考慮到現(xiàn)代機(jī)構(gòu)面臨威脅的易變性和持久性，維護(hù)和改善階段雖然處于后期，但也許是最為重要的。當(dāng)今的信息安全系統(tǒng)需要不斷的監(jiān)控、測(cè)試、改善、更新和修復(fù)。傳統(tǒng)的應(yīng)用程序系統(tǒng)是在軟件開(kāi)發(fā)生命周期框架內(nèi)開(kāi)發(fā)的，并非用來(lái)預(yù)測(cè)在正常操作進(jìn)程中面臨的惡意攻擊。在安全方面，建立穩(wěn)定和可靠的的系統(tǒng)實(shí)際是一場(chǎng)防御戰(zhàn)。由于新的威脅不斷產(chǎn)生，原有的威脅不斷演化，機(jī)構(gòu)的信息安全框架就需要不斷地適應(yīng)這樣的變化，以預(yù)防各種威脅成功地滲透到敏感數(shù)據(jù)之中。

信息安全項(xiàng)目一經(jīng)實(shí)施，就需要受到控制和正確的管理，以及依靠已經(jīng)建立的程序保持先進(jìn)性。如果計(jì)劃不能做到根據(jù)內(nèi)外環(huán)境變化及時(shí)調(diào)整，就有必要重新開(kāi)始生產(chǎn)周期。CISO衡量信息安全組是否能及時(shí)適應(yīng)和維護(hù)機(jī)構(gòu)的信息安全， 或者說(shuō)安全軟件開(kāi)發(fā)生命周期的宏觀進(jìn)程是否必須重新開(kāi)發(fā)新的完全不同的信息安全框架。如果機(jī)構(gòu)信息安全項(xiàng)目能夠應(yīng)對(duì)變化，那么它就會(huì)是低成本、高效率的。值得注意的是，即使一項(xiàng)信息安全項(xiàng)目是合理、成熟的，但那些維護(hù)和改善進(jìn)程會(huì)反映安全軟件開(kāi)發(fā)生命周期的全過(guò)程，只是范圍不同罷了。

當(dāng)明確了不足和弱點(diǎn)時(shí)，維護(hù)、擴(kuò)展和增強(qiáng)計(jì)劃就遵循安全軟件開(kāi)發(fā)生命周期的步驟了。因此，對(duì)于維護(hù)來(lái)說(shuō)，步驟包括了調(diào)研、分析、設(shè)計(jì)和實(shí)施。

當(dāng)設(shè)計(jì)一個(gè)系統(tǒng)管理模型來(lái)管理和控制系統(tǒng)時(shí)，就用維護(hù)模型來(lái)補(bǔ)充系統(tǒng)管理模型以及把機(jī)構(gòu)精力集中在系統(tǒng)維護(hù)上。圖2-10給出了維護(hù)信息安全的一個(gè)推薦解決方案。該圖提出了后面我們將討論的維護(hù)框架，該維護(hù)模型包括了5個(gè)主題域或范圍：

外部監(jiān)控圖2-10顯示的外部監(jiān)控的目標(biāo)是跟蹤新的威脅、威脅手段、漏洞和攻擊，從而產(chǎn)生有效且及時(shí)的防御。

內(nèi)部監(jiān)控內(nèi)部監(jiān)控的主要目的是保持對(duì)機(jī)構(gòu)的網(wǎng)絡(luò)、信息系統(tǒng)和信息安全防御的狀態(tài)要非常熟悉。相關(guān)情況必須被及時(shí)傳達(dá)和記錄，特別是連接到外部網(wǎng)絡(luò)的信息系統(tǒng)部分的情況。

計(jì)劃和風(fēng)險(xiǎn)評(píng)估計(jì)劃和風(fēng)險(xiǎn)評(píng)估的主要目標(biāo)是對(duì)信息安全項(xiàng)目的整體保持謹(jǐn)慎的態(tài)度。它可通過(guò)驗(yàn)證和對(duì)進(jìn)行中的大幅降低風(fēng)險(xiǎn)的信息安全項(xiàng)目的。 

2-10維護(hù)模型

劃取得局部實(shí)現(xiàn)。風(fēng)險(xiǎn)評(píng)估組也會(huì)驗(yàn)證和記錄lT工程和信息安全工程提出的風(fēng)險(xiǎn)。此外，它還會(huì)驗(yàn)證和記錄下當(dāng)前環(huán)境中潛在的風(fēng)險(xiǎn)。

漏洞評(píng)估與糾正漏洞評(píng)估與糾正的主要目的是對(duì)具體的、有記錄的漏洞進(jìn)行驗(yàn)證并作出及時(shí)的糾正。它通過(guò)以下途徑實(shí)現(xiàn)：

使用漏洞評(píng)估程序安全收集網(wǎng)絡(luò)（內(nèi)部和面向公眾的）、平臺(tái)（服務(wù)器、桌面和處理控制）、撥號(hào)調(diào)制解調(diào)器及無(wú)線(xiàn)網(wǎng)絡(luò)系統(tǒng)的情況；

記錄后臺(tái)信息以及為已發(fā)現(xiàn)的漏洞提供經(jīng)測(cè)試過(guò)的糾正程序；

跟蹤、傳達(dá)，并向管理層報(bào)告有關(guān)已發(fā)現(xiàn)漏洞的詳細(xì)情況以及對(duì)其糾正的成敗。

就緒與審查就緒與審查的主要目的是確保信息安全項(xiàng)目按設(shè)計(jì)執(zhí)行，也希望其隨時(shí)間變化不斷提高。

脆弱性評(píng)估指對(duì)信息安全系統(tǒng)和相關(guān)的非安全領(lǐng)域系統(tǒng)中當(dāng)前存在的漏洞的物理與邏輯上的評(píng)估。此類(lèi)分析通常由滲透測(cè)試來(lái)完成。在滲透測(cè)試時(shí)，安全人員模仿或執(zhí)行具體且受控的攻擊，根據(jù)已發(fā)現(xiàn)的漏洞來(lái)危及或破壞自己的系統(tǒng)。此種測(cè)試一般在與機(jī)構(gòu)外部的網(wǎng)絡(luò)連接時(shí)使用，因?yàn)榘踩藛T希望從攻擊者的立場(chǎng)來(lái)找出機(jī)構(gòu)系統(tǒng)的漏洞。滲透測(cè)試通常由一些顧問(wèn)或在外聯(lián)絡(luò)的人執(zhí)行， 這些人一般就是那些白帽黑客、民族黑客、老虎團(tuán)隊(duì)或者是紅色團(tuán)隊(duì)。他們稱(chēng)謂是什么并不要緊，關(guān)鍵的是他們所做的。不用黑客的眼光審視自己系統(tǒng)的信息安全管理者都不能為信息安全計(jì)劃做好準(zhǔn)備。滲透測(cè)試中最優(yōu)秀的程序和工具以及其他漏洞評(píng)估的方法就是使用黑客們使用的程序和工具。慶幸的是，很多入侵檢測(cè)系統(tǒng)都能探測(cè)到這些工具的信號(hào)并向信息安全管理發(fā)出警告。

SecSDLC維護(hù)必須解決的問(wèn)題之一就是選擇系統(tǒng)管理模型。要協(xié)助信息安全部門(mén)有效地執(zhí)行安全計(jì)劃的管理和控制，就必須采用系統(tǒng)管理模型。一般來(lái)說(shuō)，系統(tǒng)管理模型其實(shí)是一個(gè)對(duì)特殊活動(dòng)或業(yè)務(wù)工作管理結(jié)構(gòu)化的框架。以下所討論的框架即是對(duì)ISO網(wǎng)絡(luò)管理模型的修改。

ISO網(wǎng)絡(luò)管理模型提供了覆蓋5個(gè)領(lǐng)域的網(wǎng)絡(luò)和系統(tǒng)操作與管理的構(gòu)架：
    *故障管理

*配置和變更管理賬戶(hù)和審計(jì)管理

*性能管理

*安全項(xiàng)目管理

在原始形式中，ISO模型并不直接用于信息安全計(jì)劃的管理，但是可以對(duì)其修改以適應(yīng)多數(shù)信息安全計(jì)劃中的各種管理任務(wù)。安全管理涉及的5種領(lǐng)域的ISO 模型將在接下來(lái)的部分中進(jìn)行討論。

故障管理在ISO模型中，故障管理指系統(tǒng)中故障的跟蹤、診斷和解決。信息安全故障管理指在采用的信息安全架構(gòu)中識(shí)別并解決故障，故障管理的另一方面是反映和解決用戶(hù)的難處。

配置和變更管理配置管理是對(duì)安全計(jì)劃中各個(gè)部分的管理。變更管理則是對(duì)策略、操作和信息安全計(jì)劃各個(gè)部分的變更管理。配置和變更管理操作都強(qiáng)調(diào)做出技術(shù)和非技術(shù)的改善。技術(shù)的改善影響到支持硬件、軟件和數(shù)據(jù)部分的安全的技術(shù)實(shí)施；而非技術(shù)改善則影響到程序和人。

賬戶(hù)和審計(jì)管理賬戶(hù)管理反映系統(tǒng)特殊部分的使用。在網(wǎng)絡(luò)中，這種反映很容易知道哪些用戶(hù)在使用哪些資源。但在安全方面，哪些資源正被占用是很容易知道的，而誰(shuí)在使用就很難了解了。這樣看來(lái)，賬戶(hù)的管理與執(zhí)行的管理（稍后討論）相重疊，使用賬戶(hù)管理來(lái)決定系統(tǒng)使用的最佳方案，并將其作為升級(jí)和提高的指標(biāo)。

審計(jì)是審查系統(tǒng)使用的過(guò)程而不是檢查它的性能，審計(jì)更適合確定系統(tǒng)是否錯(cuò)用或?yàn)^職是否發(fā)生。

性能管理由于許多信息安全技術(shù)控制在普通IT處理器上執(zhí)行，他們與大多數(shù)基于計(jì)算機(jī)的技術(shù)一樣受到相同因素的影響。因此，監(jiān)控安全系統(tǒng)及其IT基礎(chǔ)設(shè)施的性能以便確定它們是否如期望那樣有效（或效率高），這一點(diǎn)是很重要的。

一些信息安全控制系統(tǒng)（如用來(lái)發(fā)現(xiàn)互聯(lián)網(wǎng)資源不合理利用的互聯(lián)網(wǎng)使用監(jiān)控器）就作為監(jiān)控設(shè)備運(yùn)行。

安全項(xiàng)目管理信息安全項(xiàng)目一旦展開(kāi)，就應(yīng)對(duì)其進(jìn)行控制和管理。ISO5類(lèi)領(lǐng)域框架為管理模型提供了一些結(jié)構(gòu)，但它強(qiáng)調(diào)各個(gè)領(lǐng)域的覆蓋，而不是對(duì)管理的真正實(shí)施加以引導(dǎo)。要在信息安全計(jì)劃中實(shí)現(xiàn)真正的管理，一個(gè)正式的管理標(biāo)

準(zhǔn)可以提供所需的進(jìn)程和程序。它可以建立予早在本章前面就描述過(guò)的BS7799/IS017799模型或NIST模型基礎(chǔ)之上。