与去年同期相比，尽管今年的安全事件数量降低了，然而引发损失的恶性事件数量却有所增多，受到安全事件影响的公司比例也随之提高。

在2017过去的大半年中，企业安全团队可谓忙得焦头烂额。5月12日爆发的WannaCry病毒，以及6月爆发的Petya、NotPetya攻击昭示了攻击规模的急剧增大。某些政府开发的攻击软件的泄露更是让黑客们如虎添翼。

IT行业通过发布安全补丁和更新勉强跟上对手的步伐，但由于物联网等新技术的应用，IT行业不得不应对层出不穷的新漏洞。

为了能够强有力地处理可能影响业务的数据安全问题，您必须了解三个核心要素的关系和区别——威胁、漏洞和风险。

目前，许多安全术语在热门科技新闻中几乎可以相互替换地使用，但实际上他们是不可替换的。不同的安全行话具有独特的的含义，并以特定方式来使用。例如，“风险评估”和“威胁评估”是指两种完全不同的事情，并且他们都因其自身原因及适用于解决不同的问题而具有价值。

威胁

所谓“威胁”是指特定类型攻击的来源和手段，通常是指新型或新发现的事故，这类事故有可能危害系统或您的整个组织。

漏洞

无论品牌、型号或版本如何，系统中都存在漏洞。漏洞一词暴露了硬件和软件方面的潜在弱点。在应用程序中，制造商通常可以修补该漏洞，以强化和防止利用该漏洞。未经授权的访问可能是有人利用漏洞的一个例子。系统应该只允许授权访问，如果未经授权的人被授予访问权限，则会违反 IT 安全并绕过访问控制。

风险

当谈到风险时，组织正在关注可能对系统和整个业务造成潜在危害的因素。易受 IT 风险影响的几个系统示例包括网络钓鱼攻击、操作系统和敏感数据。组织不遗余力地减轻、转移、接受和避免风险。风险评估通常是降低安全风险的第一道防线。为了更好地为不可避免的风险做好准备，有必要进行评估，以确定攻击面的基线。组织应该投资于风险管理计划，以便更好地了解如何衡量风险。在计算可以减轻或避免的风险时，业务和安全领导从根本上试图解决真正的风险。

结论

威胁、漏洞和风险各不相同。组织在这三个方面都花费了大量资源，许多人不了解它们之间的区别。威胁通常涉及旨在销毁数据、造成伤害或中断操作的恶意行为。在网络安全中，威胁通常由勒索软件、病毒、拒绝服务攻击和数据泄露组成。漏洞是系统中的缺陷，使其容易受到潜在的攻击。漏洞背后的主要问题与使系统面临威胁的弱点有关。风险表示与组织内的系统和系统使用相关的潜在危害。在网络安全方面，威胁、漏洞和风险各不相同，往往相互关联。