编者按：“小洞不补，大洞吃苦”，虽然企业已经开始重视漏洞管理，但其紧迫性仍然不言而喻。

　　在排山倒海的洪峰和毫不起眼的管涌中，你更害怕什么？可能更多人害怕后者。没错，因为洪峰不会从天而降且可以预见，但堤坝上一个逐渐渗水的管涌口，会悄悄掏空堤坝，最终酿成大祸。企业的信息安全防线就像一堵防洪大坝，一方面新的病毒、新的攻击手段层出不穷，冲击着这座堤坝，一方面企业不断添置硬件和软件系统，如果不能主动找出可能出现的安全漏洞，并提前防范，任何看似固若金汤的安全系统都会变成“马其诺防线”。

　　虽然对漏洞的危害性，企业信息安全人员都心知肚明，但对于一个拥有各种不同品牌的硬件、不同操作系统、不同应用软件的企业来说，即使穷尽IT部门的精力来“捉虫”恐怕都捉不尽。根据美国计算机紧急响应小组协调中心（CERT/CC）的调查结果，计算机突发事件和漏洞数量正在不断增长，平均每天公布的漏洞数量在40个以上，随着发现漏洞数量的增长，系统受到攻击的可能性以及相关费用也在不断增加。因此，一个自动化、集成化、全局性的漏洞管理系统对企业就显得十分必要了。

智能查缺

　　“企业应该把风险管理放在IT系统建设的首位。” 国际著名的信息安全专家，Foundstone公司（Foundstone,Inc.）首席执行官（CEO）乔治·库尔茨（George Kurtz）在接受本刊越洋电话采访时开宗明义，“首先要做的是把系统中危险的地方查出来。”库尔茨是《黑客大曝光》（Hacking Exposed）一书的作者之一，该书在美国被奉为“信息安全界的圣经”，号称“信息安全第一书”。

　　库尔茨在他的安全咨询职业生涯中完成了数百个防火墙、网络和与电子商务相关的安全评估。2004年，Foundstone公司被McAfee公司（McAfee,Inc.）以8,600万美元收购。

　　虽然很多企业已经采用了各种网络安全漏洞的检测工具，但是对如何确定哪些漏洞更严重，如何去堵住这些漏洞，往往仍然束手无策。企业真正需要的是一个能提供持续性的网络安全漏洞评估管理系统，对于漏洞能查出、能分析、能堵住。群柏数码科技有限公司市场总监王慧说：“企业内一个废弃的路由器上不经意连着网络的网口，都很有可能成为攻击的入口。”

　　管理软件厂商美国Altiris公司（Altiris,Inc.）大中华区销售总监冯国兴说：“企业进行漏洞评估的内容应该包括防病毒软件的状态、安全补丁的状态、业界皆知的漏洞、个人防火墙的状态、系统安全配置的设定、未授权软件和未授权硬件这七大领域。”

　　库尔茨的方法是“知己知彼，百战不殆”，就是用仿真黑客攻击的手法来检测公司的网络是否有不正确的设定与危险的漏洞，同时提供完整的管理机制，以方便管理者追踪、记录、验证漏洞评估管理成效，同时通过量化的报表来真实地反映网络安全问题。如Foundstone公司的弱点评估管理系统就是仿真黑客的行为模式，协助企业找出暴露在互联网上的每一部主机、网络服务，以及相关信息与漏洞，用黑客的方法检查一个企业的网络架构，了解整个网络架构的变动状况。