漏洞管理是針對電腦漏洞所進行「週期性的識別漏洞、進行分類、決定優先級、進行補救措施及緩解措施」的流程[1]。漏洞管理是電腦安全網絡安全的重點內容,和針對一般系統的漏洞評估英語vulnerability assessment不同[2]

發現漏洞的方式很多,漏洞掃描器可以分析電腦系統,尋找已知的漏洞[3],像是open port英語open port、不安全的軟件組態、可能被惡意軟件入侵的系統。也可以用比對公開來源(例如NVD),或是訂閱商業版的漏洞警告服務來找出漏洞。模糊測試(fuzz testing)可以用來尋找未知的漏洞(例如零日攻擊[3],也可以用相關的測試用例找出特定的漏洞(例如緩衝區溢出),這類分析也可以用自動化測試來進行。此外,有啟發式演算法防毒軟件,根據可疑的軟件行為(例如覆寫系統文件)來找未公開的惡意軟件。

有很多不同的漏洞矯正措施,包括了安裝修補程式、改變網絡安全政策、重新配置軟件,或是教育用戶防範社交工程

專案漏洞管理

專案漏洞管理是指專案容易受到負面事件影響的特性,對其影響的分析,以及專案可以克服負面事件的能力[4]。按照Systems Thinking的觀點,專案漏洞管理會用全面性的觀點,進行以下的流程:

  1. 專案漏洞識別。
  2. 漏洞分析。
  3. 漏洞響應計劃。
  4. 漏洞控制:包括對策實施、監控、控管以及經驗傳承

在此模型下,透過以下的層面來克服負面事件

  • 抵抗(resistance):靜態層面,是指可以承受立即損害的能力。
  • 韌性(resilience):動態層面,是指可以在一段時間後恢復的能力。

系統冗餘是在漏洞管理上,可以提昇抵抗及韌性的特殊作法[5]

反脆弱英語Antifragility(Antifragility)是納西姆·尼可拉斯·塔雷伯提出的概念,敘述系統不但可以抵抗負面事件,或是具有恢復的韌性,而且系統可以因為負面事件而進步。反脆弱類似Stefan Morcov所提出專案複雜度中的積極複雜性(positive complexity)。

相關條目

參考資料

外部連結

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.