我将做出一个轻率的假设,并假设您正在询问如何准备以技术为重点的内部安全审计,甚至可能是渗透测试。
您如何准备技术方面的安全审计将取决于审计的目标。如果它的目标是定义有关如何改进基础架构的规范,那么您可能什么都不做。如果目标是确保不存在任何差距,我建议在审计之前进行差距分析并纠正发现的任何差距。
对于基本的 IT 最佳实践,我建议参考PCI DSS。当然,它包括您应该已经做的显而易见的事情,例如修补软件的安全漏洞。
为了复制安全审计,我首先查看开源安全测试方法手册中详述的渗透测试方法。(OSSTMM)
如果您正在寻找更多细节,我鼓励您重新编写您的问题,以减少歧义。
我一直在寻找一般审计清单,因为审计员没有提供
这是令人失望的。我这样做了好几年,我们通常的做法是详细概述将要评估的内容和原因(方法)。我们提交了正式的信息请求,为 IT 人员提供了运行和收集数据的工具,包括收集过程的任何潜在影响(如果有)。我们还必须安排带有详细议程的会议,这通常意味着他们知道会发生什么。在这样的倡议中对某人进行沙包处理并没有任何建设性的目的。问题通常很多,如果参与得当,大多数 IT 员工都愿意讨论这些问题。
也就是说,如果你看一下,那里有很多清单。但这项工作的主要目标应该是尽可能多地发现问题,优先考虑它们,并制定补救行动计划。我不会太担心“准备好”。既然你是最近才开始的,应该明白这个地方不是一夜之间就崩溃的。
如果您承认需要改进的网络收到了良好的报告,那可能会浪费公司的资金。
小智 5
当你在构建机器时,你应该确保你在 NSA 的安全指南中达到尽可能多的实际点(有些事情可能对你的情况来说太过分了):
http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/
当你设置机器时,你应该以自动化的方式进行,每个都是彼此的千篇一律。通过安装媒体“手工”构建可能很容易出错,你会错过一些东西。
自动化!自动化!自动化!
任何半常规程序都应尽可能编写脚本。这包括系统安装、修补、漏洞扫描/审计、密码强度测试。
| 归档时间: |
|
| 查看次数: |
3897 次 |
| 最近记录: |