对企业而言，执行信息安全漏洞分析是一项非常有利的操作，但它很少被正确执行。首先，企业必须先了解执行信息安全漏洞分析的目的，然后才能进一步证明它是有用的。网络漏洞分析是根据已证明的标准来审查网络，从而确定哪些关键区域需要改进。

　　企业应使用网络安全漏洞分析来查找其网络上的漏洞，同时帮助发现需要注意的地方。安全小组可能、或不可能已经认识到被发现的漏洞，但该过程(指进行安全漏洞分析)为发现和解决网络安全问题提供了一个机会，并以最小的工作量去修补问题;同时，它以一个正式的方式为高层管理人员展现了更多复杂的、突出的问题。

　　当执行网络漏洞分析时，企业需要一个基准去比较其各个环境，常用基准是一个或多个组织或行业的标准或法规。现在有很多这样的框架，其中的一些是规定，比如支付卡行业数据安全标准(PCI DSS)，而其他的则是关于如何运用标准和最佳业务实践的好例子，比如来自美国国家标准与技术研究院(NIST)的内容。很少有企业能够完全彻底地符合任何标准，应该利用在分析中所发现的漏洞，以确定需要解决的领域和日后需要重点关注的地方。如果选择的框架并不涵盖一切需要，企业可以结合不同标准的其他方面来创建一个初始的基准。根据你的行业和你的环境，很难找到一个框架将完全满足你的所有需求。使用一个标准为基准，连同其他不同的基准控制是完全正常的。管理员必须自己判断他们应该在分析中输入什么内容。大多数框架将非常有效，但这取决于你最后所决定的框架的最终样子。这是一个颇具权威的起点，但企业还是应该选择适合自己独特标准和业务目标的控制。这并不意味着不能改变，但在你的分析开始之前，你应该试试并确定你的框架。

　　一个漏洞分析可划分为四个主要领域：政策和程序，审计，技术审查和调查结果/优先级汇总。上述四个阶段进行如下。

　　信息安全漏洞分析第1步：政策和程序

　　在这个初始阶段，企业需根据其网络安全策略审查应用于网络的所有书面或电子形式的程序。更糟的是网络文件共享中的陈旧政策，它们未被修订和使用。移除不需要的，更新当前的，删除旧的，同时以书面形式添加任何新的政策。如果网络安全政策没有被定期审核，那么对企业来说它们就绝对是无用的。

　　这样的例子是显而易见的，比如当你网络上的防火墙改变时。改变时，你的策略是什么?谁可以对你网络上的防火墙进行更改?企业需要注意的政策的要求更换;管理需要理解审批程序，而管理员需要有标准作业程序来合理地完成变化。

　　信息安全漏洞分析第2步：审计

　　漏洞分析的第二阶段是审计，其中包括审查带有不断更新政策和程序的框架。此外，通过运用框架标准，验证企业是否遵循自己的政策。分析不仅是一个技术问题，而是一个人的问题。例如，工程师们需要注意当改变防火墙时要遵循的政策，他们必须输入适当的变更管理票并审查。

　　例如，当审计防火墙上开放的端口时，企业应该能够为每个端口显示所有适当的变更控制票(changecontrol tickets)。当防火墙里的一个空穴没有变更控制时，这就是一个漏洞，在技术和程序上都需要填补。选定的框架所协助的端口应该是开放的，然后考虑到框架，通过审查网络，企业可以得出结论，看是否有漏洞需要修补。还是用防火墙的例子，如果入站防火墙中的端口3389被打开了，首先要确定应对这种变化的合适的变更控制。这有助于审计程序。接着，使用选定的框架再进一步审查，并确定这个入站端口被打开是安全漏洞还是违反企业标准。这就是如何将审计程序和政策框架联系在一起。

(责任编辑：闫小琪)