0 引言

    2013年10月,，國際標準化組織(International Organization for Standardization，ISO)正式發(fā)布了ISO/IEC 27001：2013《Information technology—Security techniques—Information security management systems—Requirements》,，取代使用了8年之久的ISO/IEC 27001：2005,。2016年8月，國家質(zhì)量監(jiān)督檢驗檢疫總局與國家標準化管理委員會聯(lián)合發(fā)布了GB/T 22080-2016/ISO/IEC 27001:2013《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》,，該標準使用翻譯法等同采用ISO/IEC 27001：2013,，其中附錄A包括14個控制域、35個控制目標,、114項控制措施,，并增加了資料性附錄NA和NB^[1]。按慣例,，ISO每5年左右會對標準進行一次升級,，2019年6月,，經(jīng)評審和確認，ISO/IEC 27001：2013標準維持現(xiàn)狀^[2],。上述標準中信息安全管理體系(Information Security Management Systems,，ISMS)是指“基于業(yè)務(wù)風險方法，建立,、實施,、運行、監(jiān)視,、評審,、保持和改進信息安全的體系，是一個組織整個管理體系的一部分[3]”,。本文將重點討論信息安全管理體系標準GB/T 22080-2016附錄A中的“A.12.6技術(shù)方面的脆弱性管理(Technical vulnerability management)”,，包含“A.12.6.1技術(shù)方面脆弱性的管理(Management of technical vulnerabilities)”和“A.12.6.2 軟件安裝限制(Restrictions on software installation)”兩項控制措施，其目標是“防止對技術(shù)脆弱性的利用(To prevent exploitation of technical vulnerabilities)”,。

    所謂脆弱性(vulnerability),，又稱弱點或漏洞，ISO/IEC 27000：2016中將脆弱性定義為“可能被一個或多個威脅利用的資產(chǎn)或控制的弱點^[3]”,，而威脅是“可能對系統(tǒng)或組織造成危害的不期望事件的潛在原由^[3]”,。在GB/T 20984-2007中的定義是“脆弱性是可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)^[4]”。由此可見,，脆弱性是資產(chǎn)或系統(tǒng)本身固有的,，如果沒有被威脅所利用，僅僅脆弱性本身是不會對資產(chǎn)或系統(tǒng)造成損害的^[4],。風險評估(risk assessment)是信息安全管理體系實施過程中最重要的一個活動,，脆弱性識別(vulnerability identification)是風險評估中最重要的一個環(huán)節(jié)。而有些資產(chǎn)或系統(tǒng)的脆弱性只能在滿足一定的條件和特定的環(huán)境下才能顯現(xiàn),，這正是脆弱性識別困難之所在^[5],。

本文詳細內(nèi)容請下載:http://wldgj.com/resource/share/2000003217

作者信息:

魏為民1，張運琴1,，翟亞紅2

(1.上海電力大學 計算機科學與技術(shù)學院,，上海200090；

2.中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心,，北京100020)