漏洞管理是針對電腦漏洞所進行「週期性的識別漏洞、進行分類、決定優先級、進行補救措施及緩解措施」的流程[1]。漏洞管理是電腦安全及網絡安全的重點內容,和針對一般系統的漏洞評估不同[2]。
發現漏洞的方式很多,漏洞掃描器可以分析電腦系統,尋找已知的漏洞[3],像是open port、不安全的軟件組態、可能被惡意軟件入侵的系統。也可以用比對公開來源(例如NVD),或是訂閱商業版的漏洞警告服務來找出漏洞。模糊測試(fuzz testing)可以用來尋找未知的漏洞(例如零日攻擊)[3],也可以用相關的測試用例找出特定的漏洞(例如緩衝區溢出),這類分析也可以用自動化測試來進行。此外,有啟發式演算法的防毒軟件,根據可疑的軟件行為(例如覆寫系統文件)來找未公開的惡意軟件。
專案漏洞管理
專案漏洞管理是指專案容易受到負面事件影響的特性,對其影響的分析,以及專案可以克服負面事件的能力[4]。按照Systems Thinking的觀點,專案漏洞管理會用全面性的觀點,進行以下的流程:
- 專案漏洞識別。
- 漏洞分析。
- 漏洞響應計劃。
- 漏洞控制:包括對策實施、監控、控管以及經驗傳承。
在此模型下,透過以下的層面來克服負面事件
- 抵抗(resistance):靜態層面,是指可以承受立即損害的能力。
- 韌性(resilience):動態層面,是指可以在一段時間後恢復的能力。
系統冗餘是在漏洞管理上,可以提昇抵抗及韌性的特殊作法[5]。
反脆弱(Antifragility)是納西姆·尼可拉斯·塔雷伯提出的概念,敘述系統不但可以抵抗負面事件,或是具有恢復的韌性,而且系統可以因為負面事件而進步。反脆弱類似Stefan Morcov所提出專案複雜度中的積極複雜性(positive complexity)。
相關條目
參考資料
外部連結
Wikiwand in your browser!
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.