中华网络安全联盟    作者：佚名    来源：互联网    时间：2006-11-16 21:16:54

“公司内部决策者站在网络犯罪分子的立场上看问题，他们用这个方法成功地对他们的信息安全策略以及程序进行再评估。”

Carrick Holdings是Cyber Detectives, Carrick Training 以及Carrick Consulting三家公司的母公司。它最近受本地一家银行机构的委托，对其进行全面的安全评估。

该项服务使用了外部方法（黑盒）以及使用内部方法（白盒）来进行评估。

Carrick的代理们不利用企业安全的任何漏洞，但他们确定外部能见度并且给出相关报告。

“原则不是那种‘你不能访问数据，因此环境是安全的，而应当是在混沌情况下的安全性，”Carrick解释道。“该项原则是针对伴随黑客生命周期开始而出现的各种风险的。”

Carrick Holdings 的一个技术员Hugo van Niekerk解释了该公司所使用的分阶段评估法。

is the collective term used to describe the system that requires assessment.

“项目的第一阶段是搜查。就如同它的名字所显示的一样，这个过程中，我们搜集了关于评估目标（TOE）的所有公共可用的信息——这些是描述要评估的系统的整体信息。”

“DNS服务器就相当于信息的源头。DNS信息给安全代理人员指示了防火墙IP地址和分配给该银行的公共IP地址。它还进一步识别银行网站的位置以及其他静态IP的信息，例如，电子邮件和VPN服务等，”Van Niekerk说。

他继续说，第二阶段我们扫描漏洞，并进行分析。

除了显示系统的一些不足，该分析还显示了该机构花了大力气保护它的基础设备——从日常步骤和手续的修改，直到补丁和漏洞管理，还有有效地过滤电子邮件。

Van Niekerk说，“在银行的内部网络上，人们熟练地配置了连接设备，它提供一种平稳的安全措施。我们给服务器打了补丁，并安装了防毒软件，入侵防御系统(IPS)，以及各种各样的加密和过滤装置。”

Carrick总结道，“大多数对环境的攻击都很复杂，并且这些攻击是由那些动机很强的犯罪者操作的。可以说，银行机构和财政机构每天都面临这样的挑战，因此同时从敌我两个角度处理安全措施很有价值。”