SSE一CMM安全工程过程之风险过程PA05评估脆弱性

2) PA05评估脆弱性

本过程区域包括分析系统资产、定义特殊的脆弱性以及提供对整个系统脆弱性的评估。 评估活动在系统生命期内任何时间都可进行，以支持在已知环境中对开发、维护和运行系统作出决策。由于脆弱性会发生变化，所以必须定期监控。

本过程区域基本实施有5项：

◇BP.05.01选择识别和描述系统脆弱性的方法、技术和标准

◇BP.05.02识别系统存在的脆弱性

◇BP.05.03收集与脆弱性特征有关的数据

◇BP.05.04对脆弱性进行综合分析，评判脆弱性或脆弱性组合可能带来的危害

◇BP.05.05监控脆弱性的变化
       在BP.05.01项中，脆弱性分析方法可以是现有的、经裁剪的或者专门针对系统中特定运行方面和确定环境而制定的。它可以是定量的、定性的或者是定量定性综合方法。需要注意的是，在整个评估期间，所选用的分析方法要求要统一，因为不同的分析方法，所产生的分析结果可能是不一致的，这样会让我们无法判别各个脆弱性之间的层次关系。

在BP.05.03项中，收集与脆弱性特征有关的数据，包括该脆弱性如果被威胁利用给资产带来的危害；该脆弱性有没有已经发布的补丁或者解决方案，如果有，可以在哪里能够安全得到，如果没有，是否还有相关的解决措施，或者避免方式等。