成功执行信息安全漏洞分析的关键步骤.pdfVIP

‘ ■I—田丽唧 lr葛II ■衄 取皿 _ V 黑 L 司 1／74 H ran ，十 酒 城麓嘲 蠹 灞 努析的燕 麓鬻蠊 对 企业 而言 ，执 行信 息安 全漏 信 息安 全 漏 洞 分析 第 1步 ：政 口3389被 打 开 了 ，首先要确 定应对 洞分析 是 一项非 常 有利 的操 作 ，但 策和程 序 这 种变化 的合适 的变更控制 。这 有 它很 少被 正确执行 。首先 ，企业必须 在这个 初始 阶段 ，企业 需根据 助于 审计程 序 。接着 ，使用选定 的框 先了解 执行信 息安全漏洞分析 的 目 其 网络安全 策略审查 应用于网络 的 架再 进一步审查 ，并确 定这个入 站 的 ，然 后才 能进 一步证 明它是有用 所有书面 或 电子形式 的程序 。更糟 端 口被 打开是安全漏 洞还是违 反企 的。网络漏洞 分析是根 据 已证 明 的 的是 网络文件 共 享 中的陈 旧政策 ， 业标 准 。这就是如何 将 审计程 序和 标准 来审查 网络 ，从而确定哪 些关 它们未被 修订和使 用 。移 除不需要 政策框 架联 系在一起 。 键 区域 需要改进 。 的 ，更新 当前的 ，删除 旧 的 ，同时 以 信 息 安 全漏 洞 分析 第 3步 ：技 当执 行 网络 漏 洞 分 析 时 ，企业 书面 形 式添 加 任 何新 的政 策 。如 果 术 审 查 需要 一个 基准 去 比较 其各个 环境 ， 网络安 全政 策没 有被定 期 审核 ，那 漏 洞分析 的第 三个 阶段 是 网络 常用基 准是一 个或多个组 织或行业 么 对 企 业 来 说 它们 就 绝 对 是无 用 的技 术审查 。这个阶 段与审计阶 段 的标准或法规 。现在有很 多这样 的 的。 是紧密结合 的 ，但 比起政 策和程序 。 框架 ，其 中的一些是规定 ，比如支付 这 样 的例 子 是 显而 易 见 的 ，比 它更依赖于框架 。在 审计 阶段 ，企业 卡行业数据 安全标准 (PCIDSS)，而 如 当你 网络上 的防火墙 改变 时 。改 需要政策和程 序 ，并针对它们 应用 其他 的则是 关于如何运 用标准和最 变 时 ，你 的策略 是什么 ?谁可 以对你 框架 以确保符合新 的标准 。在技 术 佳业务实践 的好例子 ，比如来 自美 网络 上 的防火墙进行 更改?企业 需 审查阶段 ，企业验 证其技术 基础设 国国家标 准与技术研 究院 (NIST)的 要注意 的政策 的要求更换 ；管理 需 施是否是最新 的架构 ，并考 察系统 内容 。很 少有企业 能够 完全彻底 地 要理解 审批程 序 ，而管理 员需要 有 安全 的粒度级 别 。在 网络 上应用框 符合任何标 准 ，应该利 用在分析 中 标 准作业程序来合理地完成变化 。 架 ，以确定框架 是否符合标 准 。例 所发现 的漏 洞 ，以确定 需要解 决的 信息 安 全漏 洞 分 析 第 2步 ：审 如 ，如 果一个 框架 的状态 是 IPS被 领域 和 日后 需要 重点 关注 的地方 。 计 安装在 出站 过滤防火 墙上 。企业 应 如 果 选 择 的 框 架 并 不 涵 盖 一 切 需 漏洞 分析 的第 二 阶段 是 审计 ， 验证这样是否 正确 。如果 不正确 。企 要 ，企业 可 以结合 不 同标准 的其他 其 中包括 审查带 有不断更新政 策和 业 需要用技术 来填补这 些在 其 网络 方面来 创建一个初 始 的基准 。根 据 程序 的框架 。此外 ，通过运 用框 架标 上 的漏洞 。 你 的行 业和你 的环 境 ，很难找 到一 准 ，验证 企业是否遵循 自己的政策 。 这是 为 了验 证相 应 的技 术控 制 个框 架将 完全满 足 你 的所 有 需 求 。