3.2 漏洞管理计划和技术开发
漏洞管理项目中同样也包括主要的技术开发部分。这一开发过程同样可以套用前面提到的开发周期的各个阶段。如图3-2所示,在图3-1基础上加入技术开发流程,可以看到一组并列的流程活动。
当技术开发与该项目的组织和计划上的各发展阶段并行开展时,反馈信息必须向上、向毗邻的左右以及向下传递。毗邻是指策略开发需要通知工程师该如何设计系统。或者,变更系统设计以提供简化流程的依据。在2.5.2节我们看到,系统集成极大简化了事件和变更管理流程。向下是指一个细微的策略变动可能因为去除了不必要的冗余的内部审计功能而使得系统编码变得更简单。例如,某审计功能可能为了检测漏洞而要求每次扫描都跟踪记录系统的每个操作。这一策略非常糟糕,因为这种频繁的记录行为带来的海量审计信息将压垮任何扫描软件、硬件及其支撑网络,这些审计信息的数量也许等于但更可能远远超过实际发现的漏洞信息的数量。如果仅把漏洞结果数据记录为审核信息,将更加高效。
向上越级反馈是很重要的,但经常被忽视。例如,漏洞管理计划的开发可能引起策略中的一些不一致,可以将这些不一致的地方反馈到以前的策略开发阶段。例如,在漏洞管理计划开发过程中,可能会发现在已扫描过的类型的系统中,没有发现某个特定的漏洞。因此,一项要求对所有系统进行UNIX shell漏洞扫描的政策并不适用于只使用微软应用程序的商业系统中。这就需要修改策略,添加类似“在适当的地方”等说明语句。
技术开发程序的反馈会为并行开展的组织项目提供信息。例如,漏洞管理系统技术中所发现的某一特征可能会对入侵检测主动防御性能有所帮助。所以,需要增强入侵防范的策略、技术和相关的流程。在早期规划阶段就实现该功能,会自然地将漏洞管理系统集成到组织架构中的其他部分,同时也能分析需要将技术方案与入侵防御系统(IPS)集成的位置。但是,并非所有好主意都能在开发前想到。技术项目负责人的任务就是与小组成员一起,确定所发现的问题是否确实需要额外的工作来解决。
在图3-2中,你能看到项目的技术开发贯穿整个计划流程。在各个方向上都应当试试,思考一下一个阶段可能会影响另一个阶段的情况。