网络安全评估从漏洞到补丁

网络安全评估从漏洞到补丁是一本网络安全指导书籍，由美国网络安全专家Steve Manzuik编著，张建标编译。全书主要将漏洞管理技术融入到业务管理中，只有将黑客所实施的威胁与对组织造成的风险联系到一起时，这些知识才是有价值的，而本书就是要介绍完成这些任务将要使用的工具。全书包括11章，介绍了什么是漏洞，漏洞评估，漏洞评估工具，漏洞管理，漏洞和配置管理，遵守管理法规等等内容，欢迎免费下载阅读。

内容介绍

《网络安全评估从漏洞到补丁》从漏洞评估、漏洞评估工具、漏洞评估步骤和漏洞管理等方面介绍了网络安全评估。通过《网络安全评估：从漏洞到补丁》的学习，一方面可以使读者了解网络安全评估的一些基本概念、基本原理，另一方面，更重要的是可以指导读者一步步地完成整个评估过程。随着计算机和网络技术的迅速发展，人们对网络的依赖性达到了前所未有的程度，网络安全也面临着越来越严峻的考验。如何保障网络安全就显得非常重要，而网络安全评估是保证网络安全的重要环节。此外，详细介绍了网络安全评估中各种常用的开源工具和商业工具及其特点．有助于读者能够快速地找到合适的评估工具。

网络安全评估：从漏洞到补丁章节目录

主要作者

合著者

编者

译者序

序言

第1章 漏洞窗口

引言

什么是漏洞？

理解漏洞造成的风险

小结

快速解决方案

常见问题

第2章 漏洞评估101

引言

什么是漏洞评估？

第一步：信息收集/发现

第二步：列举

第三步：检测

查找漏洞

利用安全技术检测漏洞

解释通过安全技术收集的漏洞评估数据

通过修复技术存取漏洞

从修复知识库中提取漏洞评估数据

利用配置工具评估漏洞

查找漏洞的重要性

看一些具体的数字

小结

快速解决方案

常见问题

第3章 漏洞评估工具

引言

一个好的漏洞评估工具的特征

使用漏洞评估工具

第一步：识别网络上的主机

第二步：把主机分组

第三步：创建一个审计策略

第四步：执行扫描

第五步：分析报告

第六步：在必要的地方做出修复

小结

快速解决方案

常见问题

第4章 漏洞评估：第一步

引言

认识你的网络

对资产分类

我认为这是一个漏洞评估章节

小结

快速解决方案

常见问题

第5章 漏洞评估：第二步

引言

一个有效的扫描计划

扫描你的网络

何时扫描

小结

快速解决方案

常见问题

第6章 更进一步

引言

渗透测试类型

场景：一次内部网络攻击

客户端网络

第一步：信息收集

第二步：测定漏洞

渗透测试

第三步：攻击和渗透

漏洞评估vs渗透测试

决定实施漏洞评估还是渗透测试的提示

内部vs外部

小结

快速解决方案

常见问题

第7章 漏洞管理

漏洞管理计划

漏洞管理的6个阶段

阶段一：确定（Identification）

阶段二：评估（Assessment）

阶段三：修复（remediate）

阶段四：报告（report）

阶段五：改进（improve）

阶段六：监控（monitor）

管理（这是审查员想知道的）

度量漏洞管理计划的性能

使用说明

漏洞管理的常见问题

小结

快速解决方案

常见问题

第8章 漏洞管理工具

引言

在一个理想世界中的理想工具

评价漏洞管理工具

商业漏洞管理工具

eEye I）igital Security

Symantec（BindView）

Attachmate（NetIQ）

StillSecure

McAfee

开源和免费的漏洞管理工具

资产管理、工作流和知识库

主机发现

漏洞扫描与配置扫描

配置和补丁扫描

漏洞通告

安全信息管理（SIM）

管理漏洞服务

小结

快速解决方案

常见问题

第9章 漏洞和配置管理

引言

补丁管理

系统清单（System Inventory）

系统分类（System（；lassifieation）

系统基线（System Baselining）

通用漏洞评分系统

建立补丁测试实验室

虚拟化

环境模拟

补丁发布与部署

配置管理

日志和报告（Loggmg and Repotting）

变更控制

小结

快速解决方案

常见问题

第10章 遵守管理法规-

引言

调控评估和渗透测试

支付卡工业（PCI）标准

健康保险携带和责任法案（IIIPAA）

2002年的萨班斯一奥克斯利法案（SOX）

法规总结

起草信息安全计划

小结

快速解决方案

常见问题

第11章 融会贯通

引言

漏洞管理方法论

第一步：知道你的资产

你需要做什么

你为什么要做

你如何去做

现有的哪些工具可以帮助你做

第二步：资产分类

你需要做什么

你为什么要做

你如何去做

现有的哪些工具可以帮助你做

第三步：创建资产的基线扫描

你需要做什么

你为什么要做

附录A 信息安全评价的法律案例

附录B 信息安全基线活动工具

章节节选

引言

本书不是典型的介绍信息技术(Information Technology，IT)安全的书。虽然本书作者具有专业技术背景，而且也写过一些很畅销的书，如 Syngress 出版的“HackProofing Your Network”，但是本书还是主要将漏洞管理的技术融入到业务管理中尽管熟悉最新的黑客技术是很重要的，但是只有当能够把黑客所实施的威胁与对组织所造成的风险联系在一起时，这些知识才是有价值的，本书将介绍做这件事情的工具。

本章主要介绍漏洞及其重要性，我们还将讨论一个被称作“漏洞窗口”(Windowsof Vulnerabilities)的概念，以及如何确定一个已知的漏洞对环境造成的风险

什么是漏洞?

那么，什么是漏洞呢?在过去，很多人把漏洞看作是有恶意的人能够利用的软件或硬件的缺陷。然而，在近几年中，漏洞的定义发展成为有恶意的人能够利用的软硬件的缺陷及配置错误 (misconfiguration)。补丁管理配置管理和安全管理等常常相互竞争的学科，都已从单一的学科发展成为同一个信息技术 (IT) 方面的问题，那就是今天的漏洞管理。

注释

本书将通过CVE编号来引用漏洞。CVE是Common Vulnerabilities and Exposures 的缩写，即通用漏洞披露。为了使漏洞命名标准化，人们在几年前制定了一系列的CVE编号。在使用 CVE 编号之前，漏洞的名字由厂商随意指定，这使得跟踪漏洞变得困难而混乱。CVE 制定了所有漏洞的一个列表，并且按照 CVEyear-number 的格式给每个漏洞分配一个CVE号码。当引用漏洞的时候，鼓励厂商使用CVE 编号，实践证明这种方式消除了大部分的混乱情况。更多关于 CVE编号的信息可以查看网站http://cve.mitre.org。

从表面上看，漏洞管理像是个简单的工作。不幸的是，在大部分组织的网络中，漏洞管理既困难又复杂。一个典型的组织中包含定制的应用、移动用户及关键服务器，它们有不同的需求，不能只做简单地保护，更不能置之不理。软件厂商仍会发布不安全的代码，硬件厂商也不会将安全内建在产品中，因此这些问题就留给了系统管理员来处理。加人这些必须遵守的规定使管理者感到紧张，并且处于一种高压状况下，容易导致犯严重的错误。

针对漏洞管理的复杂情况，人们提出了“漏洞窗口”的概念。尽管这好象是一个聪明的文字游戏，把人们的注意力引向了最常用的 Windows 操作系统，但它实际上指的是一个系统由于安全缺陷、配置问题或导致降低整个系统安全性的其他因素，而处于易受攻击状态的时间有多长。漏洞窗口有以下两种类型:

从发现一个漏洞到系统打上该漏洞的补丁所经过的时间。未知漏洞窗口已知漏洞窗口 从厂商发布一个漏洞补丁到系统打上该漏洞的补丁所经过的时间。

大多数组织更关注第二种类型一-已知漏洞窗口，但是在接下来的几章里将会发现，当制定减轻风险的策略时，计算未知漏洞窗口才是有价值的

注释

在厂商的漏洞补丁可用之前，一些组织把提供已发现漏洞的信息作为一种有偿服务，很多大型企业看到了这种服务的价值。如果组织正在考虑使用这种服务，一定要调查该服务所提供漏洞的质量和数量，因为这种服务通常是比较昂贵的。

通常，管理员用一个表来跟踪漏洞何时被报告及厂商何时修复漏洞，如表 11所可以用该表来计算未知漏洞窗口和已知漏洞窗口。

近来出现了这样一种趋势，在跟踪漏洞时加人另一个度量标准。这个度量标准就是第三方厂商发布的非官方漏洞补丁，如表 1.2所示。

在这种情况下，第二个时间间隔是从漏洞报告给厂商(或公开发布) 的大致日期到第三方漏洞补丁发布的日期。在写本书的时候 (2006年4月)，第三方发布漏洞补丁的例子只有两个。在这两个例子中，补丁都被大多数用户接受，因此我们可以有把握地预测这种趋势将会继续下去。

使用说明

1、下载并解压，得出pdf文件

2、如果打不开本文件，请务必下载pdf阅读器

3、安装后，在打开解压得出的pdf文件

4、双击进行阅读