GB20984中脆弱性概念的偏差.pdfVIP

对 《GB/T 20984-2007 信息安全风险评估规范》 中 “脆弱性”的概念性偏差的讨论 对 《GB/T 20984-2007 信息安全风险评估规范》中 “脆弱性”的概念性偏差的讨论 在2007 年刚刚拿到《GB/T 20984-2007 信息安全风险评估规范》就发现该标准对“脆弱性”的理 解有一些独特的想法，但这些独特的想法在标准中来回混淆的，而且这一想法的合理性本身也是 一个问题。 标准里对 “脆弱性”的独特想法是，GB 20984 对脆弱性的提出了两个属性： 1）脆弱性的严重程度，基于“如果被威胁利用，将对资产造成损害”的程度； 2 ）脆弱性的可利用程度，基于“技术实现的难易程度、弱点的流行程度”。 而在流行的信息安全风险评估国际标准中，包括ISO/IEC TR 13335-3:1998、ISO/IEC 27005:2008、 SP800-30、BS 7799-3:2006，都只提及了脆弱性“可利用程度”的概念，而没有提及脆弱性“严重 程度”的概念。 下面从这个国家标准和国际标准两方面对风险评估的核心要素的定义开始分析。 1. 关于有关风险评估核心要素的定义 对于风险评估的几个核心要素，如风险、脆弱性、威胁等风险管理中的核心要素的定义，国家标 准和其它国际风险评估标准，并没有什么差别。下面是分别是GB20984 和ISO 27001 系列标准 对风险评估核心要素的定义。 《GB/T 20984-2007 信息安全风险评估规范》对风险评估要素定义的原文： 1) 信息安全风险 information security risk 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组 织造成的影响。 一丁工作室 http://1 最后更新日期2009 年 12 月11 日 第 1 页 共 9 页 对 《GB/T 20984-2007 信息安全风险评估规范》 中 “脆弱性”的概念性偏差的讨论 GB/T 20984 3.7 2) 威胁 threat 可能导致对系统或组织危害的不希望事故潜在起因。 GB/T 20984-2007 3.18 3) 脆弱性 vulnerability 可能被威胁所利用的资产或若干资产的弱点。 GB/T 20984-2007 3.18 下面是相关国际标准队风险评估核心要素的定义： 相关国际标准 （ISO/IEC 27002:2005、ISO/IEC 27005:2008 的定义： 1) 信息安全风险 information security risk 某种特定的威胁利用资产或一组资产的脆弱性，导致这些资产受损或破坏的潜在可能。 ISO/IEC 27005:2008 3.2 2) 威胁 threat 可能导致对系统或组织的损害的不期望事件发生的潜在原因[ISO/IEC TR 13335-1：2004] ISO/IEC 27002:2005 2.16 3) 脆弱性 vulnerability 可能会被一个或多个威胁所利用的资产或一组资产的弱点[ISO/IEC TR 13335-1：2004] ISO/IEC 27002:2005 2.17 2. 在“风险要素关系”描述中的“脆弱性”的概念偏差 GB/T 20984-2007 在“条款4.1 风险要素关系”中对脆弱性概念相关描述的标准原文如下： 一丁工作室 http://1 最后更新日期2009 年 12 月11 日 第2 页 共 9 页 对 《GB/T 20984-2007 信息安全风险评估规范》 中 “脆弱性”的概念性偏差的讨论 风险评估种各要素的关系如图1 所示：