前　　言

漏洞管理（Vulnerability Management，VM）已经有了上千年历史，城市、部落、国家和企业都会触及该学科的知识。漏洞会让潜在的攻击者有机可乘，任何机构的成功管理和运作都依赖于对漏洞进行检测和修复的能力。以往，人们修筑城堡，在城市中建造防御设施和高级预警系统，这些都是他们意识到自身的脆弱性并为了抵御危害而采取的各种措施。如今，我们检测到在软件系统、基础设施以及企业战略中也都存在一些漏洞，这些漏洞通常需要从多个角度、以创新性的方法来解决。

本书是一本信息安全从业人员的指导手册，读者包括安全工程师、网络工程师、安全部门的官员或首席信息主管（CIO）等在内的安全行业从业人员，系统地介绍了什么是漏洞管理及其在组织机构中的作用。本书涵盖了漏洞管理的各个重点领域以满足不同读者的需求。技术章节从宏观视角介绍了漏洞相关内容，不打算太纠结于技术细节的决策者也可以读懂这部分内容。其他有关流程和策略的章节，也能为领导层提供一定的参考，但主要是从工程师或安全主管的角度介绍了漏洞管理技术及其流程在企业中所起的作用。
作者建议对漏洞管理领域感兴趣的读者阅读相关章节，并略读其余章节。如果不能以长远的眼光全面理解漏洞管理的各个方面，将难以有效参与漏洞管理的任何一个环节。通常，员工们会担心他们在某个过程中承担的工作看起来毫无意义。希望本书介绍的内容能够在一定程度上减轻这种焦虑。

目 录

第1章　绪论
1.1　风险管理的作用
1.2　漏洞管理的起源
1.3　安全产业及其缺陷介绍
1.4　来自***和产业的挑战
1.5　漏洞的来源
1.6　有缺陷的漏洞管理示例
1.7　漏洞管理的重要性
第2章　漏洞体验
2.1　简介
2.2　漏洞产生过程
2.3　创建漏洞：一个例子
2.4　使用漏洞管理程序的理由
2.5　漏洞管理程序故障
第3章　计划和组织
3.1　概述：计划结构
3.2　漏洞管理计划和技术开发
3.3　参与者
3.4　策略和信息流
3.5　小结
第4章　漏洞管理技术
4.1　简介
4.2　总体架构
4.2.1　硬件模式
4.2.2　用户提供的硬件和虚拟化
4.3　代理
4.3.1　代理架构
4.3.2　优点与缺点
4.3.3　检测方法
4.4　被动网络分析
4.4.1　优点与缺点
4.4.2　检测方法
4.4.3　物理层
4.4.4　数据链路层
4.4.5　网络层
4.4.6　4至7层
4.5　主动扫描技术
4.5.1　优点与缺点
4.5.2　检测方法
4.6　混合方法
4.7　推理扫描
4.8　CVE
4.8.1　结构
4.8.2　CVE的局限
4.9　漏洞测试数据标准
4.9.1　架构定义
4.9.2　系统特征架构
4.9.3　结果架构
4.9.4　测试描述
4.10　漏洞危害程度评价标准
4.11　美国国家漏洞库
4.11.1　CPE
4.11.2　XCCDF
4.12　SCAP
4.13　Nessus
4.13.1　优点与缺点
4.13.2　扫描模型
4.13.3　使用Nessus
第5章　选择技术
5.1　概述
5.2　总体需求
5.2.1　责任分担
5.2.2　时间表
5.2.3　标准
5.2.4　报告
5.2.5　高级报告
5.3　自动化
5.3.1　标签生成
5.3.2　流程整合
5.3.3　流程和系统的灵活性
5.3.4　补丁管理支持
5.4　体系结构
5.4.1　被动的体系结构
5.4.2　基于代理的体系结构
5.4.3　主动扫描的体系结构
5.4.4　保证平台安全
5.4.5　系统整合
5.5　定制与整合
5.6　评分方法
5.7　访问控制
5.7.1　活动目录
5.7.2　RADIUS和TACACS+
5.7.3　授权
5.8　部署方法
5.8.1　主动扫描器部署：物理部署
5.8.2　虚拟扫描器
5.8.3　被动分析器的部署
5.8.4　代理部署
5.9　小结
第6章　过程
6.1　介绍
6.2　漏洞管理过程
6.2.1　准备
6.2.2　发现
6.2.3　轮廓
6.2.4　审计
6.2.5　修复
6.2.6　监控和调整
6.2.7　管理
6.3　基准
6.4　ITIL-ITSM流程
6.4.1　服务支持
6.4.2　服务台
6.4.3　事件管理
6.4.4　服务交付
6.4.5　其他方面
6.5　IAVA流程
6.6　数据分级
6.6.1　案例研究：Big Tyre Corporation
6.6.2　数据分级流程
6.7　风险评估
6.7.1　信息收集
6.7.2　安全控制评估
6.7.3　业务需求
6.7.4　资产估值
6.7.5　漏洞评估
6.7.6　安全控制措施有效性评估
6.8　小结
第7章　执行、汇报与分析
7.1　介绍
7.2　发现报告
7.3　评估报告
7.4　框架报告
7.5　审计报告
7.5.1　主动扫描审计报告
7.5.2　被动扫描审计报告
7.5.3　审计趋势分析
7.6　主动扫描：时间安排与资源
7.6.1　审计参数
7.6.2　时间安排
7.7　审计趋势与性能报告
7.7.1　基本报告
7.7.2　高级报告：控制图
7.7.3　介绍漏洞群：控制性能报告
7.8　合规性报告
7.8.1　系统合规性报告
7.8.2　合规性执行总结
7.9　小结
第8章　规划
8.1　介绍
8.2　章程制定
8.2.1　介绍：业务价值
8.2.2　目的和目标
8.2.3　范围
8.2.4　假设
8.3　业务用例
8.4　需求文档
8.5　安全架构建议
8.6　RFP
8.7　实施计划
8.8　操作流程文档
8.9　资产估价指南
8.10　漏洞管理策略
8.11　部署策略
8.11.1　基本策略
8.11.2　基于风险的策略
8.11.3　改进的时间表
8.12　部署标准与进展报告
8.13　小结
第9章　策略性漏洞
9.1　介绍
9.2　操作环境
9.3　管理外部因素
9.4　控制内部漏洞
9.4.1　业务模式
9.4.2　业务程序
9.4.3　复杂性
9.4.4　反应方案
9.4.5　漏洞方法论与变更
9.4.6　复杂性
9.5　规避原则
9.6　了解对手
9.6.1　优点与缺点
9.6.2　现实事件
9.6.3　目的与目标的对比
9.6.4　时间放大效应
9.6.5　政治环境加剧攻击
9.7　小结
第10章　总结
10.1　介绍
10.2　跨领域机会
10.3　跨技术机会
10.3.1　代理
10.3.2　补丁管理
10.3.3　应用渗透测试
10.4　流程缺陷
10.5　运行环境的变化
10.5.1　省时
10.5.2　节电
10.5.3　分布式计算
10.6　报告
10.7　服务水平协议
10.8　小结