网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

从处理风险的角度来看，风险的响应通常包括：风险缓解、风险转移、风险接受、风险威慑、风险规避、风险拒绝。而一般处理漏洞的方式主要有风险缓解和风险接受。企业可以选择修复漏洞以缓解此漏洞敞露的风险，例如SQL注入漏洞，常见的修复措施有参数化、对用户输入进行验证、使用存储过程等;对于跨站脚本攻击(XSS)而言，验证用户输入的有效性是一个很好的措施。(详细的修复方法可以参考OWASP)如果因为修复漏洞的成本大于风险可能带来的损失，或其他综合因素考虑，企业也可以选择接受风险。接受风险还意味着管理层已经同意接受风险发生可能造成的结果和损失。

除了对资产漏洞的修复措施外，还可以建立对系统的补偿性控制。例如使用防火墙设置规则来过滤流量，Web应用防火墙，简称 WAF，拥有部署简易、防护及时等优点，主要用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，同时大多数防火墙也提供了日志记录，查询的功能，能够满足运维，安全方面的管理需求。更加智能、高效的方式是建立企业的安全运营中心(SOC)进行日志收集、监控分析、识别异常行为并产生预警等，从而实现持续的安全运营。更加智能化的安全管理方式是建立SOC(安全运营中心)，SOC可以弥补传统信息安全的不足，它以数据为核心，通过日志收集、威胁建模、指标设计、告警分析、安全事件用例知识库和威胁情报态势感知等功能模块，真正实现数据驱动安全，不仅能实现攻击的维护和实时监控，还能通过威胁情报和用户行为分析等预测威胁，并在安全事件发生后系统地追踪溯源。

5. 监控和报告

在实际漏洞管理的过程中，企业很难一次修复所有的漏洞，通常都会涉及验证、再次验证直到漏洞被修复的过程，甚至有些漏洞难以被完全修复，因此需要对整个过程的实时监控来提高管理效率。项目管理人员也需要向高级管理层汇报漏洞管理项目的状态，包括对服务水平协议规定的实现和关键的业绩指标，如：漏洞发现率、漏洞修复率、漏洞修复时间等。另外，第三方的的安全审计、渗透测试、安全评估等也能更独立的评估企业信息系统的安全性，提高管理的效率和效果。

更高效的管理方案是建立一个集中性管理平台-漏洞管理平台，它可以提供一个时事、高效的监控、管理和报告的方式，通过集成漏洞扫描(保持更新最新漏洞)、漏洞自动分类与分级、漏洞状态管理、漏洞和修复方案描述、报告生成和下载、漏洞管理仪表盘等功能，实现对漏洞全生命周期的有效管理。

漏洞管理是一个持续的过程，成功的漏洞管理过程也需要与组织的业务风险管理紧密联系，定期审核漏洞管理过程是否与组织的业务和风险管理目标相一致，并确保企业网络安全相关的人员及时了解新的安全威胁和趋势也是漏洞管理过程中不可忽略的部分。