论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 11 篇帖子 ] 
作者 内容
 文章标题 : 关于脆弱点(vulnerability)定义的一点疑问
帖子发表于 : 2004-10-25 10:20 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,095.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
Vulnerability:我通常把其翻译为脆弱点。
在ISO/IEC13335中定义为:一个或一组资产所具有的、可能被一个或多个威胁所利用的弱点。
个人感觉这个定义其实还是有点问题的,譬如文件服务器。
我们的文件服务器放置在一个房间,那么针对文件服务器而言可能有盗窃的威胁,而盗窃的威胁可能利用的是对房间的物理访问控制的不充分而言的,这是个脆弱点,但是该脆弱点并不是文件服务器本身所具有的。
因此我觉得脆弱点的定义是否这么定义更科学一点呢:
脆弱点:资产或资产的safeguards所具有的、可能被威胁所利用的弱点。
不知道在别的标准中是否还有对V的定义,欢迎大家讨论。
我看了一下BS7799-1和-2都没有,粗粗翻了一下GUIDE73 似乎也没看见。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2004-10-25 12:33 
离线
中级用户

注册: 2003-11-20 13:55
最近: 2015-06-04 13:58
拥有: 892.00 安全币

奖励: 0 安全币
在线: 2311 点
帖子: 84
正在看13335,所以也有一些感想。
脆弱性的确是这么定义的,在其他地方看得定义也差不多。
脆弱性的定义最后的落脚点是弱点,所以,像你举的例子,文件服务器,对它本身而言,是没有能被偷的弱点的,但攻击者针对房间访问控制不严这一脆弱性(属于物理环境的脆弱性),就引起了对文件服务器的威胁。所以,我个人认为脆弱性本身的定义没问题,而是对威胁定义是怎么理解了。不知是否正确,请指正。


--------本帖迄今已累计获得15安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2004-10-25 13:47 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,095.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
littleapple 写道:
正在看13335,所以也有一些感想。
脆弱性的确是这么定义的,在其他地方看得定义也差不多。
脆弱性的定义最后的落脚点是弱点,所以,像你举的例子,文件服务器,对它本身而言,是没有能被偷的弱点的,但攻击者针对房间访问控制不严这一脆弱性(属于物理环境的脆弱性),就引起了对文件服务器的威胁。所以,我个人认为脆弱性本身的定义没问题,而是对威胁定义是怎么理解了。不知是否正确,请指正。

弱点是没错的,只是要注意,弱点前面可是有定语的啊。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2004-10-25 15:23 
离线
中级用户

注册: 2003-11-20 13:55
最近: 2015-06-04 13:58
拥有: 892.00 安全币

奖励: 0 安全币
在线: 2311 点
帖子: 84
机构资产在物理出口、组织、流程、人员、管理、信息软硬件等方面都存在弱点,即脆弱性。
脆弱性本身对机构并无危害,但一旦被威胁利用,就会对系统产生不利影响。(引自13335-1 8.3节)
所以说,提起脆弱性,势必要考虑资产实际所处的环境.服务器本身并没有什么脆弱性,在其在物理出口方面存在弱点,所以导致威胁利用.


--------本帖迄今已累计获得14安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-04-23 01:47 
离线
初级用户

注册: 2008-04-10 23:58
最近: 2015-04-07 15:52
拥有: 324.20 安全币

奖励: 0 安全币
在线: 173 点
帖子: 24
我觉得对脆弱性的理解要结合威胁的含义,国标中说威胁(threat):可能导致对系统或组织危害的不希望事故潜在起因。
脆弱性(vulnerability):可能被威胁所利用的资产或若干资产的薄弱环节。
结合起来理解的话会发现在ISO/IEC13335中对脆弱性的定义(指一个或一组资产所具有的、可能被一个或多个威胁所利用的弱点)是没有问题的。


--------本帖迄今已累计获得14安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-04-23 10:31 
离线
超级用户

注册: 2007-09-27 08:31
最近: 2013-02-27 10:18
拥有: 3,358.00 安全币

奖励: 950 安全币
在线: 2760 点
帖子: 342
any vulnerability can not exist without threat source!
任何脆弱性都不可孤立与威胁源而存在,在一定动机下,威胁利用脆弱性构成影响,广义上的威胁,脆弱性和影响是有正负之分。说道脆弱性,一般还有个名词和它联系紧密就是Exploit,也可以说成是[利益]趋势[行为]利用[可利用点]进行[作用]而获取[效益],事出有因,不管你是正面效益和负面影响,都是为了满足利益要求而采取的行动。脆弱性本身定义我觉得尚可,而且任何名词不是可以靠简单几句话来解释的,所以需要理解,推广和培训:)

黑客为了满足[金钱利益]而利用[TCP/IP协议的不完善性这个利用点]发起[DDOS攻击行为],从而获得了金钱[效益]。

当然自然灾害就另当别论,那就是对威胁的疏忽,和对自身脆弱性不加以保护,而增加抵抗不可抗拒事件的影响和损失,因为考虑到这个,所以不能完全确定任何威胁都事出有因,所以最终的脆弱性定义,也就如同ISO那样广泛。


--------本帖迄今已累计获得28安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-04-23 10:52 
离线
顶级用户

注册: 2004-01-18 22:51
最近: 2018-03-04 21:46
拥有: 15,706.50 安全币

奖励: 21073 安全币
在线: 15470 点
帖子: 1956
搂主,我觉得在看这个问题的时候,先搞清资产的定义,文件服务器是资产,物理设施也是资产,房间(土地,固定资产,因为存在的风险不多,不直接在IT风险分析中不分析,但是在房地产行业要分析)就是物理设施。
企业的核心是业务和数据,文件服务器和物理设施都是支持业务和数据的,所以他们是一组资产,而不是你理解的单个资产,共同为业务和数据服务的资产。
从你的思维去考虑,文件服务器本身就有怕被盗窃的脆弱性,不是房间的物理访问怕,试想如果文件服务器不怕被盗窃,不存在这个脆弱性,房间的物理访问还有什么意义?所以那还是文件服务器的脆弱性,不是房间的脆弱性。
可是一旦文件服务器怕被盗窃这个脆弱性存在呢,物理设施的脆弱性也凸现了,这就是为什么说是一组资产的xxxxxx弱点。
不知道理解对否,希望交流!


--------本帖迄今已累计获得14安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-04-29 18:05 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,095.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
如果大家阅读的安全标准较多,则会发现,同样的一个术语在不同的标准中其定义可能不完全一致。此处以Vulnerability为例,在SC 27 Standing Document 6 (SD 6), Glossary of IT Security Terminology (SC 27 N 2776)中分别给出了几个定义:
1、A weakness of an asset or group of assets which can be exploited by one or more threats. [ISO/IEC PDTR 13335-1 (11/2001)]
2、A weakness that can be exploited by one or more threats. [ISO/IEC DTR 15947 (10/2001)]
3、A weakness of an asset or group of assets which can be exploited by a threat. [ISO/IEC 17799: 2000]
因此需要大家根据自己的理解来合理的选择术语定义。此处,个人倾向于选择第二个定义。因为脆弱点不仅仅存在于资产中,如果在选择保护资产的防护措施不当时,也可能会引入新的脆弱点,因此,从这个意义上,选择第二个定义。


--------本帖迄今已累计获得15安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-04-29 23:49 
离线
初级用户

注册: 2007-04-01 19:09
最近: 2012-08-20 09:20
拥有: 852.20 安全币

奖励: 6 安全币
在线: 565 点
帖子: 24
都是在说我吗?


--------本帖迄今已累计获得14安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-04-30 08:09 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,095.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
vulnerability 写道:
都是在说我吗?

目的就是要把你消灭之,哈哈。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-09-06 18:43 
离线
高级用户

注册: 2008-09-22 11:27
最近: 2016-02-15 19:36
拥有: 1,574.70 安全币

奖励: 783 安全币
在线: 2105 点
帖子: 153
易水寒江雪 写道:
vulnerability 写道:
都是在说我吗?

目的就是要把你消灭之,哈哈。


有注册一个小号的冲动,取名threat :lol:


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 11 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012