Vulnerability assessment,也叫 vulnerability analysis, 中文可译为“安全薄弱环节评估”,通常简称为VA或SVA,其中S=security.(下文均以VA指代Security Vulnerability Assessment)。
VA是一个巨大的工程,本文仅对VA基础概念和工具进行简要介绍。具体方法和步骤今后会另文探讨。
VA is a process that defines, identifies, and classifies the security holes (vulnerabilities) in a physical facility, computer, network, or communications infrastructure. In addition, vulnerability analysis can forecast the effectiveness of proposed countermeasures and evaluate their actual effectiveness after they are put into use.
一般来说,根据评估对象不同,VA有两种。一种是针对建筑物(如工厂、生产基地等)有形场所和设施进行的以安保为目的的评估,用来找出该场所整体面临的安保风险和流程漏洞。第二种是针对某公司的IT系统或网络进行的风险评估。
VA是security从业人员需要了解并掌握的基础理念和技能,尽管在实际工作中,多数公司倾向于请外部专业安全咨询公司来做这种评估。主要因为一套完整的VA用时很长,公司自有的proprietary security manager往往没有这样的时间和精力或技能来完成。也有些公司要求自己的安全经理或团队自己完成,因为VA评估过程中涉及许多公司机密信息和文件。
参考链接
- WBDG网站的一篇文章“Threat/vulnerability assessment and risk analysis”对VA讲解得很全面,值得参考。
https://www.wbdg.org/resources/threat-vulnerability-assessments-and-risk-analysis
2. 美国能源部2002年关于电力基础设施的VA方法介绍
https://www.hsdl.org/?view&did=439919
3. FEMA发布的Building vulnerability assessment checklist
https://www.fema.gov/media-library-data/20130726-1524-20490-4937/fema452_a.pdf