企业现有的发现漏洞的努力一定会揭示一些漏洞，并可能发现目前的策略造成安全漏洞的途径和方式。这当然是好事，因为建立一套长久高效的漏洞管理过程的最佳方法之一就是，评估现有的IT过程如何造成差强人意的漏洞管理状态。

下面列示的是一些用于建立强健的安全过程的最佳方法。

1、对于新服务器和桌面的部署，强化一个以安全为中心的过程

企业的主机在IP网络上将会遭受攻击，所以应当确保所有的服务器（新的和已有的）都应用一套标准安全模板（能够排除不必要的服务和端口，否则这些端口和服务有可能被用作攻击通道）。这应当成为一个漏洞管理项目的核心IT过程。

部署一台新服务器或桌面PC也许很简单，但保障新桌面和服务器的安全确保漏洞数量最小化就不那么简单了。采用一种面向过程的方法来部署新系统至关重要，因为最终你的主机将成为遭受攻击的靶子，而这种攻击是通过网络发生的。

以安全为中心的过程要求企业花时间确认用来强化操作系统（Web、应用程序、数据库等的运行与其密切相关）的方法。这包括清除所有供应商所提供的软件后门、不重要的和不必要的服务，并关闭任何可以导致服务器打开一个UDP/TCP端口的不必要的应用，还要求你部署适当的端点保护，用来跟踪配置上发生的变化，并阻止绕过外围防御的攻击。

如果你已经从安全的角度确认了标准桌面和服务器应当具备的特征，下一个重要问题是验证参数，并在一个模板中捕获这些参数以有利于未来的部署。企业还要有一个过程，确保在将一台服务器投入到生产环境之前，就应用标准的安全模板。作为一个标准的软件开发生命周期的一部分，新代码要经过一个质量保证过程。同样，所有新部署的服务器都应当在投入到生产环境之前，由其它的监视机制来保证其质量。通过强化关键应用软件赖以运行的桌面和服务器，安全团队不需编写一行代码就可以改善应用程序的安全性。

2、每天监视与日志和事件相关的数据

大型企业花很多钱用于日志管理、安全信息和事件的管理，但往往缺乏一个强有力的过程，无法将这些信息用作漏洞管理项目的一部分。在攻击者开始利用一个已知或未知的漏洞时，总会留下线索，但如果你不查找就永远看不到这些线索，而且也无法依靠自动化和警告规则去通知需要响应的每个安全事件。

企业应当集中管理安全日志，而且应当有人（理想情况下应超过一人）去检查这些日志，以此作为日常过程的一部分。

一个强健的日志管理或SIEM系统将成为漏洞管理项目的一个关键要素。漏洞扫描器可以帮助你揭示已知的威胁和潜在的攻击手段，但是日志可帮助你发现黑客是否访问过一个交换机或路由器。你还应当使用可以帮助你查找关键系统上发生变化的配置管理工具，要知道这种变化可能带来新漏洞，或者表明某种攻击正在发生。

对于预算紧张的中小型企业来说，开源或轻量级的系统日志服务器至少可帮助企业构建一个安全和事件相关数据的集中化展现。中小型企业还可以通过使用Windows中的相关安全和策略功能来解决配置管理问题。你也许达不到专有产品的控制和报告水平，但至少不花费什么代价就可以防止打开新漏洞和安装恶意软件。

3、让每天搜索新漏洞成为一个至关重要的IT过程

用户和系统管理员迟早会对桌面和服务器做出变更，这会带来新漏洞。多数系统变更是善意的，但往往会产生负面的安全影响。例如，管理员启用一台关键服务器的远程桌面，就会违反安全策略；用户为完成某些工作，在家里安装了远程访问客户端软件来访问公司的应用；用户或应用程序有时会禁用Windows的更新服务或反病毒扫描器在主机上运行；管理员无意地部署了一台路由器，却没有更改默认的用户名和口令，等等。

在系统变更或新的部署带来新漏洞时，企业需要检测这个漏洞，并快速地用一种面向过程的方式来解决漏洞。

适时地搜索和阻止网络漏洞要求企业有完善的工具。最初的投资应当是一个漏洞扫描器。而云供应商也可以扫描企业的IP地址块，这对于中小型企业发现防御漏洞是一种好方法。此外，Nmap也可用于发现多台主机的开放端口。

你还需要使用智能的网关防御，用来限制可能带来安全问题的各种应用程序。用户安装的把系统暴露在互联网上的非法软件，本身就是一个需要解决的漏洞。如果企业的端点防御或安全策略没有阻止用户安装未经许可的软件，安全团队就应当确保防火墙能够在外围过滤应用程序。企业需要向外围增加一些保护和检测功能，应当在外围过滤已知的恶意软件和漏洞。希望依靠端点防御来防止漏洞是不可靠的，因为端点的保护往往并不完备。

4、交流和通知新发现的漏洞

几乎任何企业的漏洞扫描器都能检测和确认严重的新漏洞，问题在于：你如何对待这些信息。安全团队应当将新发现的漏洞传达给应用程序的开发团队，并附上具体的补救计划，这应当成为头等大事。企业还要以一种面向过程的方式来监督漏洞信息的传达和交流，将其作为企业网络漏洞管理项目的一部分。企业应当为把新风险传达给公司应用开发团队而构建一个协调良好的过程,这应当成为应用团队和网络团队经常交流的重要内容。

5、严格限制对关键系统的访问

无疑，可以远程访问的任何服务器都易遭受攻击，但在今天，关于服务器管理的事实是，IT不能简单地禁用远程访问。IT仍可以使用户更安全地连接到服务器，而且可以使黑客在使用这种攻击手段时更困难。

解决此问题的一种方法是，禁用远程桌面并依靠IP KVM和带外管理。安全人员还可以仅允许从可信的安全VLAN远程访问服务器。对安全VLAN的远程访问应当要求双因素保护，而且不应当允许使用一般账户(包括“administrator”账户)的身份验证。此外，还应当记录所有的远程连接。

如今，许多与安全相关的最佳实践可保护企业免受漏洞的威胁。但对企业来说，更大的困难在于将这些最佳实践和工具转变成一套可行规则。在部署新系统或应用时，企业必须视漏洞问题。企业需要认真对待如何围绕最佳实践逐步地构建一个可实施的IT过程，否则必将遭遇惨败。

请继续阅读防患未然：建立漏洞管理过程（上）。