为网络安全审核做好准备

如果你的网络服从某种规章和制度——例如Sarbanes-Oxley Act，欧洲联合数据指导，或者国家标准与技术协会（National Institute of Standards and Technology，简称NIST）的指导方针——那审核对你的企业照章行事来说绝对是件重要的事情。而对审核人员来说，测定你的企业是否有效的遵循了相关规定或标准，是他们应有的责任。

通过更好的了解审核进程是如何开展的，以及审核人员如何操作的，你可以建立并操作一个顺手而安全的网络——不用说，也是易于审核的。让我们来看看一个安全审核的不同阶段以及相应细节。

规划
在规划阶段，审核人员收集企业网络以及其部署安全控制的相关信息。确保你已经完全记录了网络所有的相关文档，并记述了每个控制如何标定相关风险和标准。

审核人员将使用该文档来决定你的安全设计是否满足了标准。在规划阶段，审核人员同样将决定审核范围，并确定网络需要特别关注的特定区域（比如金融系统），以前审核未通过的区域，以及（或者）被考虑认为具有高风险的区域。

测试
一旦审核人员已经收集到了所有需要的文档，测试就开始了。测试的目的是确认标准，验证内部文档，并核实有效的企业策略。

测试覆盖了很大的范围，从自动程序（比如防火墙和入侵检测系统）到人工处理（比如网络账户批准）。虽然企业总是希望能够出色的通过审核，但测试过程通常都会发现一些不足或缺点。

缺陷
不幸的是，缺陷是无法避免的——我从未见过一个完美无缺的网络。根据测试进程所收集的结果，审核人员会鉴别缺陷并按风险归类。

缺陷中的一部分很容易解决，其他的要解决起来，却可能需要购置硬件/增添人员，进行培训，等等。另外，你的企业如何解决问题，以及它用于纠正问题的过程，也同样是审核的一个主要组成部分。

补救
在已经解决了所有问题之后（可能最简单的就是打上某个补丁或者实施某个策略），审核人员会进行额外的测试，以确认你已经解决了问题——并且在这个过程中没有造成新的问题，在你解决完毕审核人员所发现的全部问题之后，你会有一个机会评论审核人员的全部发现。

发现
虽然初始报告会详细列出操作或企业的不足，这并不是审核过程的结束。实际上，这只是你等待最终成绩的一个开始。

在这个过程期间，你有机会对报告做出反应，采取措施以削减风险的严重程度。另外，不要忘记做个提纲，列出那些你无法立刻解决的缺陷问题。一个审核人员只会在你的企业增加更多内容之后，才会出具最终报告。

报告
所有的相应当事人都应当收到报告。这张记分卡上应当列出企业是如何记录和遵循相关的网络操作管理标准和制度。

不过，不要看过了就放到一边——对下一次审核来说，这份报告是绝佳的资源。审核人员毫无疑问会使用它，所以你也应该这样。

结语
安全审核是一种生活方式。了解该过程可以帮助你的企业更好的进行准备。确保使用规章和制度来确保你所部署的安全控制，并将所有东西记录成文档。

（责任编辑:陈毅东）

查看本文的国际来源