本文介绍了漏洞扫描的概念,从不同定义中提炼出漏洞的共性:系统缺陷,可被利用来违反安全策略。漏洞扫描通过工具识别已知或未知漏洞,如CVE编号、CWE类型描述。国际标准ISO/IEC 27005和金融行业的PCI DSS都强调了漏洞扫描的重要性。Gartner将漏洞扫描工具分为AST、SCA、VA等类别,常用于系统上线后的动态扫描。
5W2H 分解漏洞扫描 - WHAT
WHAT 什么是漏洞扫描?
首先什么是漏洞?
国内外各种规范和标准中关于漏洞(也称脆弱性,英文对应Vulnerability)的定义很多,摘录如下:互联网工程任务组RFC4949[1]: 系统设计、部署、运营和管理中,可被利用于违反系统安全策略的缺陷或弱点。
中国国家标准 信息安全技术-网络安全漏洞标识与描述规范 GB/T 28458-2020[2]: 网络安全漏洞是网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中,无意或有意产生的、有可能被利用的缺陷或薄弱点。
中国国家标准 信息安全技术-术语 GB/T 25069-2010[3]: 脆弱性(Vulnerability)是资产中能被威胁所利用的弱点。
国家标准与技术研究所NIST[4]: 信息系统、系统安全规程、内部控制或实施中可能被威胁源利用或触发的弱点。
国际标准化组织-信息安全管理体系 ISO27000[5]: 资产或控制中可能被一个或多个威胁利用的弱点。
国际标准化组织-
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
