» 第二章  信息安全工程实践应用



               组合后才能产生影响，或者可以直接被威胁利用，但只能产生中等影响。一般指不能
               直接被利用而造成超级用户权限被获取、机密系统文件被读/写、系统崩溃等影响的
               弱点。
                   （3）低等级

                   可能会导致一些非机密信息泄露、非严重滥用和误用等不太严重的影响。一般指
               信息泄露、配置不规范。如果配置不当可能会引起危害的弱点，这些弱点即使被威胁
               利用也不会引起严重的影响。
                   参考这些业界通用的弱点严重性等级划分标准，在实际工作过程中一般采用

               以下等级划分标准，即把资产的弱点严重性分为5个等级，分别为很高（VH）、高
               （H）、中等（M）、低（L）、可忽略（N），并且从高到低分别赋值为4、3、2、
               1、0，如表2-1所示。

                                          表 2-1 弱点严重性赋值标准

                  赋值        简称                                说明
                                    该弱点被威胁利用，可以造成资产全部损失或不可用、持续业务中断、
                    4        VH
                                    巨大财务损失等严重的影响
                                    该弱点若被威胁利用，可以造成资产重大损失、业务中断、较大财务损
                    3         H
                                    失等严重的影响
                                    该弱点若被威胁利用，可以造成资产损失、业务受到损害、中等财务损
                    2        M
                                    失等影响
                                    该弱点若被威胁利用，可以造成资产较小资产损失并立即可以控制、较
                    1         L
                                    小财务损失等严重的影响
                                    该弱点可能造成资产损失可以被忽略，对业务基本无损害，只造成轻微
                    0         N
                                    或可忽略的财务损失等影响
                   在实际评估工作中，技术性弱点的严重性值一般参考扫描器或CVE标准中的值，

               并做适当修正，以获得适用的弱点严重性值。
                   弱点评估可以分别在管理和技术两个层面上进行，主要包括技术弱点检测、网络
               构架与业务流程分析、策略与安全控制实施审计、安全弱点综合分析等。
                   2.技术弱点检测
                   技术弱点检测是指通过工具和技术手段对用户实际信息进行弱点检测，技术弱点

               检测包括扫描和模拟渗透测试。
                   （1）扫描
                   根据扫描范围不同，分为远程扫描和本地扫描。

                   远程扫描指从组织外部用扫描工具对整个网络的交换机、服务器、主机和客户
               机进行检查，检测这些系统是否存在已知弱点。远程扫描对统计分析用户信息系统弱


                                                                                          • 47 •