上篇文章《基于數(shù)據(jù)安全的風(fēng)險評估-數(shù)據(jù)資產(chǎn)識別》內(nèi)容為數(shù)據(jù)資產(chǎn)識別，數(shù)據(jù)資產(chǎn)識別是風(fēng)險評估的開始，而脆弱性是對一個或多個資產(chǎn)弱點的集合，脆弱性識別也可稱為弱點識別，而該弱點是資產(chǎn)本身存在的，如果沒有威脅利用，單純的弱點不會引發(fā)安全事件。威脅總是利用資產(chǎn)脆弱點才能造成破壞，這也是弱點和威脅的區(qū)別。

本篇文章將從脆弱性識別內(nèi)容、識別方式、脆弱性定級，三個部分進行介紹。

一、脆弱性識別內(nèi)容

資產(chǎn)脆弱性包括管理型與技術(shù)型兩大類。技術(shù)脆弱性主要涉及數(shù)據(jù)庫（結(jié)構(gòu)化，關(guān)系型和非關(guān)系型）及網(wǎng)絡(luò)層和主機層（非結(jié)構(gòu)化，DLP檢測）。具體脆弱性識別示例內(nèi)容如下表：

數(shù)據(jù)脆弱性識別示例

二、識別方式

常見主要識別方法有問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透測試等，不同環(huán)節(jié)、不同場景下?lián)駜?yōu)選擇，本篇主要介紹工具檢測，即數(shù)據(jù)庫漏洞掃描系統(tǒng)。數(shù)據(jù)庫漏洞掃描系統(tǒng)一般是通過讀取數(shù)據(jù)庫的信息與安全策略進行綜合分析，在查出數(shù)據(jù)庫中存在的漏洞后自動給出詳細的漏洞描述、漏洞來源及修復(fù)建議、并提供完整的數(shù)據(jù)庫漏洞報告、數(shù)據(jù)庫安全評估報告。我們據(jù)此報告對數(shù)據(jù)庫進行漏洞修復(fù)，大限度地保護數(shù)據(jù)庫的安全。

數(shù)據(jù)庫漏掃功能架構(gòu)圖示例圖（中安威士-漏洞掃描系統(tǒng)）

端口掃描：系統(tǒng)提供自動搜索數(shù)據(jù)庫的功能，可以直接給出數(shù)據(jù)庫的各項信息

漏洞檢測：（授權(quán)檢測、非授權(quán)檢測、滲透檢測、木馬檢測）

授權(quán)檢測：具有DBA權(quán)限的數(shù)據(jù)庫用戶，執(zhí)行選定的安全策略實現(xiàn)對目標數(shù)據(jù)庫的檢測。

非授權(quán)檢測：用戶在無權(quán)限的情況下，依據(jù)數(shù)據(jù)庫版本號并根據(jù)選定的安全策略對目標數(shù)據(jù)庫進行的檢測的方法。

滲透檢測：利用數(shù)據(jù)庫本身存在的漏洞，攻擊數(shù)據(jù)庫。

木馬檢測：檢查數(shù)據(jù)庫所在服務(wù)器是否感染木馬，可檢測出被占用的端口和木馬種類。

三、脆弱性定級

可以根據(jù)資產(chǎn)的損害程度、技術(shù)實現(xiàn)的難易程度，以及弱點的流行程度等多個維度，采用等級方式對已識別的脆弱性嚴重程度進行賦值。對某個資產(chǎn)脆弱性賦值還應(yīng)參考管理脆弱性的嚴重程度。具體定級如下示例表：

脆弱性定級

此外還可以參考CVE、CNNVD等提供的漏洞分級作為脆弱性賦值參考。

?

下章介紹數(shù)據(jù)資產(chǎn)威脅性相關(guān)內(nèi)容（威脅識別+脆弱性識別=安全事件的可能性），主要包括威脅來源、威脅識別內(nèi)容、威脅等級劃分等。

總結(jié)

以上是生活随笔為你收集整理的基于数据安全的风险评估-脆弱性识别的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。