让我们先从一个案例说起。某石油生产商设在远程站点隔离区（De-Militarize Zone，DMZ）中的系统服务器发出了警报。分析师们在研究后得出结论说：漏洞（vulnerability）扫描程序发现了重大的安全漏洞。IT组织部门在经过几个回合的电子邮件和电话交流后，在几分钟内就掌握了自己需要的信息。

　　当时的情况是这样的：出现漏洞问题的是报表转发系统，那些被转发的报表在转发之前将会接受用其他程序的方法复核。该系统没有包含过分敏感的信息，而且相对孤立，并未与任何重要的业务流程捆绑，所以其漏洞不会影响到邻近系统。由于该系统位于远程站点，要为该系统打补丁得派一位IT人员乘飞机专程跑一趟。该这家石油公司认为，派专人一位IT管理员专程去打补丁不仅麻烦，从费用上说也不合算。因此IT部门组织的解决方案是：将此次漏洞警报记录下来，在进度计划中预定下次IT人员对远程站点进行日常维护时，再让人顺便解决这个问题。

　　从这件事案例中，我们所得到的结论是教训：为了实现有效的漏洞管理，IT组织部门必须在考虑商业价值的前提下，合理运用风险管理原则和逻辑。

　　如今的系统漏洞可谓是层出不穷五花八门，令人防不胜防，比如企业自行开发的应用程序所包含的漏洞，基础设施中存在的缺陷（如安全保护措施不够完备的无线网络）以及还有以桌面终端用户为目标的网络攻击手段等等。如今现在的网络犯罪手段已经从唠唠叨叨、技术落后的网络“蠕虫”（worms）进化到了无影无形、技术先进、目标明确的恶意软件（malware）。

　　IT组织部门必须与业务单位通力合作，将企业的安全漏洞控制在可接受的风险容忍程度以内，创建将企业计算环境（computing environment）作为整体来处理的业务流程，并且选择合适的技术平台来支持这些流程。

　　有效的流程

　　有效的漏洞管理程序必须合理地对技术、商业智能和流程进行平衡。

　　必要的技术包括漏洞扫描软件，如迈克菲公司（McAfee）的FoundScan软件、夸利斯公司（Qualys）的QualysScan软件或泰纳宝网络安全公司（Tenable Network Security）的Nessus软件；应用程序扫描软件，如惠普公司（Hewlett-Packard）的WebInspect软件和国际商业机器公司（IBM）公司的AppScan软件；以及还有配置和补丁管理工具。然而，如果没有几个重要的漏洞管理流程领军的话，这些工具只是游兵散勇，起不了太大作用。

　　维护网络安全的一个重要流程是减少受攻击面（attack surface），也就是说减少企业IT系统暴露在外的部分。受攻击面这个术语既可以指的是应用程序或系统整体在容易受到各种途径的攻击面前所暴露的风险程度，也可以指系统作为整体容易受到攻击。企业经常综合使用网络设计演习（network design exercise）习惯做法、访问管理（access management）和配置管理等几大手段来以减少受攻击面。比如说例如，为了减少某系统的受攻击面，可以只将那些必需的服务暴露在网络上暴露，此外禁用或删除不必要的软件，以及并限制经授权可登录系统的用户数量。