在网络安全方面, 有许多术语和概念对物理安全专业人员和IT专业人员都是有益的. 通常，这些术语会被错误地使用或互换，这会造成混乱.

漏洞、利用和后门

最容易混淆的三个术语是漏洞、利用和后门. 这些术语中的每一个都有其明显不同的定义和用途.

赞助 校园安全中的快速枪击反应 阅读本文，了解有助于防范和保护校园免受活跃枪手潜在威胁的新技术和最佳实践. 读文章

A 脆弱性 是系统中的缺陷吗, 或者在系统中的某些软件中, 这可能为攻击者提供了一种绕过主机操作系统或软件本身的安全基础设施的方法. 这不是一扇敞开的门，而是一个弱点，如果受到攻击，可能会提供一条进入的途径. 所有软件都有缺陷或漏洞，这些缺陷通常会随着时间的推移而被发现. 软件公司的内部测试通常会尝试在发布之前消除所有这些漏洞, 但是在每个不同的网络和系统集成中测试软件是不可能的.

---

漏洞扫描并不意味着漏洞已被利用.

---

一旦攻击者在软件代码或系统中发现了一个漏洞，就会攻击 利用 是通过煞费苦心地找出如何利用该漏洞进行恶意行为来实现的吗. 利用是试图将漏洞(弱点)转化为破坏系统的实际方法的行为. 漏洞可以被“利用”，使其成为攻击系统的可行方法.

将软件漏洞转化为漏洞利用可能很难. 谷歌, 例如, 对发现Chrome网络浏览器漏洞的安全研究人员进行奖励. 谷歌的收益在500美元到3000美元之间. 然而，它也举办安全专家竞赛，展示被利用的漏洞. 这些专家的工作报酬要高得多——高达6万美元. 支付金额的差异反映了试图利用漏洞时任务的规模.

---

---

后门 设备的管理功能的入口是否经常出现, 代码开发人员故意放在那里. 这在代码开发中很常见，因为很难预测添加新代码或新功能时会发生什么. 如果在开发过程中出现问题, 后门允许开发人员重新进入代码或设备. 然后，后门通常在发布给客户使用之前从代码中删除.

漏洞扫描与渗透测试

与上述术语一样，与网络安全相关的评估或测试经常被混淆. 最常见的两种是漏洞扫描和渗透测试(也称为钢笔测试或pentest)。.

A 漏洞扫描 自动化的高级测试是否寻找并报告潜在的或已知的漏洞. 相反， 渗透测试 是一个详细的, 由真人进行的实践检查，试图发现和利用您系统中的弱点.

赞助 不仅仅是一个沉默的证人 用Speco Technologies的Digital deterrence®在犯罪发生之前就阻止它. 浏览百老汇app的网站! 了解更多

漏洞扫描是将已知漏洞与产品当前软件/固件版本和配置进行比较的及时快照. 漏洞扫描并不意味着漏洞已被利用. 此外，漏洞扫描无法预测未来的漏洞. 因为他们只是扫描设备寻找文档, 它们不是任何整体系统安全性的证明，应该对其进行跟踪.

治理、风险管理、合规和监管

治理, 风险管理, 及合规(GRC), 伴随着监管, 是否所有相关概念都旨在确保组织可靠地实现目标, 地址不确定性, 为人正直. 

治理 由董事(或董事会)建立和执行的过程组合是否反映在组织结构中，以及如何管理和引导实现目标.

---

最后，企业必须遵守规定——最低要求.

---

治理不仅包括业务必须遵守的外部法规, 但也包括企业用于管理风险和威胁的内部指导. 这进一步保护了超出法规要求的业务. 以PCI-DSS为例 (支付卡行业数据安全标准) 对银行实施有关使用加密保护支付和信用卡数据的规定. 银行的内部治理可以更进一步，通过编写要求对公司网络上的所有数据进行加密的策略. 现在，银行不仅在保护支付数据, 但它的所有数据——从而进一步降低了其他关键业务信息被拦截的风险.

风险管理 涉及预测和管理可能阻碍组织在不确定性下可靠地实现其目标的风险.

---

---

说到风险管理, 对于企业来说，评估其潜在网络安全风险的概率和潜在影响是一个很好的起点. 这样做, 对于企业来说，识别数据非常重要, 设备, 系统, 以及帮助它实现目标的设施, 同时也要确定是谁干的. 这包括盘点设备、系统、软件、固件等.; identifying mission-critical objectives; identifying 程序 and security policies; and then performing a 风险 assessment and determining a 风险管理 plan. 有可靠的风险管理框架来支持公司的评估过程. 一个很好的例子是 NIST网络安全框架.

合规 是否遵守规定的界限(法律法规)和自愿的界限(公司政策), 程序, 等.).

本质上, 遵从性是确保业务遵循由治理和法规概述的控制目标的过程. 它可以包括测试(渗透测试或内部测试)，以确保(如在银行示例中)所有数据都是加密的. 它还提供文档或证据，证明企业正在用行动支持其声明的策略.

这很重要，因为在一些规则中 ISO 27001, SOC2, or U.S. 国防部网络安全成熟度模型认证-外部审计人员将核实企业是否按照政策规定行事.

SM7通讯 保持警惕，保持更新 找出你的7大安全新闻文章， 每周发送到您的收件箱. 报名

这个过程很重要，因为如果有人错误配置了设备，并且没有加密, 可能会出现漏洞. 在这种情况下，银行必须向法院证明自己没有疏忽. 欧洲央行需要通过政策来证明这一点, 测试, 并审计该公司确实采取了措施防止违规. 遵从性有助于证明业务不是鲁莽的. 显然，如果被发现疏忽，企业将支付的罚款或处罚将是许多倍.

监管 管理是由政府行政机构在特定的责任范围内被授予监督和执行适当行为的权力(通过法规或规则)吗.

法规(以及立法或拟议的法规)是企业被授权去做的事情. 规章有三种基本形式:合同、法定和规章. 这取决于公司经营的业务类型, 与其他公司相比，它将承担更多或更少的监管义务. 例如, 连锁咖啡店要比医院承担的监管义务少得多, 银行, 或者政府承包商.

最后，企业必须遵守规定——最低要求. 其目的应该是采取这些最低要求，并制定政策，并从中提取控制目标. 法规往往是政策的起点.

风险与威胁

风险和威胁是另外两个经常互换使用的术语，因此是不正确的. 为了更好地理解这些术语, 考虑到你有一项你想要保护的资产, 像所有资产一样, 它有一个弱点. 有了漏洞，就存在 威胁 有人会利用这个弱点. 威胁的严重程度取决于有人利用该漏洞的可能性. 的 风险 如果威胁确实发生或漏洞被利用，资产对业务的潜在影响或损失是什么.    

韦恩Dorris, CISSP, 是Axis Communications的网络安全业务发展经理，并在安全行业协会的网络安全咨询委员会任职.