数字世界的全球技能和能力框架

漏洞评估 VUAS

识别网络、系统和应用程序中的安全漏洞并对其进行分类,同时减轻或消除其影响。

指导说明

活动可能包括但不限于:

  • 对信息和技术资源(资产和能力)进行分类,以支持漏洞评估
  • 为信息和技术资源分配可量化的价值、等级顺序以及重要性
  • 发现和分析每种资源的漏洞——手动或使用自动化工具及信息源
  • 对与漏洞相关的风险进行优先排序、评分和排名
  • 业务影响评估
  • 减轻或消除漏洞。

漏洞评估工具包括网络应用程序扫描仪、协议扫描仪和网络扫描仪。

等级

在以下级别定义: 2 3 4 5

漏洞评估: 级别 1

This skill is not typically observed or practiced at this level of responsibility and accountability.

漏洞评估: 级别 2

使用自动化和半自动化工具执行低复杂度的常规漏洞评估。在适当时机上报问题。协助记录漏洞评估的范围和评估结果。

漏洞评估: 级别 3

按照标准方法对小型信息系统执行基本的漏洞评估。支持创建用于漏洞评估的信息和技术资产目录。

漏洞评估: 级别 4

整理和分析用于漏洞评估的信息和技术资产目录。针对中等复杂程度的信息系统,执行漏洞评估和业务影响分析。协助选择及部署漏洞评估工具和技术。

漏洞评估: 级别 5

规划并管理组织内部的漏洞评估活动。评估、选择、审查漏洞评估工具和技术。提供专家建议与指导,进而支持对商定办法的采用。获取并处理漏洞信息,对复杂信息系统进行安全风险评估、业务影响分析和认证。

漏洞评估: 级别 6-7

This skill is not typically observed or practiced at these levels of responsibility and accountability.