弱點稽核，您做的確實嗎？

• 了解企業網路架構
  執行弱點稽核的第一步，就是對企業的網路環境先做個了解，確認網路架構中提供了哪些網路服務及應用程式，並確定在執行弱點掃描前是否有其他需注意與配合之事項。
  
  
• 依據需求選擇掃描目標
  評估有哪些主機、應用程式及網路設備要執行弱點掃描，若企業規模較大，則建議採用多工排程功能進行分批掃描，檢測結果再透過 E-mail 通知、存檔或匯入 ODBC 資料庫，可以節省網路頻寬的佔用及提昇弱點檢測的效率。
  
  
• 選用適合的弱點評估工具
  市面上有許多弱點評估(VA) 工具，MIS 人員或資安委外廠商可依需求，選用適合的弱點評估工具，並將弱點評估工具部署在企業網路環境上，在執行弱點稽核作業前，先更新檢測模組與弱點資料庫，將弱點稽核功能發揮到極致。
  
  
• 選擇適當的掃描政策，進行弱點掃描作業
  依據目標主機的不同，選擇適當的掃描政策來進行弱點掃描，將加快掃描作業時間，如：要進行 NT 網站的弱點檢測，則可以選擇 IIS 網站的安全政策，若要進行 SANS TOP 20 常見弱點檢測，則可以選擇其所屬的政策。
  
  
• 分析弱點掃描結果
  依據掃描後的結果，產生報表或自訂企業所需求的報表，如：前後次差異性報表，並根據企業網路狀況，進行掃描結果的分析。
  
  
• 弱點修補與安全漏洞之修正
  企業可依弱點的嚴重程度及分佈狀況進行修補作業，風險性較高的弱點先進行修正，風險較低的弱點亦需安排時程逐步完成修補，另外，有些弱點無法以更新軟體的方式進行修正，則需以管理的方式將安全風險降到可接受的範圍。
  
  
• 弱點掃描複檢作業
  在完成弱點修補後，必需再進行一次弱點掃描的複檢作業，主要的目的是要確定弱點是否已經正確地被修正。完成以上七個步驟才算是一次完整的弱點檢測流程。

• 弱點評估工具評鑑方式之參考