如何进行全面的安全漏洞评估

现在，防御黑客和病毒的攻击已经成为一种非常难以完成的工作。保护自己的网络不受不断出现的恶意攻击的损害，维护网络安全已经成了企业里非常重要的工作。防火墙，入侵监测设备，反病毒应用和安全漏洞评估工具已经成了所有CIO们必备的武器。

不幸的是，虽然企业做了大量的工作来抵抗不断出现的攻击和技术的破坏，可由于系统和产品的安全漏洞，这些攻击工具和技术还是不断地让企业损失数以百万计的美元。

在目前的各种安全漏洞评估技术中--手动的工具、穿刺测试咨询服务（consultant penetration testing services），以及自动的、基于网络的评估--CIO们该如何从中选择适合自己企业的解决方案呢？一些专家为我们提供了全面的专家意见。

从风险评估开始
Stan Quintana是AT&T管理安全服务副总裁，他认为任何类型的企业评估都应该是基于风险的，并应该是可测量的。“基于风险的安全评估的目的在于把企业中最有价值的资产划分出来，并把这些资产所面临的所有潜在威胁和安全漏洞都找出来，”他表示。

Quintana补充道--“X价值面临X风险”--能够帮助企业决定如何投入它们宝贵的资金。

“企业常常会要求CIO提供风险模型，”Quintana解释道。“也就是对于哪些领域需要进行安全投资的评估，以及会带来什么样的后果。在评估中还需要指出是否需要一个商业连续性/灾备计划。也就是说总体规划一个全面的安全架构。”

理解你的企业的变化趋势
NCircle的产品市场总监Andrew Maguire表示，“在采购任何安全解决方案的时候，了解企业的变化趋势非常重要，因为这样会帮助你理解你的特定需求。”Ncircle是一家提供基于应用的安全漏洞管理解决方案供应商。

变化趋势通常不会被当作是一个重要的问题；如果规则实用，它就能满足基本的需求。但是随着技术成熟，规则也在变化。

Maguire举的例子是Sarbanes-Oxley Act，该公司的管理人员负责执行。“它要提高所有敏感数据的安全性。如果重要数据没有得到妥善的保护，将会给公司带来巨大的损失，而公司的管理人员甚至可能面临牢狱之灾。”

George Lekatis Inc .是一家专业的网络安全、计算机相关诉讼的公司，George Lekatis Inc.的总经理George Lekatis也强调了这一点：“CIO必须能够根据企业的技术和法律需求选择适合自己的网络安全漏洞评估方案。”

检查安全测试方法
Lekatis还认为在评审安全漏洞评估解决方案时，CIO应该了解安全测试的测试方法，比如Open Source Security Testing Methodology Manual（OSSTMM），这是一个声称被最广泛采用的、全面的安全测试方法的开放标准。

他还建议了解国家制定的标准和技术，它提供了其他的方法，比如：计算机安全资源测试系统和标准。

了解安全漏洞评估工具的优点和缺点
接下来重要的一个工作环节就是选择最好的安全漏洞评估方案。Quintana推荐根据几个重要问题来寻找最佳选择。

如果是考虑手动工具--无论是商业软件还是开放源代码软件--需要了解你的员工是否有时间和技能来正确地使用它，Quintana建议道。“接下来的问题是，如果采用了这个软件，员工是否会有意或无意地错误使用它？”

如果使用顾问，Quintana认为最重要的问题是要确保他们对企业内部的基础架构有足够的了解，并具备相应的技能。而且“他们是否值得信赖？他们是否有担保？他们的费用是不是过于低廉或者过于高昂？”

Quintana补充道，“如果是自动的，基于网络的评估，CIO应该清醒地认识到这种解决方案不如上述两种方案（手动工具和使用咨询顾问）彻底。但是如果是针对outward-facing的网络架构，而且对于它需要密切地关注，那么这种方案会非常有用。我认为衡量自动评估解决方案提供商和评估专业服务企业的标准是一样的：可靠性、职业道德水准和技能。”

但是对于某一个特定的企业是不是有一个十全十美的工具呢？不一定。

考虑工具的组合
“每一个解决方案对于每一个用户来说都不相同，”Quintana表示。“对于一个假象中的标准用户，我会建议对现有员工进行安全培训，并且由外部咨询公司进行一次详细的突破实验，大约在六个月以后，可能只需要定期对公司的网络和服务器基础架构进行扫描。”

Quintana认为这种做法可能是利用企业投资的最好方法。“培训能够积极地教育企业内的员工。外部的突破实验能够帮助企业了解目前的状况，并找到提高的方向。第二次的反复能够帮助企业确定在第一轮工作中发现的问题已经被解决了。”定期的扫描将对企业的网络和服务器保持安全戒备，他表示。

Quintana补充道：“如果是花我自己的钱，如果客户的网络架构没有运行高安全性的软件，我可能更重视外部扫描。”

了解漏洞管理
Maguire表示虽然“漏洞评估通过帮助目标系统建立对攻击的免疫能力提高了安全性，可重要的是‘企业认为他们需要的不仅仅是鉴别漏洞。’”

“漏洞管理从技术的角度把漏洞评估延伸成了一个能够确定漏洞的架构，“漏洞管理技术通过提供一个定位漏洞的架构，实现了对漏洞评估的扩展” Maguire表示。

“为了真正地对网络安全实现防患于未然，IT团队需要采取行动，清除隐患。同漏洞评估相比，漏洞管理提供了一个结构化的安全软件，预算和资源计划，以及它为基础来评估企业安全风险的级别。”

如果CIO们想要在安全漏洞管理方面进行投资，Maguire建议他们应该选择那些可升级的，能够满足企业复杂需求的解决方案。也就是说，“在不同的地点提供无缝的解决方案。”他还表示一个好的漏洞管理解决方案应该包括远程设备配置，基于角色的接入，审核，报告和纠正管理等功能。更重要的是，它应该非常易于管理，这样“IT人员就能够管理安全软件，而不是让安全软件来管理人了。”

from:techrepublic.com