安全風(fēng)險(xiǎn)源于漏洞。當(dāng)漏洞被利用，同時(shí)影響到資產(chǎn)的時(shí)候，就產(chǎn)生了風(fēng)險(xiǎn)。
        安外必先攘內(nèi)是企業(yè)在規(guī)劃網(wǎng)絡(luò)安全體系時(shí)必須考慮的一個(gè)問題。事實(shí)證實(shí)，盡管在網(wǎng)絡(luò)邊界構(gòu)筑了堅(jiān)固的安全防線，部署了防火墻、防病毒軟件和IDS，企業(yè)仍然會(huì)受到黑客的攻擊。受到攻擊的原因之一是企業(yè)網(wǎng)絡(luò)中存在著眾多的漏洞（Vulnerability，也譯為弱點(diǎn)），這些漏洞包括提供商造成的漏洞、開發(fā)者造成的漏洞、錯(cuò)誤的配置、策略的違反等。Gartner指出，漏洞是指在方法、治理或者技術(shù)中存在的缺點(diǎn)，而這個(gè)缺點(diǎn)可以導(dǎo)致影響、降低IT安全。
        假如企業(yè)缺乏一套完整的漏洞評(píng)估治理機(jī)制，未能落實(shí)定期評(píng)估與漏洞修補(bǔ)的工作，就等于敞開了網(wǎng)絡(luò)安全的門戶，時(shí)刻有可能遭到黑客的攻擊。一項(xiàng)調(diào)查顯示，99%的黑客攻擊事件都是利用未修補(bǔ)的漏洞與錯(cuò)誤的設(shè)定進(jìn)行的。
        利用漏洞發(fā)動(dòng)攻擊的最典型案例莫過于“沖擊波”病毒了。2003年8月11日“沖擊波”病毒的發(fā)作，影響到了30萬到50萬臺(tái)計(jì)算機(jī)，共造成了全球企業(yè)15-20億美元的業(yè)務(wù)損失。實(shí)際上，近一個(gè)月以前，Windows RPC漏洞的補(bǔ)丁就已經(jīng)發(fā)布，但是大多數(shù)企業(yè)并沒有及時(shí)打上補(bǔ)丁，造成了業(yè)務(wù)上不可估量的損失。


風(fēng)險(xiǎn)治理與漏洞
        既然漏洞的潛在危害如此巨大，那么企業(yè)該如何“攘內(nèi)”呢？實(shí)施風(fēng)險(xiǎn)治理是行之有效的方法。風(fēng)險(xiǎn)治理就是在適當(dāng)?shù)某杀痉秶鷥?nèi)，對(duì)影響信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行識(shí)別、控制、降低、消除、轉(zhuǎn)移等的一系列過程。風(fēng)險(xiǎn)治理的幾個(gè)要素是資產(chǎn)價(jià)值、威脅、漏洞、威脅的潛在影響以及漏洞被利用的可能性。當(dāng)漏洞被利用，同時(shí)影響到資產(chǎn)的時(shí)候，就產(chǎn)生了風(fēng)險(xiǎn)。隨著資產(chǎn)價(jià)值、漏洞等級(jí)、被利用可能性的不同，產(chǎn)生的風(fēng)險(xiǎn)也會(huì)不同。
        由此可以看出，安全風(fēng)險(xiǎn)的根本原因就在于漏洞，下面的這個(gè)等式表達(dá)了風(fēng)險(xiǎn)和漏洞之間的關(guān)系：風(fēng)險(xiǎn)＝資產(chǎn)×漏洞×威脅。

掌控風(fēng)險(xiǎn) 有的放矢
        隨著IT部門所面對(duì)的威脅種類日益增多，網(wǎng)絡(luò)安全治理人員天天都會(huì)接到有關(guān)系統(tǒng)漏洞、新軟件漏洞或新惡意代碼的警報(bào)，所有這些警報(bào)的安全級(jí)別很難一下判定出來。因此，安全治理員往往不由自主地被這類事務(wù)牽著鼻子走，采取既耗時(shí)又費(fèi)力的行動(dòng)，比如查漏洞、打補(bǔ)丁等。然而，這些行動(dòng)不見得能夠真正起到防護(hù)的作用。
        與此相反，安全治理員可以建立明智的風(fēng)險(xiǎn)治理戰(zhàn)略，使有限的資源可以集中于應(yīng)對(duì)企業(yè)面臨的最大威脅。識(shí)別風(fēng)險(xiǎn)并確定風(fēng)險(xiǎn)的等級(jí)，是采取合理有效措施的要害所在。風(fēng)險(xiǎn)治理專家George Kurtz認(rèn)為，任何公司都不會(huì)有足夠多的財(cái)力和人力用于完全消除其與IT相關(guān)的潛在風(fēng)險(xiǎn)。因此，將所面臨的各種風(fēng)險(xiǎn)量化，然后據(jù)此確定安全投資的優(yōu)先順序就勢(shì)所必然。
        為了量化風(fēng)險(xiǎn)并確定補(bǔ)救措施的優(yōu)先順序，Kurtz提出了一個(gè)模型，該模型從三個(gè)方面測(cè)量風(fēng)險(xiǎn)—資產(chǎn)價(jià)值、資產(chǎn)易受攻擊程度以及各種現(xiàn)實(shí)威脅。
資產(chǎn)價(jià)值：處理企業(yè)交易業(yè)務(wù)的服務(wù)器顯然要比客戶服務(wù)代表的桌面機(jī)更為重要。因此，制定降低風(fēng)險(xiǎn)的明智戰(zhàn)略，需要清楚了解整個(gè)企業(yè)中各類IT資產(chǎn)所代表的企業(yè)價(jià)值。
        資產(chǎn)易受攻擊程度：除具有不同的企業(yè)價(jià)值外，IT資產(chǎn)存在其固有的不同程度的軟肋。提供公共網(wǎng)頁的系統(tǒng)與根本就不連接到Internet的系統(tǒng)相比，肯定更輕易受到攻擊；鎖在配線柜中的交換機(jī)要比遠(yuǎn)離公司數(shù)千公里遠(yuǎn)的筆記本電腦更安全。
        現(xiàn)實(shí)威脅：安全治理員還必須清楚了解任何現(xiàn)有資產(chǎn)所面臨的各種現(xiàn)實(shí)威脅。舉例來說，流行的操作系統(tǒng)（例如Windows）比舊式操作系統(tǒng)所受到的攻擊會(huì)更多。因此，雖然運(yùn)行在舊操作系統(tǒng)上的舊應(yīng)用程序可能對(duì)公司具有很高的價(jià)值，但它們受威脅的可能性會(huì)更小一些。
        風(fēng)險(xiǎn)可以通過綜合考慮資產(chǎn)的企業(yè)價(jià)值、其固有的易受攻擊程度以及它實(shí)際面臨的各種威脅的強(qiáng)度計(jì)算出來。安全治理員就能準(zhǔn)確了解企業(yè)最大的威脅存在于何處，并據(jù)此確定降低風(fēng)險(xiǎn)行動(dòng)的優(yōu)先順序。

        從資產(chǎn)發(fā)現(xiàn)和資產(chǎn)相關(guān)風(fēng)險(xiǎn)的評(píng)估，到補(bǔ)救措施的驗(yàn)證，通過盡可能將風(fēng)險(xiǎn)治理過程自動(dòng)化并達(dá)到所希望的效果，安全治理員可以進(jìn)一步增強(qiáng)其措施的有效性。據(jù)Gartner提供的資料顯示，實(shí)施正確的風(fēng)險(xiǎn)治理步驟和技術(shù)來發(fā)現(xiàn)漏洞、確定漏洞的嚴(yán)重等級(jí)并采取補(bǔ)救措施的組織，成為攻擊受害者的可能性要降低90%。
        Kurtz認(rèn)為，設(shè)立防火墻確保企業(yè)的安全固然很重要，但企業(yè)所能達(dá)到的安全水平，很大程度上取決于理解和治理各種形式風(fēng)險(xiǎn)的水平，以及如何將有限的資源集中運(yùn)用到能為企業(yè)帶來最大好處的地方。
        目前雖然有許多廠商提供網(wǎng)絡(luò)安全漏洞的檢測(cè)工具，而且它們能協(xié)助企業(yè)找出問題所在，然而使用者在缺乏正確認(rèn)知的情況下，多半無法有效辨別最重要的問題或是應(yīng)該優(yōu)先解決的問題在哪里，也無暇去針對(duì)這些漏洞落實(shí)修補(bǔ)的工作。企業(yè)真正需要的是一個(gè)能提供持續(xù)性的網(wǎng)絡(luò)安全弱點(diǎn)的評(píng)估治理系統(tǒng)，以仿真黑客攻擊的手法來檢測(cè)企業(yè)的網(wǎng)絡(luò)是否有任何不當(dāng)?shù)脑O(shè)定與危險(xiǎn)的漏洞，同時(shí)提供完整的治理機(jī)制，以方便治理者追蹤、記錄、驗(yàn)證漏洞評(píng)估治理成效，同時(shí)通過量化的報(bào)表來真實(shí)反映企業(yè)的網(wǎng)絡(luò)安全問題。

四種風(fēng)險(xiǎn)治理戰(zhàn)略
        除了解具體的風(fēng)險(xiǎn)等級(jí)外，安全團(tuán)隊(duì)還可以拓寬解決IT相關(guān)風(fēng)險(xiǎn)的視角，以便顯著增強(qiáng)其措施的有效性。Kurtz 提出了四種可能的風(fēng)險(xiǎn)治理戰(zhàn)略：風(fēng)險(xiǎn)減輕、風(fēng)險(xiǎn)接受、風(fēng)險(xiǎn)轉(zhuǎn)移和風(fēng)險(xiǎn)回避。
        風(fēng)險(xiǎn)減輕：這通常是人們碰到風(fēng)險(xiǎn)時(shí)頭腦中的第一反應(yīng)。它包括安全團(tuán)隊(duì)針對(duì)威脅所采取的各種應(yīng)對(duì)措施，如防火墻、IDS和防病毒軟件。
        風(fēng)險(xiǎn)接受：假如解決風(fēng)險(xiǎn)的成本大于風(fēng)險(xiǎn)本身，或者解決該風(fēng)險(xiǎn)將使資源無法用來解決更為嚴(yán)重的風(fēng)險(xiǎn)，合理的行動(dòng)可能就是接受該風(fēng)險(xiǎn)。
        風(fēng)險(xiǎn)轉(zhuǎn)移：在某些情況下，當(dāng)將風(fēng)險(xiǎn)轉(zhuǎn)移給第三方（如保險(xiǎn)公司）比將有限的資源用于可能并不能產(chǎn)生明顯效果的風(fēng)險(xiǎn)減輕行動(dòng)時(shí)，采取前一種方式是更為審慎的選擇。
        風(fēng)險(xiǎn)回避：有時(shí)還會(huì)碰到這樣一些情況，不僅風(fēng)險(xiǎn)的等級(jí)很高，而且解決該風(fēng)險(xiǎn)的成本也達(dá)到了無法接受的地步。在這種情況下，最好的辦法是完全回避風(fēng)險(xiǎn)，方式可以是撤掉會(huì)帶來這樣風(fēng)險(xiǎn)的系統(tǒng)，或者不將其部署在最重要的位置。