漏洞管理

漏洞管理是针对电脑漏洞所进行“周期性的识别漏洞、进行分类、决定优先级、进行补救措施及缓解措施”的流程^[1]。漏洞管理是电脑安全及网络安全的重点内容，和针对一般系统的漏洞评估（英语：vulnerability assessment）不同^[2]。

发现漏洞的方式很多，漏洞扫描器可以分析电脑系统，寻找已知的漏洞^[3]，像是open port（英语：open port）、不安全的软件组态、可能被恶意软件入侵的系统。也可以用比对公开来源（例如NVD），或是订阅商业版的漏洞警告服务来找出漏洞。模糊测试（fuzz testing）可以用来寻找未知的漏洞（例如零日攻击）^[3]，也可以用相关的测试用例找出特定的漏洞（例如缓冲区溢出），这类分析也可以用自动化测试来进行。此外，有启发式算法的防毒软件，根据可疑的软件行为（例如覆写系统文件）来找未公开的恶意软件。

有很多不同的漏洞矫正措施，包括了安装修补程式、改变网络安全政策、重新配置软件，或是教育用户防范社交工程。

专案漏洞管理

专案漏洞管理是指专案容易受到负面事件影响的特性，对其影响的分析，以及专案可以克服负面事件的能力^[4]。按照Systems Thinking的观点，专案漏洞管理会用全面性的观点，进行以下的流程：

专案漏洞识别。
漏洞分析。
漏洞响应计划。
漏洞控制：包括对策实施、监控、控管以及经验传承。

在此模型下，透过以下的层面来克服负面事件

抵抗（resistance）：静态层面，是指可以承受立即损害的能力。
韧性（resilience）：动态层面，是指可以在一段时间后恢复的能力。

系统冗余是在漏洞管理上，可以提升抵抗及韧性的特殊作法^[5]。

反脆弱（英语：Antifragility）（Antifragility）是纳西姆·尼可拉斯·塔雷伯提出的概念，叙述系统不但可以抵抗负面事件，或是具有恢复的韧性，而且系统可以因为负面事件而进步。反脆弱类似Stefan Morcov所提出专案复杂度中的积极复杂性（positive complexity）。

参考资料

^ Foreman, P: Vulnerability Management, page 1. Taylor & Francis Group, 2010. ISBN 978-1-4398-0150-5
^ Walkowski, Michał; Oko, Jacek; Sujecki, Sławomir. Vulnerability Management Models Using a Common Vulnerability Scoring System. Applied Sciences. 19 September 2021, 11 (18): 8735. doi:10.3390/app11188735 .
^ ^3.0 ^3.1 Anna-Maija Juuso and Ari Takanen Unknown Vulnerability Management, Codenomicon whitepaper, October 2010 [1] （页面存档备份，存于互联网档案馆）.
^ Marle, Franck; Vidal, Ludovic‐Alexandre. Managing Complex, High Risk Projects - A Guide to Basic and Advanced Project Management. London: Springer-Verlag. 2016.
^ Nassim N. Taleb, Daniel G. Goldstein. The Six Mistakes Executives Make in Risk Management. Harvard Business Review. 2009-10-01 [2021-12-13]. ISSN 0017-8012. （原始内容存档于2023-07-21）.

外部链接

"Implementing a Vulnerability Management Process" （页面存档备份，存于互联网档案馆）. SANS Institute.

[1] Foreman, P: Vulnerability Management, page 1. Taylor & Francis Group, 2010. ISBN 978-1-4398-0150-5

[2] Walkowski, Michał; Oko, Jacek; Sujecki, Sławomir. Vulnerability Management Models Using a Common Vulnerability Scoring System. Applied Sciences. 19 September 2021, 11 (18): 8735. doi:10.3390/app11188735 .

[Codenomicon-3] 3.0 ^3.1 Anna-Maija Juuso and Ari Takanen Unknown Vulnerability Management, Codenomicon whitepaper, October 2010 [1] （页面存档备份，存于互联网档案馆）.

[4] Marle, Franck; Vidal, Ludovic‐Alexandre. Managing Complex, High Risk Projects - A Guide to Basic and Advanced Project Management. London: Springer-Verlag. 2016.

[5] Nassim N. Taleb, Daniel G. Goldstein. The Six Mistakes Executives Make in Risk Management. Harvard Business Review. 2009-10-01 [2021-12-13]. ISSN 0017-8012. （原始内容存档于2023-07-21）.

[1]

[2]

[3]

[4]

[5]

专案漏洞管理

相关条目

参考资料

外部链接