风险评估中关注的是脆弱性,而不是弱点。因此,在描述脆弱性时,一般要一并描述其可能面临的威胁。
从脆弱性的概念,我们可以得知,脆弱性本身是不会引起风险的,因为脆弱性的定义本身就是模糊的,许多优点,换个角度看就成了脆弱性。例如,可移动存储设备,优点是“可移动”,方便,但是站在信息保护的角度看,这就是脆弱性。当然,如果没有脆弱性,威胁也无法造成风险。因此,不能割裂威胁和脆弱性的识别过程。一般而言,都是先识别威胁后识别脆弱性。根据情况也可以同时进行。一个完整的威胁和脆弱性列表,并且给出大致可能的对应关系,可以有效地指导组织人员实施识别过程。组织的历史安全事件记录和相关权威机构的报告等也是重要的参考。
识别方法:(1)文档审查;(2)现场检查;(3)人员访谈;(4)工具扫描。
文档审查主要审核文档的清晰性、文档的内容、文档的一致性。人员访谈是提问主要负责人,从而可以得到额外的安全控制信息等。访谈主要有下面几个目的:
1)确认问卷中资产重要度的评价,威胁和脆弱性的识别等是否符合;
2)确认安全程序的实施状况;
3)借此评价员工的安全意识情况;
4)找出新的脆弱性。
现场访谈和观察可以使风险评估小组成员得到第一手的资料。现场检查一般也会利用辅助的检查表。技术脆弱性的扫描工具一般译为“漏洞扫描工具”。漏洞扫描工具的使用比较广泛,目前一般用来作为识别脆弱性的辅助工具。