用戶可以使用這章內(nèi)容作為漏洞管理的十點檢查表。這些最佳實踐反映了各種安全措施要求，有效識別網(wǎng)絡(luò)上的漏洞并消除這些薄弱環(huán)節(jié)。該檢查表是一種積極計劃，在攻擊者利用用戶的網(wǎng)絡(luò)之前，刪除關(guān)鍵資源中的漏洞。

　　一、發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)

　　如果用戶不知道自己的網(wǎng)絡(luò)上有什么，就無法衡量風(fēng)險。發(fā)現(xiàn)用戶的資產(chǎn)可以幫助用戶確定最容易被攻擊的地方。網(wǎng)絡(luò)映射自動檢測所有的連網(wǎng)設(shè)備。漏洞管理給了用戶在全球范圍做全網(wǎng)絡(luò)資產(chǎn)發(fā)現(xiàn)的能力。

　　二、分類資產(chǎn)

　　多數(shù)企業(yè)有5到20大類的網(wǎng)絡(luò)資產(chǎn)，分類按照對整體業(yè)務(wù)的價值確定。資產(chǎn)對業(yè)務(wù)的價值構(gòu)成層次結(jié)構(gòu)。例如，用戶可以把關(guān)鍵數(shù)據(jù)庫、財務(wù)系統(tǒng)和重要業(yè)務(wù)資產(chǎn)放在較高的類別，高于文書臺式機、非生產(chǎn)服務(wù)器和遠程筆記本電腦。應(yīng)按商業(yè)價值對資產(chǎn)進行優(yōu)先級分類，由于對他們安全性的假定，不要給關(guān)鍵資產(chǎn)較低的類別。

　　三、檢查內(nèi)部和外部的隔離區(qū)(DMZ)

　　用戶要對網(wǎng)絡(luò)進行全面的審計。那么，要在企業(yè)的“隔離區(qū)”(DMZ或外部網(wǎng)絡(luò)邊界)和內(nèi)部系統(tǒng)執(zhí)行漏洞管理。這是實現(xiàn)最佳安全保護的唯一途徑。黑客的攻擊是狡猾的，可以以其他方式攻破用戶的網(wǎng)絡(luò)，所以要確保企業(yè)的守衛(wèi)和檢查涵蓋了一切。

　　四、進行全面掃描

　　對企業(yè)的資產(chǎn)進行全面的、準(zhǔn)確的掃描，從最重要的資產(chǎn)開始。這樣做可以讓企業(yè)對資產(chǎn)的相關(guān)風(fēng)險水平有全面了解。智能掃描能在網(wǎng)絡(luò)上快速找到漏洞-- 自動或按需。用戶可以較少地掃描較低類別的資產(chǎn)。

　　五、生成技術(shù)人員報告

　　漏洞報告必須是全面的，如何修補漏洞應(yīng)有完整的說明。定制報告是非常有用的，在需要的情況下，使技術(shù)人員能夠觀看數(shù)據(jù)，同時減少信息過載。

　　六、生成管理報表

　　使用來自掃描收集的度量數(shù)據(jù)，把網(wǎng)絡(luò)安全的狀態(tài)傳送給高層管理人員，使他們能夠了解漏洞的趨勢，安全團隊的努力能使企業(yè)的風(fēng)險最小化。使用實際性能測量來教育企業(yè)的高層管理團隊，并在保持業(yè)務(wù)連續(xù)性、降低風(fēng)險和維持安全基礎(chǔ)架構(gòu)中表現(xiàn)漏洞管理的價值。

　　七、排序修補工作

　　補丁排序開始于重要資產(chǎn)的關(guān)鍵漏洞，然后進行不太重要的資產(chǎn)。獲得習(xí)慣設(shè)定(和超越!)的性能目標(biāo)，減少網(wǎng)絡(luò)中的關(guān)鍵漏洞的數(shù)量。

　　八、跟蹤修復(fù)進展

　　自動生成的故障清單使用戶能夠跟蹤修復(fù)的每一步，并測量隨時間的進展。如果用戶是一個很大的企業(yè)，使用工單系統(tǒng)可加速修復(fù)。這也節(jié)省了用戶的時間，使用戶能夠比較分布式團隊的表現(xiàn)，提供認(rèn)可的領(lǐng)導(dǎo)者和追隨者。同伴的壓力能鼓勵安全團隊分享行動的體驗，導(dǎo)致更迅速地減少漏洞。

　　九、生成合規(guī)報告

　　漏洞管理交付了可信的第三方審計和報告，滿足HIPAA、GLBA、SB 1386、薩班斯– 奧克斯利法案、巴塞爾II和PCI DSS的合規(guī)需求。用戶可以使用來自漏洞管理方案的報告，記錄系統(tǒng)隨時間推移安全狀態(tài)的合規(guī)性。

　　十、定期重復(fù)漏洞管理過程

　　漏洞管理不是一次性工作。漏洞管理的最佳實踐建議定期、持續(xù)地掃描和修復(fù)，主動防范內(nèi)部和外部威脅，并確保合規(guī)。掃描關(guān)鍵系統(tǒng)至少每周一次，不太重要的資產(chǎn)兩周一次。微軟的補丁星期二(每月的第二個星期二)是一個很好的提醒，可以用來運行整個系統(tǒng)的漏洞管理審計，發(fā)現(xiàn)最新的漏洞。

　　附：案例分析

　　1. 易趣(eBay)

　　行業(yè)：技術(shù);

　　總部：美國加利福尼亞州圣何塞;

　　地點：全球;

　　主要品牌：易趣，Skype和貝寶，，;

　　員工人數(shù)：13000+;

　　年收入：$59+億;

　　股票代碼：EBAY(NASD)。

　　“QualysGuard使我們審計網(wǎng)絡(luò)的工作更加容易。我們以前必須通過挖掘結(jié)果，并需要做很多的人工分析來獲得有意義的報告，而這些又是不一致的。Qualys解決了這個問題。”

　　-- 高級經(jīng)理，信息安全

　　目標(biāo)：

　　● 可靠地識別全球網(wǎng)絡(luò)的安全漏洞;

　　● 審計業(yè)務(wù)合作伙伴的網(wǎng)絡(luò)安全，并幫助這些合作伙伴快速修補漏洞并消除隱患;

　　● 部署自動化解決方案，找到最新的漏洞，不需要連續(xù)和費時的工作人員研究;

　　● 為高級管理人員隨時提供審計和審查安全狀態(tài)的能力。

　　結(jié)果：

　　● 經(jīng)過周密的市場評價，易趣選擇了QualysGuard進行網(wǎng)絡(luò)邊界掃描和在企業(yè)防火墻內(nèi)網(wǎng)絡(luò)以及合作伙伴網(wǎng)絡(luò)審計漏洞;

　　● 現(xiàn)在，易趣有一個默認(rèn)的漏洞管理標(biāo)準(zhǔn)，在整個eBay和合作伙伴網(wǎng)絡(luò)評估安全性;

　　● 簡化的報告使高級管理人員能簡明、實時地查看公司的安全風(fēng)險。當(dāng)他們實施安全措施時，QualysGuard使易趣的高管能夠測量這些風(fēng)險變化。

　　2.吉力貝利

　　行業(yè)：制造業(yè);

　　總部：費爾菲爾德，加利福尼亞州;

　　地點：全球;

　　員工：670+。

　　“我們不希望維持這種類型軟件的麻煩。這相當(dāng)于拱手讓QualysGuard獲益。因為我們安裝了QualysGuard，我們還沒有遇到任何成功的攻擊?！?/FONT>