2 确定网络资产的基线

    第一步是建立一个准确的基线和网络的节点结构图。在这个阶段，每个构成网络的资产都需要被确定：服务器，台式机，笔记本电脑，路由器，无线接入点，网络打印机，和其他相关设备。这一基准提供了管理和衡量脆弱性管理程序的基础。基线将不断的变化，新的服务器，应用程序和设备的部署都会导致基线的重新确定（包括新的负载状况，新的地址方案）。

    通常基线算法有两种，一种是周期性基线，一种是移动窗口基线。在合理测量网络运行状态并形成准确数据的前提下，如果检测指标的正常值的变化趋势有明显的周期性的流量指标，例如端口总流量，某种应用的总流量、某个IP群组的流量趋势，则建议采用周期性基线。如果检测指标的正常值没有明显的周期性变化，而且在一个较小的范围内波动，则使用移动窗口基线效果比较好。基线值可以根据一组历史流量数据利用加权平均和置信区间的算法得到的，超出可信范围的历史数据不参与基线的计算，从而保证了基线的有效性。

3 资产分类

    经过充分的网络发现，下一阶段是进行商业价值的分类。网络设备进行分组和分类是必要的，从低优先系统，如分段测试系统，以及中度优先权系统，如销售团队使用的笔记本电脑，以及最关键的系统，规范管理的信息或正在进行的至关重要的业务经营和现金流量。

    如何分类取决于系统的性质，企业的业务，例如，Web服务器和系统，支持订单，包括那些受PCIDSS（支付卡行业数据安全标准，Payment Card Industrys Data Security Standard）约束的部分，可能是互联网商人最关键的设备，当然也也可能是一个制造商的供应链上的所有子系统。这一阶段的目标是确定那些系统是业务成功运作所必需的。通过对IT资产进行分类，就可以面对安全危机时以最有效的方式利用有限资源恰当反应，并减轻这些风险对最重要的资产和业务单元的影响。

4 准确快速的漏洞识别

    现代网络是复杂的，不同的厂家生产不同规格的硬件服务器，不同组织支持着各种软硬件标准，操作系统和网络平台。企业需要做的是一个高度精确，全面和及时更新的识别方式，以确定最新系统安全漏洞和可能导致风险的错误配置。恰当的“纵深防御”要求以高强度的脆弱性检测和实施严格的管理制度为前提。按照上一步确定的资产价值等级来实现处理危机的先后顺序，这确保了优先处理即将对组织构成当前风险的漏洞。太多的企业会运行一个系统的脆弱性评估体系和被动的开始修补“ 最关键”的漏洞，降低所处的风险等级。虽然这肯定是的一种处理问题方式，这不是长远的减少风险的最有效的途径。事实是，某些最重要的系统的关键系统级漏洞往往可以比中等漏洞拥有更低的优先处理地位。这就是为什么要按照商业系统价值和网络部分的脆弱性来定义重要的相关漏洞危险性临界（通常在水平范围等级会从1至5）。要处理的最棘手的问题，规范的系统分类是前提。

5 通过全面的报告变换原始安全数据为有价值信息

    未经过精炼的漏洞报告对衡量评估安全等级是没有价值的。管理员需要的是详细记录重要的漏洞补救解决方案的全面报告并且提供可以随即访问的经验证的解决方法，无论是软件厂商官方补丁，变通的其他策略，或其他的防御办法。除了向系统管理者和高层安全管理者生成报告，安全的信息还需要被有效收集，并且规范化，提交给那些需要了解企业安全状况的其他组织。其中包括展示自身较高层次的IT安全和良好的系统管理监管状况，以便获取银行的（如决策支持系统的PCI） ，甚至向要求有关企业的IT安全方面的情况的业务合作伙伴和客户的信任。获得信息安全的外界信赖也是对企业形象的重要提升。

6 动态实时数据显示(能够测量和预计在一段时间内安全态势)

    模拟的显示数字化信息“仪表盘”能创建即时可视化网络健康度的体现。控制台需要随时不断更新和根据企业的具体业务和安全需要随时定制。

    一旦补丁已被部署，随后的检查就是验证每个系统的修补程序是否已经正确使用,及其相关的风险等级降低程度。这里跟踪以确定组织补救措施要花费的时间，并验证补丁的部署效果是至关重要的。这种保证突出的是企业脆弱性管理程序是如何有效工作，因此，由于修补漏洞而使系统减少运行的天数是值得和必要的。在执行修补程序的过程中，关注与其产生关联的信息与商业价值的IT资产，可以跟踪组织的整体成功运作的维持系统，以配合内部安全政策，如一个星期内确定一个关键系统内的漏洞修补。其他主要数据包括价值跟踪的程度在所有终端和服务器内保持受控性，有多少系统在未来一段时间内仍十分脆弱，始终保持企业的IT安全政策系统的待处理比例等。

7 缩短漏洞处理时间

    我们发现在脆弱性评估和管理过程中人们往往忽视了作为一个重要的衡量IT的安全指标，导致整个安全漏洞解决过程的环路不能完美关闭。这就是处理时间。通过了解组织纠正已发现的漏洞和错误配置的反应时间，不仅可以洞察企业所处的整体安全状况还可以考察是否拥有采取恰当反映措施的能力。这里缩短从发现新的漏洞到快速，有效的检测和修复的时间是至关重要的。

8 用全面报告展示企业的安全实力

    保持企业的安全形象要求有系统安全的有力证明，并且有适当的执行过程和应用程序的支撑，以展示对可能产生任何漏洞危机的应对能力。对于上市公司，这可能包括详细的报告，其金融系统部分还要遵循Sarbanes - Oxley法案。医疗机构则需要特别注意的是临床和行政系统，包括私营医疗资料，以便符合卫生信息流通与责任法案。同时企业必须面对越来越多和复杂性法案，FISMA（联邦信息安全管理法案），California SB 1386，并支付卡数据安全标准（PCI DSS）但这些进程和要求是相同的：足够的能应对政府监管和审计的行业安全水平。对于中国企业遵守这些规范标准是迈向无缝国际接轨的重要前提。

9 结语

    在基线的前提下，安全团队才可以把原始的“安全材料“纳入量化的安全改进：降低关键系统的脆弱等级，优化IT相关的安全管理审计流程，启动必要进程减少期间的处理漏洞的反映时间。要想把安全手段完美纳入到每天企业的工作流中无疑是对企业组织能力的又一挑战，但是这些又是现代企业可持续性健康发展的必要前提，是发展中的我国企业不能忽视的又一个关键环节。