對你的Windows網(wǎng)絡實施安全漏洞評估是一種很復雜的過程。安全總是一件很緊迫的事情,因此需要立即進行測試,發(fā)現(xiàn)和修復安全漏洞。但是,如果你要正確地完成這個工作,你需要制定一個安全測試策略并且有條不紊地進行這項工作。

  設想一下,如果一個軟件開發(fā)人員不使用基本的計劃、設計、開發(fā)、測試、部署和維護的方法,會怎么樣呢?或者想象一下,一座大橋的設計師或者一座大樓的設計師匆匆忙忙地提出自己的設計方案會有什么后果呢?考慮一下這些方案是否有效?是否可行?安全漏洞測試也是如此。如果你要取得成功,你必須要有一個計劃。你不能毫無準備希望能夠抓到一切問題。任何安全問題都可能被忽略。下面是制定安全測試計劃的八個理由:

  1.你將不可避免地忘記需要測試的一個或者更多的系統(tǒng)或者應用程序(也是老文件服務器、隨機的網(wǎng)絡應用程序和數(shù)據(jù)庫等),或者不知道如何接觸一個具體的系統(tǒng)(使用身份識別或者不使用身份識別等)。你將不得不回過頭來重做計劃。這要比你事先做好計劃浪費一倍的時間。

  2.沒有得到管理層或者項目發(fā)起人的批準會導致與預期相反的結(jié)果,使有關人員看起來都很成問題。

  3.時間管理和成專家認為,我們在規(guī)劃時花費一分鐘的時間,在執(zhí)行的時候可以節(jié)省五分鐘的時間。還需要再說什么嗎?

  4.每一個人的理解都不一樣,而且每一個的預期也都不是固定的。當出現(xiàn)這種情況時,你遇到的任何問題都會產(chǎn)生更大的影響。你總是需要做很多的解釋。

  5.你期待的使用商業(yè)工具的能力會推遲。我不止一次遇到這樣的事情。我認為我的軟件許可證是新的,或者我知道必須要更新這個軟件許可證,我認為這個更新的過程只需要很短的時間。由于廠商對我的更新請求并不是立即給予答復的,因此這種等待有時候使我的測試推遲了好幾天。這些廠商處理客戶問題的缺陷現(xiàn)在變成了你的問題。

  6.你毫無疑問地將在一個錯誤的時間進行你的測試。對于安全漏洞的測試實際上沒有一個理想的時間。但是,如果你不規(guī)劃好進行測試的時間和日期,你會與批量的工作、高網(wǎng)絡流量、運行備份等情況發(fā)生沖突。這種沖突不僅會延誤你的測試,而且還可能造成系統(tǒng)崩潰。

  7.你通常在IT、計劃管理、產(chǎn)品管理和發(fā)起人主管經(jīng)理等方面需要的重要資源也許不能幫助你回答問題,解釋系統(tǒng)的工作原理,或者在你測試整個系統(tǒng)的時候提供你所需要的幫助。

  8.規(guī)劃過程的一部分實際上是要有一套測試方法。這些方法包括:偵察、列舉、找到安全漏洞、利用這些安全漏洞、報告你發(fā)現(xiàn)的結(jié)果、隨后保證安全漏洞已經(jīng)修復。你可以使用ISO/IEC 17799:2005等高水平的標準框架。我建議你查看一下其它兩個資源。一個是OCTAVE方法。另一個是開源軟件安全測試方法手冊(OSSTMM)。

  如果你問你自己你要做什么事情,如果做這個事情,然后你再按照事情的輕重緩急把重點放在緊迫的和重要的事情上,你在安全測試中可以聰明地利用時間并且得到積極的結(jié)果。