核心方法:SEO分析的方法是什么?

　　核心方法:SEO分析的方法是什么?

　　什么是SEO运营？为什么 SEO 对企业营销如此重要？

　　SEO（俗称SEO）是一种提高网站流量和质量的方法。现场搜索引擎优化利用有机搜索结果来获得知名度和网站流量。它涉及了解人以及在线搜索。一旦您了解了您的受众，您就可以提供您想要的内容，从而增加参与度。让我们首先讨论为什么 SEO 如此重要，并学习一些重要技巧。您可以将它应用到您的业务中，并将其放在所有重要的搜索引擎排名中。

　　为什么搜索引擎优化很重要？

　　SEO 非常重要，因为搜索引擎是网络流量的核心。虽然付费广告和社交媒体仍然有效，但大部分在线流量来自搜索引擎。

　　搜索引擎覆盖了更多的数字房地产，并发现自己出现在更多人面前。SEO 比付费广告获得更多点击。大约 3% (2.8%) 的用户点击了付费广告。SEO 提供的流量是付费广告的 20 倍。有了这些统计数据，您就不能忽视它的重要性。当 SEO 似乎太复杂而难以掌握时，请考虑聘请一家专门从事 SEO 的公司。

　　说到SEO，没有对SEO潜力的了解。该公司提供常青品质的 SEO。在您的网站上，内容将始终存在，并且持续数周、数月和数年。付费广告只能继续赚钱。SEO 永远不会消失。

　　SEO 公司将使用几种不同类型的网站进行 SEO。最常用的是内容SEO、图片SEO、站外SEO。内容 SEO 是对文章和博客文章等网站内容的优化。PaperSEO 会覆盖您网站上图像的元描述和名称。站外搜索引擎优化是指您网站之外的事物，这些事物会影响您的搜索引擎排名，例如高质量的反向链接。这创造了更高的排名。

　　搜索引擎优化分析。

　　SEO 分析是 SEO 公司向网站提供 SEO 技巧的方式之一。这种分析可以了解您网站的当前状态并告诉公司该怎么做。搜索引擎使用许多不同的因素来分析和排名网站。SEO 公司使用审核来检查您的网站在这些因素上的表现。这可以帮助确定需要修复的问题区域，并使您的网站始终处于领先地位。他们将为您提供一份清单，列出您可以做的所有事情，以改善您网站的搜索引擎优化，然后您可以完成这些事情。

　　

" />

　　该分析包括现场 SEO 和超链接、SEO 内容的当前状态以及从其他站点获得的反向链接。反向链接是您的 SEO 策略的重要组成部分，但并非所有链接都是一样的。从可疑来源链接的网站可能表现不佳。检查非常有用，因为搜索站点的第一步是了解您现在所在的位置。

　　创建高质量和有用的内容。

　　人们在为网站 SEO 编写内容时最常犯的错误是缺乏对人的关注。优质内容首先是为人类编写的，其次是搜索引擎爬虫。如果过于关注关键字，会导致代码混乱。更重要的是，围绕用户喜爱的有用、高质量的内容制定策略。

　　确保将您的博客文章分成标题和副标题。这样的标题被停止，使人类和机器人更容易处理。在以下段落中，标题应提供一些信息。如今，人们很少阅读完整的博客文章。他们倾向于专注于他们认为最相关的内容。标题内容突出醒目。用户可以浏览职位的具体标题，阅读本栏目。

　　反向链接的使用。

　　反向链接是 SEO 网站的重要工具之一。反向链接已在营销和 SEO 中使用多年。您拥有的链接越多，您网站的流量和声誉就越高，更不用说您在搜索引擎结果中的排名了。

　　虽然高质量的反向链接仍然一如既往地有效，但这些反向链接的发展方式随着时间的推移而发生了变化。有时，您只能在任何网站上获得反向链接，这就足够了。但是最近有些烦恼。

　　链接不仅要在更高权威的站点上生成，还必须与原创

站点相关。例如，餐厅应努力从目录和评论站点获取链接。尽管滑板销售网站是市场上最权威的，但将滑板链接到婴儿用品网站并不合适。SEO 成功地将反向链接策略整合到内容营销策略中。

　　另一种不再有效的常见策略是在博客文章和论坛上发布您的网站链接。严格来说，这会创建一个指向您网站的链接，但这个链接质量很差，搜索引擎会受到惩罚。获取优质资源的优质链接。

　　

" />

　　利用 关键词。

　　关键词 是 SEO 的命脉。那件事是众所周知的。大家知道如何正确使用提问吗？对于网站所有者来说，最重要的 SEO 技巧之一就是充分利用正确的 关键词。

　　用户和搜索引擎看不起垃圾关键词，尽量使用关键词。他们不喜欢人们尽可能多地向您发送垃圾邮件。这对搜索引擎也不利，因为他们希望看到关键字的正确使用。一些关键词应该用于关键字，关键词密度在2-4%之间。

　　为了减少竞争，长尾关键词可以减少竞争。不使用与其他人相同的 关键词。找人来找你。有很多方法可以找到和创建长尾关键词。

　　调整网页内容。

　　这称为 SEO - 您需要优化所有内容。优化页面意味着找到更快、更高效地加载网站的方法。分散的内容使阅读更容易，也不太可能感到不知所措。

　　用户参与度是网站 SEO 的关键。如果用户体验没有得到优化，他们会很快离开网站。在搜索引擎中，高跳出率会降低网站的排名。

　　您可以做很多事情来优化内容。通过压缩图像提高加载速度，考虑如何将项目放置在页面上，并尽可能包括现场链接和导航。您的网站优化得越好，就越能有效地吸引潜在客户并将其转化为客户。查看图表以了解有关如何有效优化页面的更多信息。所有这些元素都在页面上得到了完美的优化。即使是糟糕的优化也会损害其他领域的有效性。

　　什么是搜索引擎优化？答案比您想象的要复杂。SEO 可以快速有效地加载您的网站。为了让用户访问，它会得到你的网站链接。适当地使用 关键词。最终，SEO 是关于以有效的方式为您的网站产生有机流量。

　　解决方案:【公益译文】安全控制评估自动化支持：软件漏洞管理（二）

　　全文共7255字，阅读时间约15分钟。

　　摘要：本文为NISTIR 8011 Volume 4，详细介绍了如何自动评估与软件漏洞管理安全能力相关的安全控制，以管理由软件缺陷引起的网络风险。在上一篇文章中，我们介绍了软件漏洞管理 (VUL) 功能的定义、概述和范围。今天我们就来聊一聊VUL数据需求的例子，以及VUL相关的运营实现理念。

　　点击回顾：

　　2.4 VUL 数据要求示例

　　VUL 能力的理想状态是：已知漏洞列表准确、完整并收录

最新信息；设备上安装的所有软件产品均不存在已知漏洞。表 1 给出了实际状态的 VUL 能力数据要求的示例。有关所需状态的 VUL 能力数据要求的示例，请参见表 2。

　　表1 VUL实际状态数据要求示例

　　表 2 VUL 期望状态数据要求示例

　　2.5 VUL相关操作实现概念

　　VUL识别网络设备中实际存在的软件（实际状态）（包括虚拟机上的软件），将这些软件与预期状态列表进行比较，识别软件中存在哪些已知漏洞（或缺陷），并安装补丁（或其他缓解方法）以减少系统漏洞的可利用性。

　　软件漏洞管理功能 (CONOPS) 的操作概念定义了如何实现 VUL 功能，并且是自动评估过程的核心。参见图 1。

　　图 1 VUL 作战概念 (CONOPS)

　　2.5.1 实际状态的获取

　　ISCM 数据采集

过程利用工具在补丁级别识别网络设备中的软件文件（和产品），包括大容量存储和固件中的软件。这些工具进一步提供必要的信息，以将实际软件与发现的补丁级别（实际状态）与授权补丁级别（期望状态）进行比较。本节通过示例介绍了用于识别实际和所需补丁级别的方法。

　　同时，ISCM数据采集过程也会明确目标网络的监测范围和频率，最终确定完整性和时效性指标。设备可能由于多种原因而未被监控：(1) 设备未连接到网络并且在特定扫描期间可能未被检测到；(2) 设备关闭；扫描过程中发生错误；(3) 设备在扫描范围之*敏*感*词*之*敏*感*词*）等。注意扫描范围可以对照硬件资产管理 (HWAM) 检查如果列表数据质量可以接受，则为能力列表。

　　需要对所有能力的实际状态数据进行有效的配置管理。附录 G 描述了如何配置实际状态。附录 G 中列出的控制是 VUL 能力评估过程的元控制。

　　2.5.1.1 操作系统软件数据库实际状态数据

　　有些组织使用操作系统软件数据库 (OSSD) 作为软件发布的实际状态数据源。但是OSSD的多种运行特性在软件版本识别过程中可能会导致如下错误：

　　2.5.1.2 漏洞扫描器提供的实际状态数据

　　漏洞扫描是在真实状态下查找 CVE 的最常用方法之一。漏洞扫描器将易受攻击的软件文件版本列表与系统设备上的实际软件文件版本进行比较。

　　为保证风险识别的准确性，建议验证漏洞扫描器的功能，确保扫描结果的可靠性。漏洞扫描程序验证过程包括以下步骤：

　　2.5.1.3 软件白名单提供的实际状态数据

　　如果能够获取易受攻击的软件文件的数字指纹，就可以根据数字指纹制作软件文件列表，从而准确、可靠地识别设备中的软件数字指纹。有关详细信息，请参阅第 2.5.2.3 节。

　　软件白名单中数据的主要问题是，截至撰写本文时，NVD 和供应商都没有为明确收录

已知漏洞的软件文件提供任何数字指纹。

　　2.5.1.4 代码分析器提供的实际状态数据

　　

" />

　　静态和动态代码分析器（参见词汇表）用于识别可能成为漏洞的编码缺陷。通常，代码分析器在软件运行之前部署（即，在系统工程/系统开发生命周期的早期），因为修复在开发早期发现的缺陷成本较低。

　　不控制源代码但希望评估他们已购买（或正在考虑购买）的产品是否经过安全设计的组织通常会部署动态代码分析器来识别和诊断安全漏洞。该组织将购买的代码部署在模拟生产的测试环境中（最好在最终购买决定之前），并根据其风险承受能力评估缺陷是否可以接受。

　　2.5.2 采集

期望状态数据

　　VUL 功能的理想状态是枚举可接受的软件文件版本，将网络中已安装软件的已知缺陷限制在组织的风险承受能力范围内。因此，对于网络上的所有软件文件，定义所需状态需要知道如何确定已知缺陷最少的最佳版本（即补丁级别）。正如下面的数据采集

方法中所描述的，理想状态的识别是一个持续的过程，它合并和整合来自多个来源的信息，有时，根据具体情况考虑组织的风险承受能力。

　　每个功能的所需状态数据需要有效的配置管理。附录 G 描述了如何配置所需的状态。附录 G 中的控制是 VUL 能力评估过程的元控制。

　　2.5.2.1 国家漏洞数据库（NVD）

　　VUL 能力的理想状态是尽可能使用无错误 (CVE) 软件，而 NVD 是 CVE 信息的重要来源。每个 CVE 都有一个唯一标识符，NVD 是 CVE 的权威来源。由于 NVD 数据是 Internet 上的公共资源，因此许多人通过下载 NVD 数据并将其与其他数据（例如收录

CVE 的软件文件特征、CVE 相关文章或 CVE 补丁号）相结合来识别和修复漏洞。

　　2.5.2.2 漏洞扫描器

　　除了提供实际状态数据（参见第 2.5.1.2 节）之外，漏洞扫描器还可以提供预期状态数据。漏洞扫描器从NVD获取CVE信息，将CVE与收录

CVE漏洞的软件标识进行关联，检查联网设备上的软件是否有CVE缓解补丁，从而检测联网设备软件中的已知漏洞系统 。对于特定扫描，所需状态是指软件中不存在 CVE 漏洞。

　　注意：任何漏洞扫描器都可能只检测到已知漏洞的一部分，因此每个检测器都不同地定义了所需的状态。

　　2.5.2.3 开发包清单

　　漏洞扫描器具有商业可行性的原因之一是扫描器在扫描时将设备上的代码与已知收录

CVE 的代码进行比较，提供的结果与实际情况比较接近（在可接受的精度范围内） . 如果包清单列出了每个文件的数字签名，则提供了更可靠的CVE漏洞识别方法和修复补丁。开发人员通常会为每个版本提供以下补丁级文件列表信息：

　　鉴于补丁级别的清单信息，扫描器可以非常准确地描述设备上漏洞的实际状态（CVE 漏洞）和预期状态（应收录

哪些文件以及这些文件的补丁级别）。如果采用补丁级别的供应商列表，则很有可能降低漏洞扫描错误率（误报和漏报）。可以根据 SWID 标签编译补丁级清单。

　　2.5.2.4 批准的补丁级别列表

　　一些组织只是编制一份已批准（和必需）补丁的列表。这个批准的补丁列表是理想的状态。任何缺少必要补丁和/或其他缓解措施的软件都被标记为易受攻击。此补丁列表是根据组织的风险承受能力编制的，需要手动管理。

　　2.5.2.5 CWE（编码弱点）信息

　　CWE 相关 VUL 能力的理想状态是软件中不存在与组织风险承受能力不一致的 CWE。CWE 信息采集

和响应是定制软件开发过程的重要组成部分。CWE 信息对于组织计划部署的商业软件至关重要，因为供应商不太可能发现并报告软件漏洞。有关发现 CWE（实际和期望状态）的工具，请参阅第 2.3.2 节。

　　2.5.2.6 共享代码

　　解决共享代码问题可进一步降低软件漏洞带来的风险。组织可以识别不同产品更新的软件文件，并将识别的软件文件与使用共享代码的一个或多个产品的漏洞列表进行比较，以确定补丁中的共享代码文件是否处于所需状态。

　　2.5.3 缺陷发现/优先级排序

　　VUL 功能侧重于将在评估边界（实际状态）内找到的软件对象版本与应该存在的最新软件对象版本列表（期望状态）进行比较，并确定响应的优先级（通常是修补易受攻击的软件）。理想状态软件对象是为最大限度地降低未修补漏洞的风险而选择的版本。使用商业漏洞扫描器（一般内置CVE漏洞和补丁信息）比较实际状态和预期状态是最常用的方法，但在漏洞管理中，其他缺陷（如组织明确需要修复的CWE）可能被识别为未知漏洞的代码分析器误解。在任何情况下，完成实际状态与期望状态的比较后，

　　2.6 NIST SP 800-53控制措施及支持VUL的控制项

　　本节介绍如何识别 NIST SP 800-53 控制和支持 VUL 功能所需的控制，并介绍用于描述每个控制和控制所关注的软件漏洞的术语。

　　2.6.1 必要控制措施确定过程

　　本 NISTIR 第 1 卷中的第 3.5.2 节“安全控制和功能”详细描述了用于识别 NIST SP 800-53 控制和支持功能所需的控制的过程。简而言之，该过程包括两个步骤：

　　1. 通过关键词搜索NIST SP800-53中的控件，找出控件或可能支持该功能的控件。请参阅附录 B 中的关键字规则。

　　2. 手动识别 NIST SP 800-53 控件或支持该功能的控件（有效警报），同时忽略控件或不支持该功能的控件（误报）。

　　以上两步后续会生成三套NIST SP 800-53控制措施/控制项：

　　

" />

　　1. 支持 VUL 能力的低风险、中风险和高风险基线中的控制措施/项目（第 3.3 和 3.4 节）。

　　2. 通过 关键词 在选定的低、中、高风险基线中搜索控制/项目。然而，这些控制/控制项目被手动识别为误报（在附录 C 中列出）。

　　3. 关键词搜索后未进一步分析的基线之外的控制：

　　一个。程序管理 (PM) 控制，因为 PM 控制不适用于单个系统。

　　b. 未选择的控制——未分配基线或未在 NIST SP 800-53 的基线中选择的控制；和

　　C。隐私控制。

　　对于进行自动化测试的组织，请参阅附录 D 了解未分析的控制/控制。

　　2.6.2 控制项术语

　　许多支持 VUL 功能的控件还支持其他几种功能，例如，配置管理控件辅助硬件资产管理、软件资产管理和配置设置管理功能。一些控制项支持多种功能。为明确其适用范围，将相关描述用大括号括起来，例如{...software...}，表示具体控制项支持VUL能力，针对（且仅针对）内容在大括号中。

　　2.7 VUL 角色和职责

　　表 3 列出了与 VUL 相关的角色及其职责。图 2 说明了角色如何与操作概念集成。自动化评估的组织可以通过将职责分配给现有角色的人员来定制他们的方法。

　　表3 VUL相关的运营管理角色

　　图 1. VUL 中参与自动评估的主要参与者

　　2.8 VUL评价范围

　　评估范围涵盖整个计算机网络上的所有软件，“整个”是指网络的最中间到网守所在或连接到其他网络的边界。对于 VUL 功能，评估范围涵盖所有设备上的软件，包括在扫描过程中发现的可移动设备上的软件。有关评估范围相关术语的更多信息和定义，请参阅本 NISTIR 第 1 卷第 4.3.2 节。

　　2.9 VUL 的实际状态和期望状态规范

　　有关 VUL 功能的实际状态和期望状态规范的信息，请参阅第 3.2 节中缺陷检查表的评估标准注释部分。

　　请注意，许多支持 VUL 功能的控件引用最新的设备软件清单（或其他清单）。SWAM 功能提供软件列表。此外，还需要注意的是，根据IST SP 800-53A[SP800-53A]中测试的定义，在测试VUL控制措施时，需要同时编制实际状态列表和预期状态列表时间，然后比较两者。有关比较详细信息，请参阅第 3.2 节中的错误清单。

　　2.10 VUL授权范围及继承

　　请参阅本 NISTIR 第 1 卷第 4.3.1 节，了解如何处理自动评估的授权范围。简而言之，对于 VUL 功能，NIST SP 800-53，CM-08(5)，信息系统组件列表 | No Duplicate Registration of Components 声明每台设备上的软件都分配给一个且仅一个授权（系统）范围。ISCM Dashboard 可以提供一种机制来记录软件分发的授权范围，确保所有软件至少被分配到一个授权范围，并且一个软件产品不会被分配到多个授权范围。

　　请参阅本 NISTIR 第 1 卷的第 4.3.3 节，了解如何管理公共控件的继承。对于 VUL，许多实用程序、数据库管理软件产品、Web 服务器软件对象和操作系统的某些组件为其他系统提供可继承的支持和/或控制。ISCM Dashboard 可以提供记录继承相关信息和评估系统整体风险的机制。

　　2.11 VUL 评估标准建议的分数和风险接受阈值

　　本 NISTIR 不涉及关于设置阈值的风险评分选项的一般指南。对于 VUL 功能，建议组织使用指标来衡量每台设备的平均风险评分和最大风险评分。应该注意的是，漏洞扫描工具可能会在评估已发现的漏洞时进行风险评分。

　　2.12 VUL评估标准涉及的设备分组

　　为支持自动评估和持续授权，软件应按授权范围明确分组（请参阅 NIST SP 800-53 中的控制项 CM-8(a) 和 CM-8(5)）。此外，软件可以根据人员角色（设备管理员、补丁管理员、软件管理员和软件缺陷管理员）进行清晰的组织，软件漏洞管理可以针对特定设备进行（参见NIST SP 800-53 CM-中的控制项） 8（4））。除了这两个重要的分组之外，组织可能还希望使用其他分组方法进行风险分析，详见本 NISTIR 第 1 卷第 5.6 节。