風險計算與風險管理五大原則

弱點(Vulnerability) 是安全上最根本的問題點，在紅色警戒(Code Red)與疾風事件中，只要不把它所利用的弱點，安裝修補起來，就會被再次的感染與利用，這是近幾年來新型的蠕蟲崛起問題。然而弱點已不是新問題，在一開始有電腦時，就已經存在了這個問題，由於網路的發達，它所帶來的便利也讓使用的人數大幅的增加，一些惡意的使用者，也是會在網路上流竄，一但發現了使用者系統上的弱點，就會利用這個弱點進行攻擊，輕者將使用者網站掛掉，嚴重的話會取得使用者的權限或是安裝木馬在使用者的系統。

惡意的使用者會使用的手法，是一在的推成出新，像是蠕蟲、惡意的電子郵件、惡意的網站....等等。多到讓使用者無法對這些惡意使用者手法一一過濾，縱使做一些濾掉動作，也只能治標無法根本的解決問題。網路安全根本解決之道，就是徹底瞭解網路環境中，有多少的弱點? 弱點在哪裡? 弱點風險有多高? 做好管理與修補。

安全弱點計算分析:

弱點風險 = 數位資料重要性(資產等級) + 受攻擊可能性(威脅等級) + 攻擊難易度(脆弱等級)
資產等級:
數位資產所具備的等級，是依照環境中數位資料重要性來區分等級，越重要等級越高，例如網路銀行對於客戶數位資料，是屬於重要的數位資產，它的資產等級屬於較高等級。
威脅等級:
威脅等級是依照弱點所具備攻擊條件，帶來的攻擊可能性作為區分等級，受到攻擊可能性越大等級越高，例如網路銀行交易時，每個用戶都具備權限，才可以進行交易動作，當弱點所具備攻擊條件是必須要有使用權限才可以做竄改資料動作時，除非先取得權限，否則無法利用這個弱點，去竄改資料，它的威脅等級屬於中等級。
脆弱等級:
脆弱等級是依照弱點在進行攻擊時的難易度，作為區分等級的方式，越容易攻擊脆弱程度越高，例如已具備網路銀行權限，在進行資料竄改時，只需很簡單動作，就可以去做資料變更動作時，它的脆弱等級屬於高等級。

安全弱點風險管理

瞭解整體環境中存有多少弱點與分佈狀況:
弱點風險管理第一步是瞭解網路環境中，總共有多少的弱點，與弱點在哪裡，因為網路環境中所存在的弱點不會只有一個，瞭解整體弱點存在狀況，才可以正確做好弱點風險管理。
瞭解每個弱點風險，去評估整體風險狀況:
弱點風險管理第二步是評估每一個弱點的風險等級，計算整體的風險狀況，整體風險狀況是幫助我們瞭解目前整體環境，它存在風險有多少，瞭解了整體弱點風險，到此就可以評估出網路弱點實際安全狀況。
瞭解弱點存在類別，去評估需要特別加強弱點類型的維護:
弱點風險管理第三步是瞭解弱點的類別，藉由弱點的類別，可以很清楚知道，哪些種類的弱點，是整體環境中特別多，與需要加強防護。
瞭解每台電腦弱點存在狀況:
弱點風險管理第四步是瞭解每一台電腦中存在多少的弱點，藉由這個瞭解可以知道哪些電腦是需要加強防護。
安全修補的重點:
弱點風險管理第五步是建立修補機制，在瞭解了整體狀況之後，可依循輕重緩急的原則，先將特定的弱點類別與電腦先行做修補的動作，將環境中高風險族群控制住，接著建立定期檢查與修補維護機制，因為弱點是會不斷的被發現，唯有定期瞭解與修補，弱點風險才可以控制到一定的安全基準中。

DragonSoft Secure Scanner 安全風險管理- [DSS進階實例分析]

網路分佈表:藉由網路系統、主機、風險、弱點分佈狀況，瞭解整體安全分佈狀況。
風險分佈圖:藉由整體風險狀況，做第一步整體安全風險評估。
弱點分佈圖:藉由弱點分佈位址，評估需要加強的部份。
弱點類型分佈圖:藉由弱點類型狀況，評估需要加強管理的弱點類型。
通訊埠分佈圖:藉由通訊埠使用狀況，評估需要加強管理的通訊埠。