《X-Only》

你如果是一位网络及信息安全管理员的话，那么针对信息基础设施和应用程序的渗透测试的综合评估之后，就会意识到技术测试和提供信息安全保障的重要性。

　　大多情况下漏洞及其披露缘于系统管理不善、没有及时打补丁、弱口令策略、不完善的存取控制机制等等，所以进行渗透测试的评估的主要原因和目的应该是识别和纠正系统管理过程的失效和错误，也正是这些失效和错误的出现，才会在评估的过程中揭露出来。

常见的系统管理过程中失效内容包括：

• 系统软件配制的失效
• 应用程序软件配制的失效
• 软件维护的失效
• 用户管理和系统管理的失效

　　很多ＩＴ安全顾问仅仅提供特定测试所发现问题的详细列表，但从来不尝试进行更高层次的分析，以便回答“为什么会存在这些问题”。缺乏对那些系统管理失效（系统管理失效是引发测试中所发现的问题的本质原因）的识别和纠正所带来的后果，当ＩＴ顾问再一次对信息系统进行测试之后，新的问题又会出现。

　　如果你是一位负责的信息系统安全的专业人员，我们将帮助你评估你所负责管理的网络并有效的列出你的敌手所可能采取的攻击技术和工具；如果你是一位为客户进行安全评估的顾问，铭记我们讨论的那些可能引发系统漏洞的管理过程失效是至关重要的。

　　我们以过去为一大型的国际客户进行过一系列的渗透测试，该客户的业务系统是多区域性的，所执行的ＩＴ安全策略是集中发布、分区域执行的。可以把测试得到的技术结果反映出如下的一些管理范畴：

• 操作系统配置

　　由于不正确的配置操作系统软件引发的漏洞

• 软件维护

　　由于未对已知漏洞打补丁而引发的漏洞

• 口令／存取（访问）控制

　　由于不遵守口令策略和不正确的存取控制设置引发的漏洞

• 恶意软件

　　存在恶意软件（木马、蠕虫等）或至少有其存在的迹象

• 危险的服务

　　存在有漏洞的或易被攻击者渗透的服务或进程

• 应用程序配置

　　由于应用程序配置不当引发漏洞

根据评估所得到的结果，我们计算出了由安全评估过程所得到的安全漏洞数的平均值（以整个组织的每一百台被测试系统为基数单位），如图-1所示：根据管理范畴

在进行上述平均漏洞数的计算之后，为对整个组织内不同区域的信息安全状况进行分析，我们又对每个区域内存在的系统漏洞和整个组织存在的漏洞的均值进行了比较。结果是很明显的，入图-2所示（在均值以上被认为是“坏的”，说明该区域存在的漏洞高于整个组织的漏洞均值）。

上图给出了由于各个区域所采取的安全管理措施不同而产生的可辨别的、可量化的漏洞差别。例如，区域3的IT管理者显然没有执行有效的软件维护和口令／存取控制管理措施，而区域1的IT管理者则没有从其所管理系统中去除不必要的服务。

　　请IT管理者要注意的重要一点是，你应该把漏洞及其披露划归到不同的范畴，并且以一种新的视角来对其进行研究。你可以给你的客户提供一份全面的总结归档了较底层面技术问题的报告，但根本性的高层管理失效问题解决之前，网络的安全性并不会得到真正的提高，同时相同的漏洞及其变种以后仍然会出现。我们将向你展示怎样执行基于Internet的安全评估，但至关重要的一点是，你要经常去想“这些漏洞为什么会出现？”