上篇文章《基于數(shù)據(jù)安全的風(fēng)險(xiǎn)評(píng)估-數(shù)據(jù)資產(chǎn)識(shí)別》內(nèi)容為數(shù)據(jù)資產(chǎn)識(shí)別，數(shù)據(jù)資產(chǎn)識(shí)別是風(fēng)險(xiǎn)評(píng)估的開(kāi)始，而脆弱性是對(duì)一個(gè)或多個(gè)資產(chǎn)弱點(diǎn)的集合，脆弱性識(shí)別也可稱為弱點(diǎn)識(shí)別，而該弱點(diǎn)是資產(chǎn)本身存在的，如果沒(méi)有威脅利用，單純的弱點(diǎn)不會(huì)引發(fā)安全事件。威脅總是利用資產(chǎn)脆弱點(diǎn)才能造成破壞，這也是弱點(diǎn)和威脅的區(qū)別。

本篇文章將從脆弱性識(shí)別內(nèi)容、識(shí)別方式、脆弱性定級(jí)，三個(gè)部分進(jìn)行介紹。

一、脆弱性識(shí)別內(nèi)容

資產(chǎn)脆弱性包括管理型與技術(shù)型兩大類。技術(shù)脆弱性主要涉及數(shù)據(jù)庫(kù)（結(jié)構(gòu)化，關(guān)系型和非關(guān)系型）及網(wǎng)絡(luò)層和主機(jī)層（非結(jié)構(gòu)化，DLP檢測(cè)）。具體脆弱性識(shí)別示例內(nèi)容如下表：

數(shù)據(jù)脆弱性識(shí)別示例

二、識(shí)別方式

常見(jiàn)主要識(shí)別方法有問(wèn)卷調(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透測(cè)試等，不同環(huán)節(jié)、不同場(chǎng)景下?lián)駜?yōu)選擇，本篇主要介紹工具檢測(cè)，即數(shù)據(jù)庫(kù)漏洞掃描系統(tǒng)。數(shù)據(jù)庫(kù)漏洞掃描系統(tǒng)一般是通過(guò)讀取數(shù)據(jù)庫(kù)的信息與安全策略進(jìn)行綜合分析，在查出數(shù)據(jù)庫(kù)中存在的漏洞后自動(dòng)給出詳細(xì)的漏洞描述、漏洞來(lái)源及修復(fù)建議、并提供完整的數(shù)據(jù)庫(kù)漏洞報(bào)告、數(shù)據(jù)庫(kù)安全評(píng)估報(bào)告。我們據(jù)此報(bào)告對(duì)數(shù)據(jù)庫(kù)進(jìn)行漏洞修復(fù)，大限度地保護(hù)數(shù)據(jù)庫(kù)的安全。

數(shù)據(jù)庫(kù)漏掃功能架構(gòu)圖示例圖（中安威士-漏洞掃描系統(tǒng)）

端口掃描：系統(tǒng)提供自動(dòng)搜索數(shù)據(jù)庫(kù)的功能，可以直接給出數(shù)據(jù)庫(kù)的各項(xiàng)信息

漏洞檢測(cè)：（授權(quán)檢測(cè)、非授權(quán)檢測(cè)、滲透檢測(cè)、木馬檢測(cè)）

授權(quán)檢測(cè)：具有DBA權(quán)限的數(shù)據(jù)庫(kù)用戶，執(zhí)行選定的安全策略實(shí)現(xiàn)對(duì)目標(biāo)數(shù)據(jù)庫(kù)的檢測(cè)。

非授權(quán)檢測(cè)：用戶在無(wú)權(quán)限的情況下，依據(jù)數(shù)據(jù)庫(kù)版本號(hào)并根據(jù)選定的安全策略對(duì)目標(biāo)數(shù)據(jù)庫(kù)進(jìn)行的檢測(cè)的方法。

滲透檢測(cè)：利用數(shù)據(jù)庫(kù)本身存在的漏洞，攻擊數(shù)據(jù)庫(kù)。

木馬檢測(cè)：檢查數(shù)據(jù)庫(kù)所在服務(wù)器是否感染木馬，可檢測(cè)出被占用的端口和木馬種類。

三、脆弱性定級(jí)

可以根據(jù)資產(chǎn)的損害程度、技術(shù)實(shí)現(xiàn)的難易程度，以及弱點(diǎn)的流行程度等多個(gè)維度，采用等級(jí)方式對(duì)已識(shí)別的脆弱性嚴(yán)重程度進(jìn)行賦值。對(duì)某個(gè)資產(chǎn)脆弱性賦值還應(yīng)參考管理脆弱性的嚴(yán)重程度。具體定級(jí)如下示例表：

脆弱性定級(jí)

此外還可以參考CVE、CNNVD等提供的漏洞分級(jí)作為脆弱性賦值參考。

?

下章介紹數(shù)據(jù)資產(chǎn)威脅性相關(guān)內(nèi)容（威脅識(shí)別+脆弱性識(shí)別=安全事件的可能性），主要包括威脅來(lái)源、威脅識(shí)別內(nèi)容、威脅等級(jí)劃分等。

總結(jié)

以上是生活随笔為你收集整理的基于数据安全的风险评估-脆弱性识别的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。