本文探讨了脆弱性管理在信息安全中的重要性，指出脆弱性不仅存在于技术层面，也涉及组织策略。文中强调脆弱性管理是系统工程，涉及识别、修补及报告等多个阶段，并提出加强脆弱性管理的建议。最后，文档提到美国在脆弱性管理方面的相关体系和政策。

1. 关于脆弱性管理问题 崔书昆 2006 年 8 月

2. 关于脆弱性管理问题 脆弱性， 俗称漏洞，包括信息资产中的无意造成的缺欠、弱点，也包括有意安置的陷门、后门等等。对脆弱性进行搜寻、分析、修补、检验、利用等统称脆弱性管理。它是当前信息安全工作中 , 特别是信息安全资源管理工作中 , 一个十分值得关注的问题。

3. 关于脆弱性管理问题 一、脆弱性问题涉及信息安全的全局 二、脆弱性问题已上升为战略性问题 三、脆弱性管理是一个系统工程 四、美国的漏洞管理体系 五、加强脆弱性管理的建议

4. 一、脆弱性问题涉及信息安全的全局 1970 年兰德公司《计算机的安全控制》： 脆弱性存在于硬件、软件、通信和人员组织中 1985 年《可信计算机系统的安全评估准则》： 由于过失、疏忽与失察而造成的错误，导致保护机制被绕过 1999 年美《国家信息系统安全术语》 : 在信息系统安全规程、内部控制或实现中可能被利用的弱点

5. 一、脆弱性问题涉及信息安全的全局 2000 年美《信息系统保护国家计划》： 关键基础设施设计、实现或运营中，能使关键基础设施易遭各种威胁的破坏，或失去作用 2004 年美国国家基础设施咨询委员会《脆弱性披露框架报告》： 一种集合，导致或可能导致一个信息系统在保密性、完整性、可用性上或隐或显的失败

6. 一、脆弱性问题涉及信息安全的全局 2006 年美国家科技委《联邦网络空间安全与信息保障研发计划》 脆弱性是一种缺欠和弱点，存在于硬件、软件、网络或基于计算机的系统中，包括与系统相关的安全程序和控制。脆弱性可能有意或无意地被用来对一个组织的运营（包括任务、功能和公众信心）、资产或人员造成不利影响。

7. 一、脆弱性问题涉及信息安全的全局 风险是一种可能性的聚合，即在一个组织系统中的某一特定脆弱性，被一个特定威胁代理者有意或无意地利用，其造成的潜在损害之大，能使系统丧失保密性、完整性或可用性，从而危机组织的运营、资产或人员。

8. 二、脆弱性问题已上升为战略性问题 1998 年克林顿 63 号令《基础设施保护政策》 宗旨：日益增长的潜在脆弱性：公私合作以减少脆弱性 方针：解决脆弱性问题，并阐明消除这些脆弱性的手段 任务：第一项脆弱性分析，第二项矫正计划 …… 2000 年美国《信息系统保护国家计划》 首项内容：标识关键基础设施资产以及共有的相互依赖 性，查找其脆弱性。

9. 二、脆弱性问题已上升为战略性问题 2003 年美国《保护网络空间的国家战略》 战略目标 1 、防止对美国关键基础设施的网络攻击 2 、减少国家被网络攻击的脆弱性 关键优先级 1 、安全响应系统 2 、威胁和脆弱性削减计划……

10. 二、脆弱性问题已上升为战略性问题 威胁和脆弱性五个等级： 1. 家庭用户 / 小型商业机构 2. 大型机构 3. 关键部门 / 关键基础设施 4. 国家事务和全国性脆弱性 5. 全球

11. 三、脆弱性管理是一个系统工程 2003 年美国《信息保障实现》： 一个全面的脆弱性管理包括系统的识别和 软、硬件修补

12. 三、脆弱性管理是一个系统工程 2003 年美国《信息保障条例》： 信息保障脆弱性管理目的是识别和解决在运行系统中的脆弱性。 要完成四个不同阶段的工作： 1 、脆弱性识别、传播和通告 2 、修补受影响的系统 3 、按要求报告 4 、核验 还包括发警报、公告和技术咨询

13. 三、脆弱性管理是一个系统工程 2004 年美国《脆弱性披露框架报告》 每一种脆弱性有其独特性，但各自的演化沿着一个相同的生命周期：搜索 -> 验证 -> 报告 -> 评估 -> 通告 -> 咨询和修补 -> 咨询意见和补丁发布 -> 反馈

14. 四、美国的漏洞管理体系 NSA DHS DOD NIST NCSD NIAP NVD CVE USCERT FIRST CERTS CERT/CC （ CMU ）

15. 五、加强脆弱性管理的建议 1 、高度重视脆弱性问题 2 、系统规划脆弱性管理工作 3 、全面统筹脆弱性等信息安全资源 ( 人技术工具 ) 4 、制定相关法规和技术标准 5 、将脆弱性管理纳入信息安全保障建设工作，与其他相关工作相结合

16. 谢谢大家