15323800465
漏洞是什么及漏洞如何產(chǎn)生的?
ISO27000系列標(biāo)準(zhǔn)概述了ISO信息安全管理系統(tǒng)及詞匯表,規(guī)定漏洞為資產(chǎn)或安全措施中存在的可由一個(gè)或多個(gè)威脅利用的缺陷。同時(shí)ISO27000將威脅定義為可對(duì)系統(tǒng)或組織造成損害的意外事件的可能原因。因此,若威脅發(fā)現(xiàn)可利用的缺陷,就出現(xiàn)了漏洞。然而,缺陷來自何處?一般來說,缺陷是資產(chǎn)或安全措施在設(shè)計(jì)、實(shí)施、配置或運(yùn)行過程中存在的不足之處。疏忽大意或故意行為均可導(dǎo)致缺陷。有些缺陷很容易識(shí)別、糾正和利用,而有些則需要投入時(shí)間、精力和資源。
ISO27001涉及的漏洞管理方法
ISO27001的A.12.6.1主要通過以下三個(gè)步驟進(jìn)行漏洞管理:
1、及時(shí)發(fā)現(xiàn)漏洞
越早發(fā)現(xiàn)漏洞,你就越有充足時(shí)間對(duì)其進(jìn)行修復(fù),至少向廠商上報(bào)這一漏洞,這樣留給攻擊者利用漏洞的時(shí)間就越少。
2、對(duì)組織的漏洞暴露情況進(jìn)行評(píng)估
某個(gè)漏洞或一組漏洞對(duì)不同組織的影響可能不盡相同。您需要進(jìn)行風(fēng)險(xiǎn)評(píng)估,找出您的資產(chǎn)和業(yè)務(wù)的重要漏洞,并對(duì)其進(jìn)行優(yōu)先級(jí)排序。
3、將相關(guān)風(fēng)險(xiǎn)考慮在內(nèi)的合理措施
找出最嚴(yán)重的漏洞后,需考慮采取措施,然后分配資源處理漏洞,也就是說,制定風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃。
最明智的做法是要考慮漏洞的風(fēng)險(xiǎn)等級(jí)。
ISO27002為實(shí)現(xiàn)漏洞管理目標(biāo)提供支持
ISO27002定義了實(shí)現(xiàn)漏洞管理目標(biāo)的支撐行動(dòng),提供實(shí)施安全措施(如A.12.6.1)時(shí)需考慮的最佳實(shí)踐。ISO 27002建議采取以下行動(dòng):
1、盤點(diǎn)資產(chǎn)
有效的漏洞管理取決于您所掌握的您的信息資產(chǎn)的相關(guān)信息,如軟件廠商、軟件版本,軟件安裝位置以及每個(gè)軟件的負(fù)責(zé)人。
2、明確職責(zé)
漏洞管理需進(jìn)行多項(xiàng)不同活動(dòng)(如監(jiān)控、風(fēng)險(xiǎn)評(píng)估和糾正等),因此,為方便起見,需明確職責(zé),合理分工,確保對(duì)資產(chǎn)進(jìn)行合理追蹤。
3、明確參考資料
您的參考資料列表上應(yīng)包含廠商站點(diǎn)、專業(yè)論壇和特別興趣小組,從而了解漏洞與修復(fù)措施相關(guān)的新聞。
4、按照制定的流程處理漏洞
不論漏洞的緊急程度如何,以結(jié)構(gòu)化方式處理漏洞非常重要。處理漏洞時(shí)應(yīng)考慮變更管理或事件響應(yīng)流程,因?yàn)檫@些流程考慮了漏洞優(yōu)先級(jí)、時(shí)間響應(yīng)和響應(yīng)升級(jí)等方面,指導(dǎo)您該采取哪些行動(dòng)。
5、做好記錄以供事后分析
(事后需進(jìn)行分析)持續(xù)記錄所發(fā)生的事件以及事件處理過程是非常重要的,因?yàn)檫@樣您可以從事件中吸取教訓(xùn),防止后續(xù)類似事件的發(fā)生。至少這樣做可盡量減輕事件影響,改進(jìn)漏洞管理流程。此外,確保定期進(jìn)行評(píng)估,盡快改進(jìn)和修復(fù)漏洞。
如您想更詳細(xì)的了解ISO27001標(biāo)準(zhǔn),需要ISO27001標(biāo)準(zhǔn),請(qǐng)您網(wǎng)絡(luò)搜索航鑫認(rèn)證,快人一步,成就管理者風(fēng)范。
