漏洞管理

识别、分类、优先处理、补救和缓解软件漏洞的递推做法

漏洞管理是针对电脑漏洞所进行“周期性的识别漏洞、进行分类、决定优先级、进行补救措施及缓解措施”的流程[1]。漏洞管理是电脑安全网络安全的重点内容,和针对一般系统的漏洞评估英语vulnerability assessment不同[2]

发现漏洞的方式很多,漏洞扫描器可以分析电脑系统,寻找已知的漏洞[3],像是open port英语open port、不安全的软件组态、可能被恶意软件入侵的系统。也可以用比对公开来源(例如NVD),或是订阅商业版的漏洞警告服务来找出漏洞。模糊测试(fuzz testing)可以用来寻找未知的漏洞(例如零日攻击[3],也可以用相关的测试用例找出特定的漏洞(例如缓冲区溢出),这类分析也可以用自动化测试来进行。此外,有启发式算法防毒软件,根据可疑的软件行为(例如覆写系统文件)来找未公开的恶意软件。

有很多不同的漏洞矫正措施,包括了安装修补程式、改变网络安全政策、重新配置软件,或是教育用户防范社交工程

专案漏洞管理

专案漏洞管理是指专案容易受到负面事件影响的特性,对其影响的分析,以及专案可以克服负面事件的能力[4]。按照Systems Thinking的观点,专案漏洞管理会用全面性的观点,进行以下的流程:

  1. 专案漏洞识别。
  2. 漏洞分析。
  3. 漏洞响应计划。
  4. 漏洞控制:包括对策实施、监控、控管以及经验传承

在此模型下,透过以下的层面来克服负面事件

  • 抵抗(resistance):静态层面,是指可以承受立即损害的能力。
  • 韧性(resilience):动态层面,是指可以在一段时间后恢复的能力。

系统冗余是在漏洞管理上,可以提升抵抗及韧性的特殊作法[5]

反脆弱英语Antifragility(Antifragility)是纳西姆·尼可拉斯·塔雷伯提出的概念,叙述系统不但可以抵抗负面事件,或是具有恢复的韧性,而且系统可以因为负面事件而进步。反脆弱类似Stefan Morcov所提出专案复杂度中的积极复杂性(positive complexity)。

相关条目

参考资料

  1. ^ Foreman, P: Vulnerability Management, page 1. Taylor & Francis Group, 2010. ISBN 978-1-4398-0150-5
  2. ^ Walkowski, Michał; Oko, Jacek; Sujecki, Sławomir. Vulnerability Management Models Using a Common Vulnerability Scoring System. Applied Sciences. 19 September 2021, 11 (18): 8735. doi:10.3390/app11188735 . 
  3. ^ 3.0 3.1 Anna-Maija Juuso and Ari Takanen Unknown Vulnerability Management, Codenomicon whitepaper, October 2010 [1]页面存档备份,存于互联网档案馆).
  4. ^ Marle, Franck; Vidal, Ludovic‐Alexandre. Managing Complex, High Risk Projects - A Guide to Basic and Advanced Project Management. London: Springer-Verlag. 2016. 
  5. ^ Nassim N. Taleb, Daniel G. Goldstein. The Six Mistakes Executives Make in Risk Management. Harvard Business Review. 2009-10-01 [2021-12-13]. ISSN 0017-8012. (原始内容存档于2023-07-21). 

外部链接