发布者：tangkuikui      发布时间：2021/1/15      点击数：2863

漏洞管理是指识别、评估和修复组织信息系统和应用程序中存在的漏洞的持续 IT 过程。 它可以将资产分类并按照风险级别将漏洞归类，因此，漏洞管理并不单单是指漏洞评估。 漏洞管理可以为企业提供一种保护重要 IT 基础设施不受安全漏洞威胁的经济、高效方式。

漏洞管理的流程一般包括以下几项关键措施：

网络资产识别，并加以分类和评估。关于资产的信息应按数据类型分类，比如漏洞、配置、补丁状态、合规状态或者仅仅是资产库存。发现过程应找出网络上的每个计算资产(没错，就是每一个)，并建立起其他漏洞管理过程可使用的知识库。由于网络不停在变，资产信息也需持续更新。

发现过程中找出的数据通常以各种不同的形式报告给相应的受众。报告过程应创建馈送至漏洞管理过程的优先顺序矩阵。毕竟，每个漏洞的原始数据未必都那么有用。理想状态下，这些报告应能为战术性运营任务所用，而在较高层级可为高层管理提供可见性及面向业务的风险指标。

优先化确定，根据预定义特征集排序已知风险的关键漏洞。举个例子，优先化应引发这样的思考过程：面对来自发现过程的当前资产状态、该特定资产的价值及已知威胁，风险到底有没有重要到我们应花费资源去缓解？或者，该特定资产当下的已知风险是不是公司可接受的？优先化的目标是要用漏洞管理工具创建一张自定义的事件处理顺序表。理想状态下，该经过优先排序的动作列表被馈送到标签系统共IT运营使用，让系统管理员据此执行特定任务。

风险应对方法分为3类：修复、缓解，或是接受。修复可以理解为修正已经发现的错漏。比如说，因为忘了打补丁而导致的漏洞，就可以通过安装补丁程序来加以修复。另一方面，缓解是通过采取一些基本不在受影响系统直接管辖范围之内的其他动作来减轻风险。比如说，针对系统上发现的Web应用漏洞，不是去修复漏洞，而是去安装一个Web应用防火墙。漏洞依然存在，但有了Web应用防火墙，风险也就消弭了。接受风险则是选择既不修复也不缓解，单纯承认并接受风险的存在。举个例子，某建筑设计公司的安全团队可能会建议所有终端运行杀毒软件。但公司利益相关者却会因杀软可能影响某些特殊授权的软件使用而选择不采用杀软。这种情况下，公司选择接受已知风险。

尽管漏洞管理对于组织来说十分有用且非常必要，但它具有一定的限制。 每天进行漏洞扫描耗时又耗资，而且扫描结果有对有错，这就是说对系统某个时间点的安全评估只是部分准确。 此外，即便已采取措施修复发现的问题，但零日攻以及尚未发现的威胁仍然存在。

如需对漏洞管理进一步了解，请联系蓝盟IT外包获取免费咨询。

文/上海蓝盟   IT外包专家