漏洞分析的第三个阶段是网络的技术审查。这个阶段与审计阶段是紧密结合的,但比起政策和程序,它更依赖于框架。在审计阶段,企业需要政策和程序,并针对它们应用框架以确保符合新的标准。在技术审查阶段,企业验证其技术基础设施是否是最新的架构,并考察系统安全的粒度级别。在网络上应用框架,以确定框架是否符合标准。例如,如果一个框架的状态是IPS被安装在出站过滤防火墙上,企业应验证这样是否正确。如果不正确,企业需要用技术来填补这些在其网络上的漏洞。
这是为了验证相应的技术控制是否到位。最终这又与审计联系到一起,但框架必须首先达到标准。问问这样的问题:企业在所有的服务器上都使用了杀毒软件吗?是否有漏洞管理?在数据库上使用了加密吗?这些都是一些控制例子,用于比较框架是否落实到位。这为企业提供了清晰的了解,并使企业可以掌握哪些地方累加了当前的标准。
最后,第四阶段是审查结果和新任务的优先次序。这个阶段中,企业要审查其他阶段的结果,评价发现了什么,并安排任务来修复漏洞。包括与管理人员见面、访问需要的任何人,以获取更多信息。还包括解决政策和程序中的漏洞,讨论需立即进行的可能修复、以及为满足现有基准在技术上需要什么到位。
适当的优先级也应该出现在所有这些阶段。为消除这些漏洞,这个领域需要讨论和解决。最后,企业应定期运行漏洞分析,从而确保它不会倒退、或回到过去的坏习惯。应该有一个关于需要改进的地方的运行列表。这个列表可以由审计团队编写,当他们在计划的漏洞分析间做现场审计时。一旦发现异常,应审查特定区域的框架。企业的目标是拥有一个始终如一的一致性框架,而不是每年都需要清理。当这些问题被发现,应立即修复或引起高层管理人员的注意。
结论
请记住,进行网络安全漏洞分析并不是一件容易的事情,它可能需要很长的时间去符合企业的选定框架标准。进行分析时,企业可能会有一些令人不快的发现(如发现很多漏洞),但这正是进行分析的目的。最终的目标是,保护企业免受那些故意伤害,这意味着,企业需要在攻击者发现之前发现那些问题。
(责任编辑:闫小琪)
