基于数据安全的风险评估-脆弱性识别

上篇文章《基于数据安全的风险评估-数据资产识别》内容为数据资产识别，数据资产识别是风险评估的开始，而脆弱性是对一个或多个资产弱点的集合，脆弱性识别也可称为弱点识别，而该弱点是资产本身存在的，如果没有威胁利用，单纯的弱点不会引发安全事件。威胁总是利用资产脆弱点才能造成破坏，这也是弱点和威胁的区别。

本篇文章将从脆弱性识别内容、识别方式、脆弱性定级，三个部分进行介绍。

一、脆弱性识别内容

资产脆弱性包括管理型与技术型两大类。技术脆弱性主要涉及数据库（结构化，关系型和非关系型）及网络层和主机层（非结构化，DLP检测）。具体脆弱性识别示例内容如下表：

数据脆弱性识别示例

二、识别方式

常见主要识别方法有问卷调查、工具检测、人工核查、文档查阅、渗透测试等，不同环节、不同场景下择优选择，本篇主要介绍工具检测，即数据库漏洞扫描系统。数据库漏洞扫描系统一般是通过读取数据库的信息与安全策略进行综合分析，在查出数据库中存在的漏洞后自动给出详细的漏洞描述、漏洞来源及修复建议、并提供完整的数据库漏洞报告、数据库安全评估报告。我们据此报告对数据库进行漏洞修复，大限度地保护数据库的安全。

数据库漏扫功能架构图示例图（中安威士-漏洞扫描系统）

端口扫描：系统提供自动搜索数据库的功能，可以直接给出数据库的各项信息

漏洞检测：（授权检测、非授权检测、渗透检测、木马检测）

授权检测：具有DBA权限的数据库用户，执行选定的安全策略实现对目标数据库的检测。

非授权检测：用户在无权限的情况下，依据数据库版本号并根据选定的安全策略对目标数据库进行的检测的方法。

渗透检测：利用数据库本身存在的漏洞，攻击数据库。

木马检测：检查数据库所在服务器是否感染木马，可检测出被占用的端口和木马种类。

三、脆弱性定级

可以根据资产的损害程度、技术实现的难易程度，以及弱点的流行程度等多个维度，采用等级方式对已识别的脆弱性严重程度进行赋值。对某个资产脆弱性赋值还应参考管理脆弱性的严重程度。具体定级如下示例表：

脆弱性定级

此外还可以参考CVE、CNNVD等提供的漏洞分级作为脆弱性赋值参考。

 

下章介绍数据资产威胁性相关内容（威胁识别+脆弱性识别=安全事件的可能性），主要包括威胁来源、威胁识别内容、威胁等级划分等。