说到网络安全, 有许多术语和概念对物理安全专业人员和IT专业人员都是有益的. 通常，这些术语被错误地使用或互换，这可能会造成混淆.

漏洞vs漏洞vs后门

最容易混淆的三个术语是漏洞、利用和后门. 每一个术语都有其明显不同的定义和目的.

赞助 通过连接数以万亿计的点来保护你的知识产权 Strider结合了开源数据, 专有风险方法, 以及主题专业知识，为组织提供对策略的直接可见性, 技术, 以及导致国家支持的知识产权盗窃的程序. 读文章

A 脆弱性 是系统的缺陷吗, 或者在系统中的某些软件中, 这可能为攻击者提供一种绕过主机操作系统或软件本身的安全基础设施的方法. 这不是一扇敞开的门，而是一个弱点，如果受到攻击，可能会提供一条进入的途径. 所有软件都有缺陷或漏洞，这些缺陷或漏洞通常会随着时间的推移而被发现. 软件公司的内部测试通常会在发布之前消除所有这些问题, 但是要在每个不同的网络和系统集成中测试软件是不可能的.

---

漏洞扫描并不意味着该漏洞已被利用.

---

一旦攻击者在软件代码或系统中发现了漏洞，他们就会被攻击 利用 是通过煞费苦心地找出如何利用该漏洞进行恶意行为来实现的吗. 利用是试图将漏洞(弱点)转化为破坏系统的实际方法的行为. 漏洞可以被“利用”，将其变成攻击系统的可行方法.

将软件漏洞转化为漏洞利用是很困难的. 谷歌, 例如, 奖励发现Chrome网络浏览器漏洞的安全研究人员. 谷歌支付的薪酬在500美元到3000美元之间. 不过，它也会举办竞赛，让安全专家展示被利用的漏洞. 这些专家因为他们的工作获得了更高的报酬——高达6万美元. 支付金额的差异反映了试图利用漏洞的任务的规模.

---

---

后门 设备管理功能的入口是否经常出现, 由代码开发人员故意放置在那里. 这在代码开发中很常见，因为很难预测添加新代码或特性时会发生什么. 如果在开发过程中出现问题, 后门允许开发人员重新进入代码或设备. 然后，在代码发布给客户使用之前，通常会从代码中删除后门.

漏洞扫描与渗透测试

与上述术语一样，与网络安全相关的评估或测试经常被混淆. 最常见的两种是漏洞扫描和渗透测试(也称为渗透测试或pentest)。.

A 漏洞扫描 是一种自动化的高级测试，用于查找和报告潜在的或已知的漏洞. 相比之下， 渗透测试 是一个详细的, 由一个真实的人进行的实际检查，他试图检测和利用您系统中的弱点.

赞助 为学校提供轻松的云视频监控 Milestone Kite™是学校理想的即插即用云解决方案. 了解它如何使分析更先进, 云交付的虚拟机是现实的, 负担得起的, 和功能丰富的选项. 了解更多

漏洞扫描是将已知漏洞与产品当前软件/固件版本和配置进行比较的及时快照. 漏洞扫描并不意味着该漏洞已被利用. 此外，漏洞扫描无法预测未来的漏洞. 因为他们只是扫描设备寻找文档, 它们不是任何整体系统安全性的证明，应该继续跟进.

治理、风险管理、遵从性和法规

治理, 风险管理, 及遵从性(GRC), 伴随着监管, 是否所有密切相关的概念都旨在确保组织可靠地实现目标, 地址不确定性, 正直行事. 

治理 由董事(或董事会)建立和执行的过程的组合是否反映在组织的结构中，以及它是如何管理和引导实现目标的.

---

归根结底，企业必须遵守法规——这是最低要求.

---

治理不仅包括企业必须遵守的外部法规, 但也包括企业自身管理风险和威胁的内部指导. 这进一步保护了超出法规要求的业务. 例如PCI-DSS (支付卡行业数据安全标准) 对银行使用加密来保护支付和信用卡数据施加规定. 银行的内部治理可以更进一步，制定一项政策，要求对公司网络上的所有数据进行加密. 现在银行不仅保护支付数据, 但是它的所有数据——因此进一步降低了其他关键业务信息被截获的风险.

风险管理 包括预测和管理在不确定情况下可能阻碍组织可靠地实现其目标的风险.

---

---

在风险管理方面, 对于企业来说，一个很好的起点是根据其可能性和潜在影响来评估其潜在的网络安全风险. 这样做的时候, 对于企业来说，识别数据非常重要, 设备, 系统, 以及帮助它实现目标的设施, 以及找出谁对他们负责. 这包括盘点设备、系统、软件、固件等.; identifying mission-critical objectives; identifying 程序 and security policies; and then performing a 风险 assessment and determining a 风险管理 plan. 有坚实的风险管理框架存在，以支持公司的评估过程. 一个很好的例子是 NIST网络安全框架.

合规 是否遵守强制边界(法律和法规)和自愿边界(公司政策), 程序, 等.).

本质上, 遵从性是确保业务遵守由治理和法规概述的控制目标的过程. 它可以由测试(渗透测试或内部测试)组成，以确保(就像在银行示例中一样)所有数据都是加密的. 它还提供文档或证明，证明企业正在用行动支持其声明的策略.

这很重要，因为在一些法规中 ISO 27001, SOC2, or U.S. 国防部网络安全成熟度模型认证-外部审计员将核实企业是否按照政策要求行事.

SM7通讯 保持警惕，保持更新 找出你最喜欢的7篇安全新闻文章， 每周发送到您的收件箱. 报名

这个过程很重要，因为如果有人错误配置了设备，而设备没有加密, 可能会发生违约. 在这种情况下，银行必须向法院证明它没有过失. 世行需要通过政策来证明, 测试, 审计表明，该企业确实采取了防止违规的措施. 合规有助于证明该公司并非鲁莽行事. 显然，如果被认定为疏忽，企业将支付的罚款或处罚将多出许多倍.

监管 政府行政机构是否有权在特定的责任范围内通过规章制度监督和执行适当的行为.

法规(以及立法或拟议的法规)是企业被授权要做的事情. 规章制度有三种基本形式:合同、法定和规章制度. 这取决于公司经营的业务类型, 与其他公司相比，它将承担或多或少的监管义务. 例如, 与医院相比，连锁咖啡店的监管义务要少得多, 银行, 或者是政府承包商.

归根结底，企业必须遵守法规——这是最低要求. 目的应该是获取这些最低要求，并创建策略，并从中提取控制目标. 法规往往是政策的起点.

风险与威胁

风险和威胁是另外两个经常互换使用的术语，因此是不正确的. 为了更好地理解这些术语, 考虑一下你有一项资产你想要保护它, 像所有资产一样, 它有一个漏洞. 对于漏洞，存在 威胁 有人会利用这个弱点. 威胁的严重程度取决于有人利用该漏洞的可能性. 的 风险 如果威胁确实发生或漏洞被利用，对企业的资产是否有潜在的影响或损失.    

韦恩Dorris, CISSP, 是安讯士通信公司的网络安全业务开发经理，并在安全行业协会的网络安全顾问委员会任职.