2) PA05评估脆弱性
本过程区域包括分析系统资产、定义特殊的脆弱性以及提供对整个系统脆弱性的评估。 评估活动在系统生命期内任何时间都可进行,以支持在已知环境中对开发、维护和运行系统作出决策。由于脆弱性会发生变化,所以必须定期监控。
本过程区域基本实施有5项:
◇BP.05.01选择识别和描述系统脆弱性的方法、技术和标准
◇BP.05.02识别系统存在的脆弱性
◇BP.05.03收集与脆弱性特征有关的数据
◇BP.05.04对脆弱性进行综合分析,评判脆弱性或脆弱性组合可能带来的危害
◇BP.05.05监控脆弱性的变化
在BP.05.01项中,脆弱性分析方法可以是现有的、经裁剪的或者专门针对系统中特定运行方面和确定环境而制定的。它可以是定量的、定性的或者是定量定性综合方法。需要注意的是,在整个评估期间,所选用的分析方法要求要统一,因为不同的分析方法,所产生的分析结果可能是不一致的,这样会让我们无法判别各个脆弱性之间的层次关系。
在BP.05.03项中,收集与脆弱性特征有关的数据,包括该脆弱性如果被威胁利用给资产带来的危害;该脆弱性有没有已经发布的补丁或者解决方案,如果有,可以在哪里能够安全得到,如果没有,是否还有相关的解决措施,或者避免方式等。