所有的企业都应该每年对系统安全性进行分析，并根据分析结果调整安全水平来满足新的规范或者网络的发展。完成漏洞分析就是要找出企业网络现在的安全水平与实际所需安全水平之间的差异。

在进行漏洞分析之前，首先要建立起一套评判网络运营的标准。这些标准应该包括所有适用政府制定的规范，国际标准化组织的标准，信息及相关技术控制目标（COBIT）的推荐以及美国标准技术研究所（NIST）的标准，或者任何经过证明的商业惯例。

由于公司网络的复杂性或者时间和人力上的缺乏，将分析工作外包也是一种选择。

无论外包还是自己做，都要特别注意几个关键问题。通过关注以下几点，就可以改进企业的安全策略，确保企业可以符合任何现有的法律要求。

政策和步骤
所有的工作都从文字工作开始，网络工作也不例外。你必须对网络物理结构进行准确的记录。这些记录可以是精细的电子版也可以是铅笔草图。如果进行合法性的审查，这些图纸是必需要有的。

用户协议也是切实需要的。必须有书面的东西来明确网络上哪些行为是被允许的，那些是不被允许的。如果没有这样书面的东西，就没有能够阻止有损企业网络行为的法律武器。例如，如果你不希望用户下载游戏或者自己设置共享服务器，就要把规定写下来。

不要仅仅考虑到使用者，还应该把公司对网络管理员的期望和限制也写下来。

请记住：履行标准并管理标准适用于公司内的任何人。上到CEO，下到网络用户中职位最低的职员，都要明确岗位职能和责任。另外，还要建立政策和步骤记录网络中任何活动。

最重要的，一定要定期回顾每个文件。如果政策过时就不能发挥很大的作用。如果没有人花时间对政策进行升级，估计也就没有人会去执行。

当你整个人都为手头工作所淹没时，真正有趣的工作才刚刚开始。

另外，记录所有设备的设置情况。包括防火墙上所有已启用的端口以及路由器上所有的指令。

当完成记录以后，你将获得可表述的应用说明。从这以后，当有人问你为什么放开某端口，限制某端口时，你可以轻松的对你所执行的规则进行解释。

在纸上记录下网络操作以后，就该用审查和突破的方法检测安全性。测试结果将证实网络设备是否按配置运行，以及从全面安全规划来看，保护是否足够坚固。

如果你的网络中有入侵检测系统IDS，并且所有的安全信息都有记录，就还应该大量记录网络的实际性能以及运行特性等信息。你可以使用这些信息来调整网络设备来建立坚实的防护栏，当安全事故发生时，可用来提供相关的可用信息。

总结
确定安全漏洞分析范围是最困难的工作。如果有必要，可以将分析过程分为几个部分，在时间和预算允许的情况下分步进行。

谁来进行分析确实不重要。无论是自己来做或者外包，最重要的是确保分析工作得以正确的进行。你的最终目标是用分析结果来制定条款来纠正错误并奖励那些在日常工作中维护公司网络的员工。

（责任编辑：陈毅东）

查看本文的国际来源