1.7 漏洞管理的重要性
对于企业而言,资源是有限的,不可能取消在风险管理上投入太多的资源,因此前期的风险分析非常重要。但是,这不应该成为不进行漏洞管理的借口。当未实施漏洞管理时,在入侵检测或安全事件管理上花费有限的经费似乎难以自圆其说。尽管漏洞管理涉及更复杂的流程和系统,但能十分有效地降低企业面临的风险,而当企业需要防范的致命风险减少时,企业面临的风险状况将完全不同。
本书并不仅仅只是简单地介绍了漏洞管理技术和一些操作技巧,而且还从技术角度和流程角度深入讲解了漏洞管理是如何运作和发挥作用的,这两个方面相辅相成,缺一不可。技术工具在漏洞管理过程中起到推动作用,本书将花大量篇幅让读者体会到这一点。当在公司环境中实施了漏洞管理后你会发现,要实现安全真正需要的是那些愿意并且能够严格保证公司基础设施稳固性和安全性的人,除此之外的一切都是在浪费金钱和时间。
在本书中,你还将深入理解漏洞以及漏洞控制的策略意义。漏洞不仅存在于单个主机或是网络设备中,还可以存在于其他层面,这些层面中的漏洞必须通过调整技术战略才能予以解决。处于组织和行业层面的漏洞管理则属于风险管理的范畴了,已经超出了任何技术领域。