|
對企業(yè)而言����,執(zhí)行信息安全漏洞分析是一項(xiàng)非常有利的操作����,但它很少被正確執(zhí)行��。首先��,企業(yè)必須先了解執(zhí)行信息安全漏洞分析的目的����,然后才能進(jìn)一步證明它是有用的。網(wǎng)絡(luò)漏洞分析是根據(jù)已證明的標(biāo)準(zhǔn)來審查網(wǎng)絡(luò)���,從而確定哪些關(guān)鍵區(qū)域需要改進(jìn)����。
企業(yè)應(yīng)使用網(wǎng)絡(luò)安全漏洞分析來查找其網(wǎng)絡(luò)上的漏洞��,同時(shí)幫助發(fā)現(xiàn)需要注意的地方��。安全小組可能���、或不可能已經(jīng)認(rèn)識(shí)到被發(fā)現(xiàn)的漏洞�,但該過程(指進(jìn)行安全漏洞分析)為發(fā)現(xiàn)和解決網(wǎng)絡(luò)安全問題提供了一個(gè)機(jī)會(huì),并以最小的工作量去修補(bǔ)問題�����;同時(shí)��,它以一個(gè)正式的方式為高層管理人員展現(xiàn)了更多復(fù)雜的�、突出的問題�。
當(dāng)執(zhí)行網(wǎng)絡(luò)漏洞分析時(shí),企業(yè)需要一個(gè)基準(zhǔn)去比較其各個(gè)環(huán)境���,常用基準(zhǔn)是一個(gè)或多個(gè)組織或行業(yè)的標(biāo)準(zhǔn)或法規(guī)�����,F(xiàn)在有很多這樣的框架�����,其中的一些是規(guī)定�,比如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)����,而其他的則是關(guān)于如何運(yùn)用標(biāo)準(zhǔn)和最佳業(yè)務(wù)實(shí)踐的好例子���,比如來自美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的內(nèi)容。很少有企業(yè)能夠完全徹底地符合任何標(biāo)準(zhǔn)�����,應(yīng)該利用在分析中所發(fā)現(xiàn)的漏洞��,以確定需要解決的領(lǐng)域和日后需要重點(diǎn)關(guān)注的地方�。如果選擇的框架并不涵蓋一切需要,企業(yè)可以結(jié)合不同標(biāo)準(zhǔn)的其他方面來創(chuàng)建一個(gè)初始的基準(zhǔn)��。根據(jù)你的行業(yè)和你的環(huán)境����,很難找到一個(gè)框架將完全滿足你的所有需求。使用一個(gè)標(biāo)準(zhǔn)為基準(zhǔn)�����,連同其他不同的基準(zhǔn)控制是完全正常的�����。管理員必須自己判斷他們應(yīng)該在分析中輸入什么內(nèi)容。大多數(shù)框架將非常有效�����,但這取決于你最后所決定的框架的最終樣子��。這是一個(gè)頗具權(quán)威的起點(diǎn)�,但企業(yè)還是應(yīng)該選擇適合自己獨(dú)特標(biāo)準(zhǔn)和業(yè)務(wù)目標(biāo)的控制。這并不意味著不能改變�,但在你的分析開始之前,你應(yīng)該試試并確定你的框架����。
一個(gè)漏洞分析可劃分為四個(gè)主要領(lǐng)域:政策和程序����,審計(jì),技術(shù)審查和調(diào)查結(jié)果/優(yōu)先級(jí)匯總����。上述四個(gè)階段進(jìn)行如下。
信息安全漏洞分析第1步:政策和程序
在這個(gè)初始階段���,企業(yè)需根據(jù)其網(wǎng)絡(luò)安全策略審查應(yīng)用于網(wǎng)絡(luò)的所有書面或電子形式的程序���。更糟的是網(wǎng)絡(luò)文件共享中的陳舊政策��,它們未被修訂和使用����。移除不需要的�����,更新當(dāng)前的�����,刪除舊的�����,同時(shí)以書面形式添加任何新的政策��。如果網(wǎng)絡(luò)安全政策沒有被定期審核�,那么對企業(yè)來說它們就絕對是無用的。
這樣的例子是顯而易見的��,比如當(dāng)你網(wǎng)絡(luò)上的防火墻改變時(shí)�。改變時(shí)�,你的策略是什么���?誰可以對你網(wǎng)絡(luò)上的防火墻進(jìn)行更改�?企業(yè)需要注意的政策的要求更換�;管理需要理解審批程序,而管理員需要有標(biāo)準(zhǔn)作業(yè)程序來合理地完成變化�。
信息安全漏洞分析第2步:審計(jì)
漏洞分析的第二階段是審計(jì),其中包括審查帶有不斷更新政策和程序的框架��。此外����,通過運(yùn)用框架標(biāo)準(zhǔn),驗(yàn)證企業(yè)是否遵循自己的政策��。分析不僅是一個(gè)技術(shù)問題����,而是一個(gè)人的問題�。例如,工程師們需要注意當(dāng)改變防火墻時(shí)要遵循的政策����,他們必須輸入適當(dāng)?shù)淖兏芾砥辈彶椤?br />
例如��,當(dāng)審計(jì)防火墻上開放的端口時(shí)�����,企業(yè)應(yīng)該能夠?yàn)槊總(gè)端口顯示所有適當(dāng)?shù)淖兏刂破保╟hangecontrol tickets)�。當(dāng)防火墻里的一個(gè)空穴沒有變更控制時(shí)����,這就是一個(gè)漏洞,在技術(shù)和程序上都需要填補(bǔ)��。選定的框架所協(xié)助的端口應(yīng)該是開放的����,然后考慮到框架,通過審查網(wǎng)絡(luò)�����,企業(yè)可以得出結(jié)論�,看是否有漏洞需要修補(bǔ)。還是用防火墻的例子��,如果入站防火墻中的端口3389被打開了�,首先要確定應(yīng)對這種變化的合適的變更控制���。這有助于審計(jì)程序。接著�����,使用選定的框架再進(jìn)一步審查���,并確定這個(gè)入站端口被打開是安全漏洞還是違反企業(yè)標(biāo)準(zhǔn)�����。這就是如何將審計(jì)程序和政策框架聯(lián)系在一起����。
信息安全漏洞分析第3步:技術(shù)審查
漏洞分析的第三個(gè)階段是網(wǎng)絡(luò)的技術(shù)審查����。這個(gè)階段與審計(jì)階段是緊密結(jié)合的����,但比起政策和程序,它更依賴于框架�����。在審計(jì)階段,企業(yè)需要政策和程序����,并針對它們應(yīng)用框架以確保符合新的標(biāo)準(zhǔn)。在技術(shù)審查階段����,企業(yè)驗(yàn)證其技術(shù)基礎(chǔ)設(shè)施是否是最新的架構(gòu),并考察系統(tǒng)安全的粒度級(jí)別�。在網(wǎng)絡(luò)上應(yīng)用框架,以確定框架是否符合標(biāo)準(zhǔn)�����。例如�����,如果一個(gè)框架的狀態(tài)是IPS被安裝在出站過濾防火墻上��,企業(yè)應(yīng)驗(yàn)證這樣是否正確�。如果不正確,企業(yè)需要用技術(shù)來填補(bǔ)這些在其網(wǎng)絡(luò)上的漏洞。
這是為了驗(yàn)證相應(yīng)的技術(shù)控制是否到位��。最終這又與審計(jì)聯(lián)系到一起���,但框架必須首先達(dá)到標(biāo)準(zhǔn)����。問問這樣的問題:企業(yè)在所有的服務(wù)器上都使用了殺毒軟件嗎�����?是否有漏洞管理�?在數(shù)據(jù)庫上使用了加密嗎?這些都是一些控制例子�����,用于比較框架是否落實(shí)到位��。這為企業(yè)提供了清晰的了解�����,并使企業(yè)可以掌握哪些地方累加了當(dāng)前的標(biāo)準(zhǔn)�。
信息安全漏洞分析第4步:結(jié)果和優(yōu)先級(jí)匯總
最后,第四階段是審查結(jié)果和新任務(wù)的優(yōu)先次序��。這個(gè)階段中�����,企業(yè)要審查其他階段的結(jié)果��,評價(jià)發(fā)現(xiàn)了什么�,并安排任務(wù)來修復(fù)漏洞。包括與管理人員見面��、訪問需要的任何人����,以獲取更多信息。還包括解決政策和程序中的漏洞��,討論需立即進(jìn)行的可能修復(fù)��、以及為滿足現(xiàn)有基準(zhǔn)在技術(shù)上需要什么到位�����。
適當(dāng)?shù)膬?yōu)先級(jí)也應(yīng)該出現(xiàn)在所有這些階段��。為消除這些漏洞,這個(gè)領(lǐng)域需要討論和解決���。最后����,企業(yè)應(yīng)定期運(yùn)行漏洞分析�����,從而確保它不會(huì)倒退�����、或回到過去的壞習(xí)慣��。應(yīng)該有一個(gè)關(guān)于需要改進(jìn)的地方的運(yùn)行列表����。這個(gè)列表可以由審計(jì)團(tuán)隊(duì)編寫,當(dāng)他們在計(jì)劃的漏洞分析間做現(xiàn)場審計(jì)時(shí)�。一旦發(fā)現(xiàn)異常,應(yīng)審查特定區(qū)域的框架����。企業(yè)的目標(biāo)是擁有一個(gè)始終如一的一致性框架����,而不是每年都需要清理���。當(dāng)這些問題被發(fā)現(xiàn),應(yīng)立即修復(fù)或引起高層管理人員的注意����。
結(jié)論
請記住,進(jìn)行網(wǎng)絡(luò)安全漏洞分析并不是一件容易的事情���,它可能需要很長的時(shí)間去符合企業(yè)的選定框架標(biāo)準(zhǔn)�。進(jìn)行分析時(shí)���,企業(yè)可能會(huì)有一些令人不快的發(fā)現(xiàn)(如發(fā)現(xiàn)很多漏洞)���,但這正是進(jìn)行分析的目的。最終的目標(biāo)是�����,保護(hù)企業(yè)免受那些故意傷害��,這意味著,企業(yè)需要在攻擊者發(fā)現(xiàn)之前發(fā)現(xiàn)那些問題�。
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)�����!虛擬主機(jī)域名注冊頂級(jí)提供商���!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
