《GB/T 20984-2007信息安全风险评估规范》的脆弱性概念偏差

Eson

在2007年刚刚拿到《GB/T 20984-2007信息安全风险评估规范》就发现该标准对“脆弱性”的理解有一些独特的想法，但这些独特的想法在标准中来回混淆的，而且这一想法的合理性本身也是一个问题。
标准里对 “脆弱性”的独特想法是，GB 20984对脆弱性的提出了两个属性：
1） 脆弱性的严重程度，基于“如果被威胁利用，将对资产造成损害”的程度；
2） 脆弱性的可利用程度，基于“技术实现的难易程度、弱点的流行程度”。
而在流行的信息安全风险评估国际标准中，包括ISO/IEC TR 13335-3:1998、 ISO/IEC 27005:2008、SP800-30、BS 7799-3:2006，都只提及了脆弱性“可利用程度”的概念，而没有提及脆弱性“严重程度”的概念。
下面从这个国家标准和国际标准两方面对风险评估的核心要素的定义开始分析。

zhushp

脆弱性就是弱点、漏洞也就是内因。