在当前的世界中，数据和数据保护是企业至关重要的考虑因素。客户希望您确保其信息的安全性，如果您不能保证信息安全，就会失去业务。许多拥有敏感信息的客户在与您开展业务之前，会要求您部署坚固的数据安全基础架构。基于这种考虑，您是否相信自己企业内的IT安全性？

与去年同期相比，尽管今年的安全事件数量降低了，然而引发损失的恶性事件数量却有所增多，受到安全事件影响的公司比例也随之提高。

在2017过去的大半年中，企业安全团队可谓忙得焦头烂额。5月12日爆发的WannaCry病毒，以及6月爆发的Petya、NotPetya攻击昭示了攻击规模的急剧增大。某些政府开发的攻击软件的泄露更是让黑客们如虎添翼。

IT行业通过发布安全补丁和更新勉强跟上对手的步伐，但由于物联网等新技术的应用，IT行业不得不应对层出不穷的新漏洞。

为了能够强有力地处理可能影响业务的数据安全问题，您必须了解三个核心要素的关系和区别——威胁、漏洞和风险。

目前，许多安全术语在热门科技新闻中几乎可以相互替换地使用，但实际上他们是不可替换的。不同的安全行话具有独特的的含义，并以特定方式来使用。例如，“风险评估”和“威胁评估”是指两种完全不同的事情，并且他们都因其自身原因及适用于解决不同的问题而具有价值。

威胁

所谓“威胁”是指特定类型攻击的来源和手段，通常是指新型或新发现的事故，这类事故有可能危害系统或您的整个组织。

威胁主要有三类：

自然威胁（例如洪水或龙卷风）；

无意威胁（例如员工错误地访问了错误的信息）；

有意威胁。有意威胁的例子最多，最为常见的形式包括间谍软件、恶意软件、广告软件公司或者心存不满的员工的行为。此外，蠕虫和病毒也归类为威胁，因为这些可能通过自动攻击（不是人为）而危害您的组织。

面对上述威胁，您和您的团队应该：

1、确保您的团队成员了解网络安全的最新趋势，这样，他们就能够快速识别新的威胁。应订阅涉及这些问题的博客（例如Wired）和播客（例如Techgenix Extreme IT），并且加入专业协会，从而获取突发新闻推送、会议和网络研讨会信息。

2、您还应该定期进行威胁评估，同时评估不同的威胁类型。

威胁评估是为了确定最佳的办法，确保系统对某一特定威胁，或各类威胁的安全。渗透测试演习基本上是侧重于评估威胁概要，以帮助制定有效的对策来对付特定威胁所代表的各类攻击。

分析威胁有助于制定具体的安全策略，根据策略优先级进行实施，并了解要确保安全的资源的具体实施需求。

3、渗透测试还涉及现实世界威胁的建模，用于发现漏洞。

漏洞

所谓“漏洞”指的是可以攻击成功的系统安全缺陷，通常指一个或多个黑客可以利用的已知资产（资源）弱点。换句话说，它是一种使攻击能够成功实现的已知问题。

例如，在团队成员辞职而您忘记取消其对外部账户的接入权限、更改登录名或者将其姓名从公司信用卡系统中移除时，这会使您的业务暴露在有意和无意的威胁中。然而，大多数漏洞由自动攻击者利用，而不是由人员在网络另一端键入。

所以，在该种情况下，漏洞测试对于保证持续的系统安全就显得尤为重要。

所谓漏洞测试，就是识别漏洞，并在现有基础上由各方负责解决这种漏洞，并有助于提供数据以识别需要解决的安全隐患。

漏洞测试可识别弱点，并快速制定应对战略，这种漏洞不是特别的技术——它们也可以适用于社会因素，如个人身份验证和授权的政策。

漏洞测试有助于保持持续的安全，允许资源的安全负责人在新的危险产生时作出有效响应。提早选择合适的技术可以确保节省大量时间、金钱，进一步降低其他经营成本。

以下是在确定安全漏洞时需要回答的问题：

1、您的数据是否备份并存储在安全的场外地点？

2、您的数据是否存储在云端？如果是，这些数据如何防范云端漏洞？

3、对于哪种网络安全，您需要确定组织内谁有权访问、修改或删除信息？

4、目前使用哪种防病毒保护措施？许可证是否最新？是否根据需要的频率运行？

5、您在遭受漏洞攻击事件时是否有数据恢复计划？

了解您的漏洞是管理风险的第一步。

风险

风险是指在利用漏洞发出威胁时面临损失或破坏的可能性。风险的例子包括由于业务中断、失去隐私、声誉损害、法律问题而造成的财务损失，甚至可能包括失去生命。

风险也可以定义如下：

风险 = 威胁 X 漏洞

您可以通过制定并实施风险管理计划而减少潜在风险。

以下是制定风险管理战略时需考虑的关键方面：

1、评估风险并确定需求。

风险评估是对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，并发现安全漏洞和隐患的过程，是控制风险的基本手段。

在设计和实施风险评估框架时，确定您需要处理的最重要违规事件的优先次序非常重要。尽管每个组织的频率可能不同，但这种程度的评估必须定期且持续进行。

2、包含相关利益人的全面观点。相关利益人包括业务所有人和员工、客户、甚至供应商。所有这些方面都有可能对组织产生负面影响（潜在威胁），但同时，他们也可以成为帮助控制风险的资产。

3、指定核心员工小组。他们负责风险管理，并确定这一活动所需的适当资金额度。

4、实施合适的政策和相关控制，并确保将任何及所有变化告知适当的最终用户。

5、监控并评估政策和控制效率。风险的来源不断变化，这意味着您的团队必须准备好对框架进行任何必要的调整。这也可能涉及新型监控工具和技术的整合。

最后

理解这些术语的正确用法是重要的，不仅是让你阐述时听起来言之有物，甚至也不只是为了方便交流，更重要的是，它还有助于开发和利用良好的策略。技术行话的特殊性反映了专家们确定专业领域区分的方式，并且能帮助自己澄清应如何应对这些问题带来的挑战。