當前位置：首頁 > 全部 > 維護知識

網(wǎng)站維護知識：企業(yè)網(wǎng)絡(luò)信息安全操作四步驟

　　對企業(yè)而言，執(zhí)行信息安全漏洞分析是一項非常有利的操作，但它很少被正確執(zhí)行。首先，企業(yè)必須先了解執(zhí)行信息安全漏洞分析的目的，然后才能進一步證明它是有用的。網(wǎng)絡(luò)漏洞分析是根據(jù)已證明的標準來審查網(wǎng)絡(luò)，從而確定哪些關(guān)鍵區(qū)域需要改進。

　　企業(yè)應(yīng)使用網(wǎng)絡(luò)安全漏洞分析來查找其網(wǎng)絡(luò)上的漏洞，同時幫助發(fā)現(xiàn)需要注意的地方。安全小組可能、或不可能已經(jīng)認識到被發(fā)現(xiàn)的漏洞，但該過程(指進行安全漏洞分析)為發(fā)現(xiàn)和解決網(wǎng)絡(luò)安全問題提供了一個機會，并以最小的工作量去修補問題；同時，它以一個正式的方式為高層管理人員展現(xiàn)了更多復(fù)雜的、突出的問題。

　　當執(zhí)行網(wǎng)絡(luò)漏洞分析時，企業(yè)需要一個基準去比較其各個環(huán)境，常用基準是一個或多個組織或行業(yè)的標準或法規(guī)�，F(xiàn)在有很多這樣的框架，其中的一些是規(guī)定，比如支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)，而其他的則是關(guān)于如何運用標準和最佳業(yè)務(wù)實踐的好例子，比如來自美國國家標準與技術(shù)研究院(NIST)的內(nèi)容。很少有企業(yè)能夠完全徹底地符合任何標準，應(yīng)該利用在分析中所發(fā)現(xiàn)的漏洞，以確定需要解決的領(lǐng)域和日后需要重點關(guān)注的地方。如果選擇的框架并不涵蓋一切需要，企業(yè)可以結(jié)合不同標準的其他方面來創(chuàng)建一個初始的基準。根據(jù)你的行業(yè)和你的環(huán)境，很難找到一個框架將完全滿足你的所有需求。使用一個標準為基準，連同其他不同的基準控制是完全正常的。管理員必須自己判斷他們應(yīng)該在分析中輸入什么內(nèi)容。大多數(shù)框架將非常有效，但這取決于你最后所決定的框架的最終樣子。這是一個頗具權(quán)威的起點，但企業(yè)還是應(yīng)該選擇適合自己獨特標準和業(yè)務(wù)目標的控制。這并不意味著不能改變，但在你的分析開始之前，你應(yīng)該試試并確定你的框架。

　　一個漏洞分析可劃分為四個主要領(lǐng)域：政策和程序，審計，技術(shù)審查和調(diào)查結(jié)果/優(yōu)先級匯總。上述四個階段進行如下。

　　信息安全漏洞分析第1步：政策和程序

　　在這個初始階段，企業(yè)需根據(jù)其網(wǎng)絡(luò)安全策略審查應(yīng)用于網(wǎng)絡(luò)的所有書面或電子形式的程序。更糟的是網(wǎng)絡(luò)文件共享中的陳舊政策，它們未被修訂和使用。移除不需要的，更新當前的，刪除舊的，同時以書面形式添加任何新的政策。如果網(wǎng)絡(luò)安全政策沒有被定期審核，那么對企業(yè)來說它們就絕對是無用的。
這樣的例子是顯而易見的，比如當你網(wǎng)絡(luò)上的防火墻改變時。改變時，你的策略是什么？誰可以對你網(wǎng)絡(luò)上的防火墻進行更改？企業(yè)需要注意的政策的要求更換；管理需要理解審批程序，而管理員需要有標準作業(yè)程序來合理地完成變化。

　　信息安全漏洞分析第2步：審計

　　漏洞分析的第二階段是審計，其中包括審查帶有不斷更新政策和程序的框架。此外，通過運用框架標準，驗證企業(yè)是否遵循自己的政策。分析不僅是一個技術(shù)問題，而是一個人的問題。例如，工程師們需要注意當改變防火墻時要遵循的政策，他們必須輸入適當?shù)淖兏芾砥辈彶椤?/FONT>

　　例如，當審計防火墻上開放的端口時，企業(yè)應(yīng)該能夠為每個端口顯示所有適當?shù)淖兏刂破?changecontrol tickets)。當防火墻里的一個空穴沒有變更控制時，這就是一個漏洞，在技術(shù)和程序上都需要填補。選定的框架所協(xié)助的端口應(yīng)該是開放的，然后考慮到框架，通過審查網(wǎng)絡(luò)，企業(yè)可以得出結(jié)論，看是否有漏洞需要修補。還是用防火墻的例子，如果入站防火墻中的端口3389被打開了，首先要確定應(yīng)對這種變化的合適的變更控制。這有助于審計程序。接著，使用選定的框架再進一步審查，并確定這個入站端口被打開是安全漏洞還是違反企業(yè)標準。這就是如何將審計程序和政策框架聯(lián)系在一起。

　　信息安全漏洞分析第3步：技術(shù)審查

　　漏洞分析的第三個階段是網(wǎng)絡(luò)的技術(shù)審查。這個階段與審計階段是緊密結(jié)合的，但比起政策和程序，它更依賴于框架。在審計階段，企業(yè)需要政策和程序，并針對它們應(yīng)用框架以確保符合新的標準。在技術(shù)審查階段，企業(yè)驗證其技術(shù)基礎(chǔ)設(shè)施是否是最新的架構(gòu)，并考察系統(tǒng)安全的粒度級別。在網(wǎng)絡(luò)上應(yīng)用框架，以確定框架是否符合標準。例如，如果一個框架的狀態(tài)是IPS被安裝在出站過濾防火墻上，企業(yè)應(yīng)驗證這樣是否正確。如果不正確，企業(yè)需要用技術(shù)來填補這些在其網(wǎng)絡(luò)上的漏洞。

　　這是為了驗證相應(yīng)的技術(shù)控制是否到位。最終這又與審計聯(lián)系到一起，但框架必須首先達到標準。問問這樣的問題：企業(yè)在所有的服務(wù)器上都使用了殺毒軟件嗎？是否有漏洞管理？在數(shù)據(jù)庫上使用了加密嗎？這些都是一些控制例子，用于比較框架是否落實到位。這為企業(yè)提供了清晰的了解，并使企業(yè)可以掌握哪些地方累加了當前的標準。

　　信息安全漏洞分析第4步：結(jié)果和優(yōu)先級匯總

　　最后，第四階段是審查結(jié)果和新任務(wù)的優(yōu)先次序。這個階段中，企業(yè)要審查其他階段的結(jié)果，評價發(fā)現(xiàn)了什么，并安排任務(wù)來修復(fù)漏洞。包括與管理人員見面、訪問需要的任何人，以獲取更多信息。還包括解決政策和程序中的漏洞，討論需立即進行的可能修復(fù)、以及為滿足現(xiàn)有基準在技術(shù)上需要什么到位。

　　適當?shù)膬?yōu)先級也應(yīng)該出現(xiàn)在所有這些階段。為消除這些漏洞，這個領(lǐng)域需要討論和解決。最后，企業(yè)應(yīng)定期運行漏洞分析，從而確保它不會倒退、或回到過去的壞習慣。應(yīng)該有一個關(guān)于需要改進的地方的運行列表。這個列表可以由審計團隊編寫，當他們在計劃的漏洞分析間做現(xiàn)場審計時。一旦發(fā)現(xiàn)異常，應(yīng)審查特定區(qū)域的框架。企業(yè)的目標是擁有一個始終如一的一致性框架，而不是每年都需要清理。當這些問題被發(fā)現(xiàn)，應(yīng)立即修復(fù)或引起高層管理人員的注意。

　　友情提醒：進行網(wǎng)絡(luò)安全漏洞分析并不是一件容易的事情，它可能需要很長的時間去符合企業(yè)的選定框架標準。進行分析時，企業(yè)可能會有一些令人不快的發(fā)現(xiàn)(如發(fā)現(xiàn)很多漏洞)，但這正是進行分析的目的。最終的目標是，保護企業(yè)免受那些故意傷害，這意味著，企業(yè)需要在攻擊者發(fā)現(xiàn)之前發(fā)現(xiàn)那些問題。

◆電話受理中心（用戶綜合窗口）
為了給廣大客戶提供更優(yōu)質(zhì)、快捷的網(wǎng)站維護服務(wù)，在中國業(yè)界率先設(shè)立了全天候服務(wù)式的電話受理中心，并始終堅持“快速”“準確”“親切”的服務(wù)理念。走過風雨兼程的10年，我們嘗盡酸甜苦辣，但是為客戶服務(wù)的心，卻一刻也不曾停歇，為了您的歡笑，我們?nèi)詫⒗^續(xù)前行。

◆全國統(tǒng)一免費網(wǎng)站維護電話:400-670-5808（支持任何用戶撥打）郵箱：xieaijiao@cdsheji.com QQ:284888576

◆營業(yè)時間：365天·24小時，年中無休。
◆對應(yīng)業(yè)務(wù)：與網(wǎng)站維護有關(guān)的任何商談和咨詢（網(wǎng)站維護、網(wǎng)站修改、網(wǎng)頁修改、網(wǎng)站安全、網(wǎng)站殺毒、網(wǎng)站中毒、網(wǎng)站備份、網(wǎng)站恢復(fù)、網(wǎng)站備案、網(wǎng)站建設(shè)、技術(shù)咨詢、網(wǎng)站域名、網(wǎng)站空間、企業(yè)郵箱等）