分级保护方案设计详解.pdfVIP

iiu 第三章 安全保密风险分析 3.1 脆弱性分析 脆弱性是指资产或资产组中能被威胁所利用的弱点， 它包括物理环境、组织机构、 业务流 程、人员、管理、硬件、软件及通讯设施等各个方面。脆弱性是资产本身存在 的，如果没有被相 应的威胁利用， 单纯的脆弱性本身不会对资产造成损害， 而且如果 系统足够强健， 严重的威胁 也不会导致安全事件发生， 并造成损失。 威胁总是要利用 资产的脆弱性才可能造成危害。 资产的脆弱性具有隐蔽性， 有些脆弱性只有在一定条件和环境下才能显现， 这是 脆弱性识 别中最为困难的部分。 不正确的、 起不到任何作用的或没有正确实施的安全 措施本身就可能是 一个弱点， 脆弱性是风险产生的内在原因， 各种安全薄弱环节、 安 全弱点自身并不会造成什么 危害， 它们只有在被各种安全威胁利用后才可能造成相应