2.1 简介
漏洞管理这一学科,能够很好地与其他诸如信息技术基础架构库(Information Technology Infrastructure Library,ITIL)、ISO 17799及ISO 27001等标准框架中的管理规范相融合。在业务活动中经常会出现各种情况,并且可能会引发一些比较固定的工业处理流程,这些管理规范就是为了将这些工业处理流程标准化而制定的。例如,ITIL中的事件管理规范,就是针对IT基础设施的故障排查操作流程而制定的。这些故障不是基础设施和基本服务的正常运作,而是运作过程中产生的一些异常现象。故障排查操作是一系列由人力和技术支持的过程,而事件管理规范正是为了将这一过程及其他类似的工作流程标准化。
同样,漏洞管理是为了规范由不良的设计、开发、配置或质量控制导致的IT组件漏洞所引发的处理操作而制定的。然而值得一提的是,IT业界似乎对需要处理这些漏洞感到很惊讶。软件开发从开始就明显存在下面的问题:当程序开发者未能充分考虑程序的使用情况时,程序中就会出现一些故障和缺陷。换句话说,漏洞是由于未能全盘考虑产品在整个系统中的使用情形,未能充分考虑各种可能的输入和输出,未能充分考虑可能超出接受范围的操作参数而导致的。