对许多人来说，对整个网络进行审核就像牙根管一样可笑。现今网络安全问题层出不穷，我们都知道应该实施网络安全审核，却没有贯彻执行。我认为这是由以下几个原因造成的。首先是知识。很多网络管理员不具备系统和安全的背景知识。当他们准备实施网络安全审核时，面临的最大困难是他们所缺乏的具体知识。

　　现在有很多非常好的安全审核工具，像是Nessus和NMAP，不需要利用从路由器、交换机和服务器上获取的所有数据，这很有帮助。然而，收集并使用这些数据是一把双刃剑。一方面，你必须知道怎么使用这些数据；为了收集数据而收集纯粹是浪费时间。更糟糕的是另一方面，收集这些数据可能会危及网络并导致系统崩溃。因此使用审核工具的时候必须非常小心。要保证审核有效，需要制定一个详细严谨的方案。如果审核计划制定的不够严密，可能会给系统带来很大的风险，并且无法提供有用数据。

　　安全管理员抵制安全审核的第二个原因是他们认为“我的系统很安全，我不需要进行网络安全审核”，这种想法我称之为“否认”。这不过是自欺欺人。今天没有网络是安全的。计算机是便携式的，从一个网络连接到另一个网络。平均来说，大多数计算机用户至少会用到两个以上的网络来访问相关联的数据服务。再加上很多企业的网络结构“外强中干”。所以发生安全事故不是可不可能的问题，只是时间问题。

　　除了用户造成的不安全因素，目前，服务器操作系统的漏洞是最容易受到网络攻击的。所以操作系统也是不安全的因素。如果你仍然认为网络是安全的，请回答下面的问题：

　　1、如果现在有一个病毒利用microsoft-rdp（一种终端服务）或者SSH v1.3.3攻击你的网络，你知道哪个服务器上运行了这些服务程序吗？
　　2、你知道网络中关键服务组件的硬件厂商和所使用的操作系统吗？
　　3、如果有人无线接入局域网，你会知道吗？
　　4、如果有人在某台执行特定任务的服务器上运行新功能，你能检测到吗？
　　5、你知道每一台服务器上运行了何种网络服务吗？有多少服务处于活动状态？

　　如果你不能肯定回答上述任何一个问题，那么可以肯定地说你的网络并不安全。不要太沮丧，即使你对上述问题的回答都是肯定的，仍然不能确保网络安全。但是，你的确可以有一个很好的切入点，从而及时检测到安全事故的发生并减轻安全事故的危害。当你准备实施网络安全审核时，必须从网络不安全的角度去考虑问题。一旦初次基线审核完成，就要检验发现的问题。与系统管理员和程序开发人员一起确认你所发现的服务正是应该在该处运行的。如果他们也无法确认，与产品厂商联系。如果不能确定网络上应该运行哪些服务，不应该运行哪些，就不可能确保网络安全。

　　疏于审核的第三个也是最后一个的原因是有大量其他工作，没有时间。实施网络安全审核确实需要花时间。更糟的是，你需要长期地经常性地进行审核。人们对一个好的安全审核的最普遍的反应是：“我们执行过一次，没有发现任何异常，审核结束。”这是一个错误的想法。你必须意识到网络安全审核的结果是很容易发生变化的。

　　你可以假定审核结果是有效的，直到网络发生变化（如果你运行DHCP，变化每天都在发生）或者发现了网络中操作平台上的新漏洞。网络安全审核需要定期开展，并且应该与以往的数据进行对比。很多安全事故发生时我们检测不到。历史审核数据可以用来辨别系统何时发生了变化，因为通常系统运行的特定环境会发生改变。如果不进行持续的安全审核并且对比数据结果，很难检测到系统的变化。

　　理想情况是，构建网络，连接所有服务器，在用户访问网络之前运行基本的网络服务。然而这是不切实际的，因为没有用户就不可能知道用户正在访问服务器中的哪些服务。也就是说，一旦实施了安全审核，当有新节点第一次连接到网络时，要对新节点进行安全检查。典型的网络服务审核会收集每个节点的下列信息：

　　.ARP地址
　　.IP地址
　　.DNS的名称和备用DNS的名称
　　.操作系统
　　.所运行的网络服务（如果可能的话应该包含版本信息）
　　.活动的网络服务

　　节点可以是服务器、路由器、交换机、无线接入点或者任何长期连接到网络上的设备。尽管对用户节点进行安全审核很有价值，除非节点是锁定的并且用户不能修改，然而建立有用的档案数据是一项很繁重的工作。应该采取的安全措施是认为所有不在集中管理控制下的主机都是危险的并且加以防备。收集安全审核数据一般分为三个阶段：

　　.主机辨识：这个阶段需要为连接到网络中的活动主机建立数据库。数据库从下面三个数据源收集数据：交换机ARP表、活动ICMP扫描和DNS分区表。
　　.主机信息收集：这个阶段需要对主机进行扫描以确认操作系统、运行的网络服务以及服务软件的版本信息。主要通过对活动主机进行端口扫描和漏洞扫描来获取数据.
　　.服务信息收集：这个阶段要求监视进入网络的数据流来确认哪些网络服务处于活动状态。利用收集到的主机信息，我们可以建立数据流监测访问列表来监控网络数据流。

　　下次我们将会具体谈到主机辨识过程，利用恰当的工具是很容易完成的。最后希望你能接受这样的观念：网络安全审核是既耗时又繁琐的工作，你可能没有时间实施。但是很可能有人已经不厌其烦地对你的网络进行扫描，寻找弱点加以攻击。这些人可能就在组织内部；美国联邦调查局的统计数据显示，超过60％的计算机犯罪是从企业内部实施的。因此你要记住最好的防守就是进攻，只有知道网络的弱点在哪，才能很好地抵御攻击。