在启用漏洞管理程序后不久，企业往往会发现自己面临着海量的网络安全漏洞数据。扫描这些结果可能让企业看到分布在各种不同的系统和应用中的数百甚至数千个漏洞。

安全专业人员应该如何解决这个风险问题?在本文中，我们将研究一种三角叉式优先级方案，其中整合了外部关键性评估、数据敏感度和现有控制环境来帮助企业成功地对漏洞进行评级，同时优化整治工作。

这种三步骤过程是假定你已经获取了关于环境中存在的网络安全漏洞的信息、由系统和应用处理的信息的敏感度以及环境中现有安全控制的状态。这些信息可能来自不同的漏洞管理程序，包括Web和网络漏洞扫描器、数据丢失防护系统和配置管理软件等。

步骤1：确定漏洞的严重程度

你首先需要的数据元素是评估你环境中存在的每个漏洞的严重程度。在很多情况下，你可以从漏洞管理工具供应商的数据feed来获取这种严重程度的信息。

这种严重程度评估应该基于一个成功的漏洞利用可能造成的潜在的损害。例如，允许攻击者获取对系统的管理访问权限的漏洞比导致拒绝服务的漏洞要严重得多。严重程度信息也可能会考虑现实世界中存在的漏洞利用;与没有已知漏洞利用的理论漏洞相比，恶意软件使用的漏洞更严重。

对于我们模型的目的，我们将假设你在使用具有5级漏洞评级系统的产品，其中，具有最高破坏性的漏洞被评为5级。

步骤2：确定数据的敏感度

漏洞带来的风险会因为包含该漏洞的系统上的信息的敏感程度而加倍。例如，与仅包含公开信息的系统相比，包含社会安全号码或者信用卡数据的系统应该得到更多的关注和更多保护。

然而，这并不意味着，企业只需要管理好包含敏感信息的系统，因为如果面向公众的网站受到攻击，你的企业将会遭受与敏感信息泄漏相同的声誉损失。不过，敏感信息的存在确实放大了攻击的影响力。

收集有关数据敏感度的信息可能会非常棘手，这取决于你的信息分类机制的成熟度。如果你才刚刚起步，你最好使用相对简单的模型，根据数据的敏感度将数据分类：

高敏感度信息即受到严格监管的信息，或者如果泄漏将对企业带来严重破坏的数据。我们信息安全机制的“御宝”包含这些数据元素：信用卡数据、受保护的医疗信息和银行账户详细信息。

内部信息是指不符合“高度敏感”类别但也不应该被公开发布的信息。此类别可能看起来过于宽泛，它也是最难定义的类别。如果你没有数据分类机制，将所有这些数据归为一类是最合适的开始方式。如果企业需要分类，可以考虑以后再细分类别。

(责任编辑：)