Vulnerability assessment,也叫 vulnerability analysis, 中文可译为“安全薄弱环节评估”，通常简称为VA或SVA，其中S=security.（下文均以VA指代Security Vulnerability Assessment）。

VA是一个巨大的工程，本文仅对VA基础概念和工具进行简要介绍。具体方法和步骤今后会另文探讨。

VA is a process that defines, identifies, and classifies the security holes (vulnerabilities) in a physical facility, computer, network, or communications infrastructure. In addition, vulnerability analysis can forecast the effectiveness of proposed countermeasures and evaluate their actual effectiveness after they are put into use.

一般来说，根据评估对象不同，VA有两种。一种是针对建筑物（如工厂、生产基地等）有形场所和设施进行的以安保为目的的评估，用来找出该场所整体面临的安保风险和流程漏洞。第二种是针对某公司的IT系统或网络进行的风险评估。

VA是security从业人员需要了解并掌握的基础理念和技能，尽管在实际工作中，多数公司倾向于请外部专业安全咨询公司来做这种评估。主要因为一套完整的VA用时很长，公司自有的proprietary security manager往往没有这样的时间和精力或技能来完成。也有些公司要求自己的安全经理或团队自己完成，因为VA评估过程中涉及许多公司机密信息和文件。

参考链接

1. WBDG网站的一篇文章“Threat/vulnerability assessment and risk analysis”对VA讲解得很全面，值得参考。

https://www.wbdg.org/resources/threat-vulnerability-assessments-and-risk-analysis

2. 美国能源部2002年关于电力基础设施的VA方法介绍

https://www.hsdl.org/?view&did=439919

3. FEMA发布的Building vulnerability assessment checklist

https://www.fema.gov/media-library-data/20130726-1524-20490-4937/fema452_a.pdf