在當前的世界中，資料和資料保護是企業至關重要的考慮因素。客戶希望您確保其資訊的安全性，如果您不能保證資訊保安，就會失去業務。許多擁有敏感資訊的客戶在與您開展業務之前，會要求您部署堅固的資料安全基礎架構。基於這種考慮，您是否相信自己企業內的IT安全性？

與去年同期相比，儘管今年的安全事件數量降低了，然而引發損失的惡性事件數量卻有所增多，受到安全事件影響的公司比例也隨之提高。

在2017過去的大半年中，企業安全團隊可謂忙得焦頭爛額。5月12日爆發的WannaCry病毒，以及6月爆發的Petya、NotPetya攻擊昭示了攻擊規模的急劇增大。某些政府開發的攻擊軟體的洩露更是讓黑客們如虎添翼。

IT行業通過釋出安全補丁和更新勉強跟上對手的步伐，但由於物聯網等新技術的應用，IT行業不得不應對層出不窮的新漏洞。

為了能夠強有力地處理可能影響業務的資料安全問題，您必須瞭解三個核心要素的關係和區別——威脅、漏洞和風險。

目前，許多安全術語在熱門科技新聞中幾乎可以相互替換地使用，但實際上他們是不可替換的。不同的安全行話具有獨特的的含義，並以特定方式來使用。例如，“風險評估”和“威脅評估”是指兩種完全不同的事情，並且他們都因其自身原因及適用於解決不同的問題而具有價值。

所謂“威脅”是指特定型別攻擊的來源和手段，通常是指新型或新發現的事故，這類事故有可能危害系統或您的整個組織。

威脅主要有三類：

• 自然威脅（例如洪水或龍捲風）；

• 無意威脅（例如員工錯誤地訪問了錯誤的資訊）；

• 有意威脅。

  有意威脅的例子最多，最為常見的形式包括間諜軟體、惡意軟體、廣告軟體公司或者心存不滿的員工的行為。此外，蠕蟲和病毒也歸類為威脅，因為這些可能通過自動攻擊（不是人為）而危害您的組織。

面對上述威脅，您和您的團隊應該：

1、確保您的團隊成員瞭解網路安全的最新趨勢，這樣，他們就能夠快速識別新的威脅。應訂閱涉及這些問題的部落格（例如Wired）和播客（例如Techgenix Extreme IT），並且加入專業協會，從而獲取突發新聞推送、會議和網路研討會資訊。

2、您還應該定期進行威脅評估，同時評估不同的威脅型別。

威脅評估是為了確定最佳的辦法，確保系統對某一特定威脅，或各類威脅的安全。滲透測試演習基本上是側重於評估威脅概要，以幫助制定有效的對策來對付特定威脅所代表的各類攻擊。

分析威脅有助於制定具體的安全策略，根據策略優先順序進行實施，並瞭解要確保安全的資源的具體實施需求。

3、滲透測試還涉及現實世界威脅的建模，用於發現漏洞。

所謂“漏洞”指的是可以攻擊成功的系統安全缺陷，通常指一個或多個黑客可以利用的已知資產（資源）弱點。換句話說，它是一種使攻擊能夠成功實現的已知問題。

例如，在團隊成員辭職而您忘記取消其對外部賬戶的接入許可權、更改登入名或者將其姓名從公司信用卡系統中移除時，這會使您的業務暴露在有意和無意的威脅中。然而，大多數漏洞由自動攻擊者利用，而不是由人員在網路另一端鍵入。

所以，在該種情況下，漏洞測試對於保證持續的系統安全就顯得尤為重要。

所謂漏洞測試，就是識別漏洞，並在現有基礎上由各方負責解決這種漏洞，並有助於提供資料以識別需要解決的安全隱患。

漏洞測試可識別弱點，並快速制定應對戰略，這種漏洞不是特別的技術——它們也可以適用於社會因素，如個人身份驗證和授權的政策。

漏洞測試有助於保持持續的安全，允許資源的安全負責人在新的危險產生時作出有效響應。提早選擇合適的技術可以確保節省大量時間、金錢，進一步降低其他經營成本。 

以下是在確定安全漏洞時需要回答的問題：

1、您的資料是否備份並存儲在安全的場外地點？

2、您的資料是否儲存在雲端？如果是，這些資料如何防範雲端漏洞？

3、對於哪種網路安全，您需要確定組織內誰有權訪問、修改或刪除資訊？

4、目前使用哪種防病毒保護措施？許可證是否最新？是否根據需要的頻率執行？

5、您在遭受漏洞攻擊事件時是否有資料恢復計劃？

瞭解您的漏洞是管理風險的第一步。

風險是指在利用漏洞發出威脅時面臨損失或破壞的可能性。風險的例子包括由於業務中斷、失去隱私、聲譽損害、法律問題而造成的財務損失，甚至可能包括失去生命。

風險也可以定義如下：

您可以通過制定並實施風險管理計劃而減少潛在風險。

以下是制定風險管理戰略時需考慮的關鍵方面：

1、評估風險並確定需求。

風險評估是對網路與資訊系統安全的潛在威脅、薄弱環節、防護措施等進行分析評估，並發現安全漏洞和隱患的過程，是控制風險的基本手段。

在設計和實施風險評估框架時，確定您需要處理的最重要違規事件的優先次序非常重要。儘管每個組織的頻率可能不同，但這種程度的評估必須定期且持續進行。

2、包含相關利益人的全面觀點。相關利益人包括業務所有人和員工、客戶、甚至供應商。所有這些方面都有可能對組織產生負面影響（潛在威脅），但同時，他們也可以成為幫助控制風險的資產。

3、指定核心員工小組。他們負責風險管理，並確定這一活動所需的適當資金額度。

4、實施合適的政策和相關控制，並確保將任何及所有變化告知適當的終端使用者。

5、監控並評估政策和控制效率。風險的來源不斷變化，這意味著您的團隊必須準備好對框架進行任何必要的調整。這也可能涉及新型監控工具和技術的整合。

理解這些術語的正確用法是重要的，不僅是讓你闡述時聽起來言之有物，甚至也不只是為了方便交流，更重要的是，它還有助於開發和利用良好的策略。技術行話的特殊性反映了專家們確定專業領域區分的方式，並且能幫助自己澄清應如何應對這些問題帶來的挑戰。