科技云报道：漏洞管理受重视，企业如何做好漏洞评估？( 二 ) 科技云报道原创。近日

3.收集目标信息
在规则建立和范围确定后，确定渗透测试类型——白盒、灰盒或黑盒测试。如果还没有得到任何安全信息，不妨从信息收集阶段开始，使用专业安全工具对运行的设备、网络和端口执行扫描，绘制测试环境的图景，以深入了解目标设备上运行的应用和服务。
4.进行评估
针对漏洞评估，使用什么工具，如何配置它们以及如何执行评估过程因人而异。因此，根据规则来配置工具非常重要。此外，还应当避免因主动配置扫描操作可能对系统造成的损害。
【科技云报道：漏洞管理受重视，企业如何做好漏洞评估？】5.关联数据
各种安全工具种类繁多，产生的安全数据也浩如烟海，如果不能将这些数据相关联到一起，那么将没有任何意义。关联安全数据有助于更为清晰地识别哪些是最重要的威胁。但在关联数据并形成安全报告之前，不要过早地将它们分享给利益相关者，必须对测试结果进行验证并确认为正确后方可。
应根据目标受众来确定安全报告的分级分层。例如，针对企业高层管理人员，需要形成基于优先级项目的摘要视图，从高威胁类别项目开始。
而针对IT和安全专业人员，需要形成更详细的安全报告，包括受影响系统以及具体的安全措施。
6.根据报告数据进行风险评估
在评估、验证并生成报告后，企业应会同利益相关者对存在漏洞的设备进行风险评估，确定解决问题的方式（缓解），哪些受影响的设备可以正常运行（隔离），哪些需要立即停止运行（阻断），或实施第三方安全解决方案来替换现有解决方案（转移）。
每个系统都应当有针对性的一套威胁评估方法。同样，为了最大限度地降低风险并优化响应时间，应制定明确的行动计划，并详细说明快速有效地解决评估项目并确保设备安全的步骤。
7.实施修复
在完成评估并形成报告后，现在可以开始针对报告结果进行补救措施。应首先解决高优先级威胁，然后是中优先级威胁，最后是低优先级威胁。在补救环节，应非常小心地验证漏洞是否得到解决。可以通过重新运行软件，或者再次执行测试操作来进行确认，还要评估是否可能出现遗留问题或其他问题。
8.形成定期的制度
漏洞评估应作为企业的一项持续性工作而定期开展，重点是为企业高级别的网络设备和服务的安全状态。
必要时还需要上升到企业战略层面，专门制定安全评估政策，以确保评估工作的正常开展。
以上措施只是参考。随着更多安全法律法规以及行业性规范的出台，安全合规正成为企业发展的重大挑战。网络安全上升到国家战略层面的同时，企业也是时候将网络安全上升到企业发展战略层面。重视漏洞管理，做好漏洞评估，将为企业网络安全建设带来事半功倍的效果。