2)漏洞評估

漏洞評估道德概念要大于漏洞掃描，涵蓋更多的東西。例如漏洞評估不僅分析目前系統(tǒng)的掃描結(jié)果，還要分析之前的漏洞掃描報(bào)告，以確定組織機(jī)構(gòu)是否已經(jīng)執(zhí)行了漏洞修復(fù)工作，如果漏洞掃描報(bào)告上存在之前已經(jīng)發(fā)現(xiàn)但未修補(bǔ)的漏洞，安全運(yùn)維人員就需要關(guān)注此漏洞未被修補(bǔ)的原因。是否由于工作落實(shí)問題導(dǎo)致補(bǔ)丁安裝工作未被落實(shí)，如果是這種情況， 安全運(yùn)維人員需上報(bào)高層并關(guān)注落實(shí)情況。而如果是其他原因，例如由于系統(tǒng)兼容性問題， 此漏洞補(bǔ)丁無法安裝，那么安全運(yùn)維人員需要評估漏洞存在的安全風(fēng)險(xiǎn)并給出進(jìn)一步的防護(hù)措施，包括其他技術(shù)措施或管理措施。

漏洞評估還檢測其他領(lǐng)域，以確定風(fēng)險(xiǎn)。例如，漏洞評估通過檢測敏感信息在整個(gè)生命周期中如何被標(biāo)記、處理、存儲和銷毀，來解決潛在風(fēng)險(xiǎn)。 .