10、安全漏洞评估全解析

安全漏洞评估全解析

一、漏洞评估概述

在安全领域，漏洞评估是至关重要的一环。它主要有基于资产和基于场景两种类型。在进行漏洞评估时，首先要评估现有安全措施阻止、检测或延迟攻击的可能性。通常采用由外而内的方法，评估团队先确定最外层的保护，然后逐步深入到资产，按照攻击者可能的路径穿过每一层保护。在突破每一层保护时，需要考虑理论攻击者的训练水平、技能和装备。最后，评估团队分析资产损失、损坏或破坏的后果，并给出漏洞评级。

例如，以政府大楼外发生低级爆炸为例进行基于场景的漏洞评估。评估团队假设爆炸在正常营业时间紧挨着大楼发生，然后思考大楼及其资产（如员工等关键资产）的哪些特征可能导致损失、损坏或破坏；攻击者如何在大楼附近引爆炸弹；现有安全系统的任何元素能否阻止、检测或延迟攻击；闭路电视（CCTV）系统能否检测到攻击者；CCTV 系统是否与安全响应部队直接通信；大楼能否承受低级爆炸攻击等。不过，基于场景的评估存在一定缺点，它会使团队专注于特定威胁，可能忽略其他威胁。但无论是基于资产还是基于场景的漏洞评估，都会得出一系列对安全计划进行更改的建议。

二、漏洞评估步骤

漏洞评估可以是定量的，也可以是定性的，这取决于评估的性质和可用的指标。一般来说，基于场景和基于资产的漏洞评估的通用步骤如下：
1. 识别需要保护的资产 ：若漏洞评估不是整体风险评估的一部分，资产可能尚未确定；若作为风险评估的一部分，评估团队应能轻易获取资产信息。
2. 审查历史安全和事件信息（若可用） ：若漏洞评估不是整体风险评估的一部分，威胁评估可能尚未进行；若威胁评估已完成，审查威胁评估报告可了解攻击者过去利用的