對(duì)你的Windows網(wǎng)絡(luò)實(shí)施安全漏洞評(píng)估是一種很復(fù)雜的過程。安全總是一件很緊迫的事情,因此需要立即進(jìn)行測(cè)試,發(fā)現(xiàn)和修復(fù)安全漏洞。但是,如果你要正確地完成這個(gè)工作,你需要制定一個(gè)安全測(cè)試策略并且有條不紊地進(jìn)行這項(xiàng)工作。

  設(shè)想一下,如果一個(gè)軟件開發(fā)人員不使用基本的計(jì)劃、設(shè)計(jì)、開發(fā)、測(cè)試、部署和維護(hù)的方法,會(huì)怎么樣呢?或者想象一下,一座大橋的設(shè)計(jì)師或者一座大樓的設(shè)計(jì)師匆匆忙忙地提出自己的設(shè)計(jì)方案會(huì)有什么后果呢?考慮一下這些方案是否有效?是否可行?安全漏洞測(cè)試也是如此。如果你要取得成功,你必須要有一個(gè)計(jì)劃。你不能毫無準(zhǔn)備希望能夠抓到一切問題。任何安全問題都可能被忽略。下面是制定安全測(cè)試計(jì)劃的八個(gè)理由:

  1.你將不可避免地忘記需要測(cè)試的一個(gè)或者更多的系統(tǒng)或者應(yīng)用程序(也是老文件服務(wù)器、隨機(jī)的網(wǎng)絡(luò)應(yīng)用程序和數(shù)據(jù)庫等),或者不知道如何接觸一個(gè)具體的系統(tǒng)(使用身份識(shí)別或者不使用身份識(shí)別等)。你將不得不回過頭來重做計(jì)劃。這要比你事先做好計(jì)劃浪費(fèi)一倍的時(shí)間。

  2.沒有得到管理層或者項(xiàng)目發(fā)起人的批準(zhǔn)會(huì)導(dǎo)致與預(yù)期相反的結(jié)果,使有關(guān)人員看起來都很成問題。

  3.時(shí)間管理和成專家認(rèn)為,我們?cè)谝?guī)劃時(shí)花費(fèi)一分鐘的時(shí)間,在執(zhí)行的時(shí)候可以節(jié)省五分鐘的時(shí)間。還需要再說什么嗎?

  4.每一個(gè)人的理解都不一樣,而且每一個(gè)的預(yù)期也都不是固定的。當(dāng)出現(xiàn)這種情況時(shí),你遇到的任何問題都會(huì)產(chǎn)生更大的影響。你總是需要做很多的解釋。

  5.你期待的使用商業(yè)工具的能力會(huì)推遲。我不止一次遇到這樣的事情。我認(rèn)為我的軟件許可證是新的,或者我知道必須要更新這個(gè)軟件許可證,我認(rèn)為這個(gè)更新的過程只需要很短的時(shí)間。由于廠商對(duì)我的更新請(qǐng)求并不是立即給予答復(fù)的,因此這種等待有時(shí)候使我的測(cè)試推遲了好幾天。這些廠商處理客戶問題的缺陷現(xiàn)在變成了你的問題。

  6.你毫無疑問地將在一個(gè)錯(cuò)誤的時(shí)間進(jìn)行你的測(cè)試。對(duì)于安全漏洞的測(cè)試實(shí)際上沒有一個(gè)理想的時(shí)間。但是,如果你不規(guī)劃好進(jìn)行測(cè)試的時(shí)間和日期,你會(huì)與批量的工作、高網(wǎng)絡(luò)流量、運(yùn)行備份等情況發(fā)生沖突。這種沖突不僅會(huì)延誤你的測(cè)試,而且還可能造成系統(tǒng)崩潰。

  7.你通常在IT、計(jì)劃管理、產(chǎn)品管理和發(fā)起人主管經(jīng)理等方面需要的重要資源也許不能幫助你回答問題,解釋系統(tǒng)的工作原理,或者在你測(cè)試整個(gè)系統(tǒng)的時(shí)候提供你所需要的幫助。

  8.規(guī)劃過程的一部分實(shí)際上是要有一套測(cè)試方法。這些方法包括:偵察、列舉、找到安全漏洞、利用這些安全漏洞、報(bào)告你發(fā)現(xiàn)的結(jié)果、隨后保證安全漏洞已經(jīng)修復(fù)。你可以使用ISO/IEC 17799:2005等高水平的標(biāo)準(zhǔn)框架。我建議你查看一下其它兩個(gè)資源。一個(gè)是OCTAVE方法。另一個(gè)是開源軟件安全測(cè)試方法手冊(cè)(OSSTMM)。

  如果你問你自己你要做什么事情,如果做這個(gè)事情,然后你再按照事情的輕重緩急把重點(diǎn)放在緊迫的和重要的事情上,你在安全測(cè)試中可以聰明地利用時(shí)間并且得到積極的結(jié)果。