對你的Windows網(wǎng)絡(luò)實施安全漏洞評估是一種很復(fù)雜的過程。安全總是一件很緊迫的事情,因此需要立即進(jìn)行測試,發(fā)現(xiàn)和修復(fù)安全漏洞。但是,如果你要正確地完成這個工作,你需要制定一個安全測試策略并且有條不紊地進(jìn)行這項工作。

  設(shè)想一下,如果一個軟件開發(fā)人員不使用基本的計劃、設(shè)計、開發(fā)、測試、部署和維護(hù)的方法,會怎么樣呢?或者想象一下,一座大橋的設(shè)計師或者一座大樓的設(shè)計師匆匆忙忙地提出自己的設(shè)計方案會有什么后果呢?考慮一下這些方案是否有效?是否可行?安全漏洞測試也是如此。如果你要取得成功,你必須要有一個計劃。你不能毫無準(zhǔn)備希望能夠抓到一切問題。任何安全問題都可能被忽略。下面是制定安全測試計劃的八個理由:

  1.你將不可避免地忘記需要測試的一個或者更多的系統(tǒng)或者應(yīng)用程序(也是老文件服務(wù)器、隨機(jī)的網(wǎng)絡(luò)應(yīng)用程序和數(shù)據(jù)庫等),或者不知道如何接觸一個具體的系統(tǒng)(使用身份識別或者不使用身份識別等)。你將不得不回過頭來重做計劃。這要比你事先做好計劃浪費(fèi)一倍的時間。

  2.沒有得到管理層或者項目發(fā)起人的批準(zhǔn)會導(dǎo)致與預(yù)期相反的結(jié)果,使有關(guān)人員看起來都很成問題。

  3.時間管理和成專家認(rèn)為,我們在規(guī)劃時花費(fèi)一分鐘的時間,在執(zhí)行的時候可以節(jié)省五分鐘的時間。還需要再說什么嗎?

  4.每一個人的理解都不一樣,而且每一個的預(yù)期也都不是固定的。當(dāng)出現(xiàn)這種情況時,你遇到的任何問題都會產(chǎn)生更大的影響。你總是需要做很多的解釋。

  5.你期待的使用商業(yè)工具的能力會推遲。我不止一次遇到這樣的事情。我認(rèn)為我的軟件許可證是新的,或者我知道必須要更新這個軟件許可證,我認(rèn)為這個更新的過程只需要很短的時間。由于廠商對我的更新請求并不是立即給予答復(fù)的,因此這種等待有時候使我的測試推遲了好幾天。這些廠商處理客戶問題的缺陷現(xiàn)在變成了你的問題。

  6.你毫無疑問地將在一個錯誤的時間進(jìn)行你的測試。對于安全漏洞的測試實際上沒有一個理想的時間。但是,如果你不規(guī)劃好進(jìn)行測試的時間和日期,你會與批量的工作、高網(wǎng)絡(luò)流量、運(yùn)行備份等情況發(fā)生沖突。這種沖突不僅會延誤你的測試,而且還可能造成系統(tǒng)崩潰。

  7.你通常在IT、計劃管理、產(chǎn)品管理和發(fā)起人主管經(jīng)理等方面需要的重要資源也許不能幫助你回答問題,解釋系統(tǒng)的工作原理,或者在你測試整個系統(tǒng)的時候提供你所需要的幫助。

  8.規(guī)劃過程的一部分實際上是要有一套測試方法。這些方法包括:偵察、列舉、找到安全漏洞、利用這些安全漏洞、報告你發(fā)現(xiàn)的結(jié)果、隨后保證安全漏洞已經(jīng)修復(fù)。你可以使用ISO/IEC 17799:2005等高水平的標(biāo)準(zhǔn)框架。我建議你查看一下其它兩個資源。一個是OCTAVE方法。另一個是開源軟件安全測試方法手冊(OSSTMM)。

  如果你問你自己你要做什么事情,如果做這個事情,然后你再按照事情的輕重緩急把重點放在緊迫的和重要的事情上,你在安全測試中可以聰明地利用時間并且得到積極的結(jié)果。