中 1985年《可信计算机系统的安全评估准则》： 由于过失、疏忽与失察而造成的错误，导致保护机制被绕过 1999年美《国家信息系统安全术语》: 在信息系统安全规程、内部控制或实现中可能被利用的弱点 一、脆弱性问题涉及信息安全的全局 2000年美《信息系统保护国家计划》： 关键基础设施设计、实现或运营中，能使关键基础设施易遭各种威胁的破坏，或失去作用 2004年美国国家基础设施咨询委员会《脆弱性披露框架报告》： 一种集合，导致或可能导致一个信息系统在必威体育官网网址性、完整性、可用性上或隐或显的失败 一、脆弱性问题涉及信息安全的全局 2006年美国家科技委《联邦网络空间安全与信息保障研发计划》 脆弱性是一种缺欠和弱点，存在于硬件、软件、网络或基于计算机的系统中，包括与系统相关的安全程序和控制。脆弱性可能有意或无意地被用来对一个组织的运营（包括任务、功能和公众信心）、资产或人员造成不利影响。 一、脆弱性问题涉及信息安全的全局 风险是一种可能性的聚合，即在一个组织系统中的某一特定脆弱性，被一个特定威胁代理者有意或无意地利用，其造成的潜在损害之大，能使系统丧失必威体育官网网址性、完整性或可用性，从而危机组织的运营、资产或人员。 二、脆弱性问题已上升为战略性问题 1998年克林顿63号令《基础设施保护政策》 宗旨：日益增长的潜在脆弱性：公私合作以减少脆弱性 方针：解决脆弱性问题，并阐明消除这些脆弱性的手段 任务：第一项脆弱性分析，第二项矫正计划 …… 2000年美国《信息系统保护国家计划》 首项内容：标识关键基础设施资产以及共有的相互依赖 性，查找其脆弱性。 二、脆弱性问题已上升为战略性问题 2003年美国《保护网络空间的国家战略》 战略目标 1、防止对美国关键基础设施的网络攻击 2、减少国家被网络攻击的脆弱性 关键优先级 1、安全响应系统 2、威胁和脆弱性削减计划…… 二、脆弱性问题已上升为战略性问题 威胁和脆弱性五个等级： 1.家庭用户/小型商业机构 2.大型机构 3.关键部门/关键基础设施 4.国家事务和全国性脆弱性 5.全球 三、脆弱性管理是一个系统工程 2003年美国《信息保障实现》： 一个全面的脆弱性管理包括系统的识别和 软、硬件修补 三、脆弱性管理是一个系统工程 2003年美国《信息保障条例》： 信息保障脆弱性管理目的是识别和解决在运行系统中的脆弱性。 要完成四个不同阶段的工作： 1、脆弱性识别、传播和通告 2、修补受影响的系统 3、按要求报告 4、核验 还包括发警报、公告和技术咨询 三、脆弱性管理是一个系统工程 2004年美国《脆弱性披露框架报告》 每一种脆弱性有其独特性，但各自的演化沿着一个相同的生命周期：有哪些信誉好的足球投注网站 → 验证 → 报告 →评估 →通告 → 咨询和修补 → 咨询意见和补丁发布 →反馈 四、加强脆弱性管理的建议 1、高度重视脆弱性问题 2、系统规划脆弱性管理工作 3、全面统筹脆弱性等信息安全资源(人技术工具) 4、制定相关法规和技术标准 5、将脆弱性管理纳入信息安全保障建设工作，与其他相关工作相结合 谢谢大家 * * *