信息安全漏洞分析第3步：技术审查

　　漏洞分析的第三个阶段是网络的技术审查。这个阶段与审计阶段是紧密结合的，但比起政策和程序，它更依赖于框架。在审计阶段，企业需要政策和程序，并针对它们应用框架以确保符合新的标准。在技术审查阶段，企业验证其技术基础设施是否是最新的架构，并考察系统安全的粒度级别。在网络上应用框架，以确定框架是否符合标准。例如，如果一个框架的状态是IPS被安装在出站过滤防火墙上，企业应验证这样是否正确。如果不正确，企业需要用技术来填补这些在其网络上的漏洞。

　　这是为了验证相应的技术控制是否到位。最终这又与审计联系到一起，但框架必须首先达到标准。问问这样的问题：企业在所有的服务器上都使用了杀毒软件吗?是否有漏洞管理?在数据库上使用了加密吗?这些都是一些控制例子，用于比较框架是否落实到位。这为企业提供了清晰的了解，并使企业可以掌握哪些地方累加了当前的标准。

　　信息安全漏洞分析第4步：结果和优先级汇总

　　最后，第四阶段是审查结果和新任务的优先次序。这个阶段中，企业要审查其他阶段的结果，评价发现了什么，并安排任务来修复漏洞。包括与管理人员见面、访问需要的任何人，以获取更多信息。还包括解决政策和程序中的漏洞，讨论需立即进行的可能修复、以及为满足现有基准在技术上需要什么到位。

　　适当的优先级也应该出现在所有这些阶段。为消除这些漏洞，这个领域需要讨论和解决。最后，企业应定期运行漏洞分析，从而确保它不会倒退、或回到过去的坏习惯。应该有一个关于需要改进的地方的运行列表。这个列表可以由审计团队编写，当他们在计划的漏洞分析间做现场审计时。一旦发现异常，应审查特定区域的框架。企业的目标是拥有一个始终如一的一致性框架，而不是每年都需要清理。当这些问题被发现，应立即修复或引起高层管理人员的注意。

　　结论

　　请记住，进行网络安全漏洞分析并不是一件容易的事情，它可能需要很长的时间去符合企业的选定框架标准。进行分析时，企业可能会有一些令人不快的发现(如发现很多漏洞)，但这正是进行分析的目的。最终的目标是，保护企业免受那些故意伤害，这意味着，企业需要在攻击者发现之前发现那些问题。

(责任编辑：)