使用開放源漏洞分析工具， 可以幫助對云安全進行公開、全面審查。 而漏洞分析僅僅是確保服務器安全的一部分。 顯而易見的是， 準確定義漏洞評估政策則是沿著正確方向邁出的一大步。

　　1、介紹

　　對于任何一個安全政策來講， 漏洞評估都是一個很重要的方面。 現在， 針對互聯網主機攻擊越來越多地是以利益為驅動的， 因此它們更狡猾分布也更廣泛。

　　保護所有的網絡服務器似乎有不少難度， 但是黑客發起的大部分攻擊卻可以避免。

　　服務器配置不符合要求或者所使用的工具沒有經過更新， 容易導致大量的互聯網服務器遭受攻擊。 因為， 黑客們很容易找到并利用服務器漏洞。 確保服務器升級至最新而且沒有配置錯誤， 這并不困難， 但是這些工作卻會因為時間限制而被忽略。

　　漏洞評估有助于發現服務器安全配置中出現的錯誤， 也有助于挖掘出需要安裝補丁的軟件漏洞。

　　通過利用云中的遠程漏洞評估， 可以幫助你的組織實現規模效益。 由于配置和管理評估工具不需要專業知識， 你也可以對自己的組織進行漏洞評估。

　　2、日益嚴重的威脅情形

　　攻擊自動化和訪問利用漏洞的簡單化， 成為了服務器受到日益嚴重的威脅的主要原因。 事實上， 如果你想證明它有多么容易的話， 可以訪問http://www.milw0rm.com， 選擇最近的一個Web應用程序漏洞， 然后， 在Google中輸入“Google Dork”——比如“powered by scriptname”， 在五分鐘時間內， 看看所有網頁上的服務器你能找到多少漏洞。

　　3、漏洞存在的共同載體

　　3.1配置不當的服務器

　　混亂的文件權限， 配置不當的Web或者Email服務器， 或者當時間在流逝你還停留在臨時的補丁更新的時候——配置不當的服務器到處都是， 也常常因為時間限制沒有過多考慮， 使得即使作為系統管理員也會有看走眼的時候。

　　3.2軟件沒有獲得更新

　　服務器操作系統和應用程序都需要更新， 這不是可有可無的。 使用Windows更新、Yum和Apt工具， 可以幫助更新減少大量的主機漏洞， 但是， 仍然會有很多主機會被忽略。 這只是個時間問題， 當漏洞百出的服務被發現后， 系統就會遭受損害。

　　3.3網頁腳本

　　PHP與ASP應用程序和腳本是實現網頁動態效果的有效方法， 但是， 當有可用安全更新的時候， 像操作系統和軟件這些都必須確保獲得更新。 關于這方面的一個很好例子就是WordPress博客軟件， 我們選擇WordPress不是因為它特別不安全， 而是因為它代表了一種廣泛流行的腳本——曾在過去暴露出一些危險的安全漏洞。 這些腳本需要持續不斷地更新， 因為它們很容易被忽略——直到你的博客受到攻擊， 并植入惡意頁面攻擊你的瀏覽用戶。

　　3.4密碼不夠安全

　　在互聯網上遨游必不可少的是使用強密碼， 查看主機和互聯網的記錄是件很簡單的事情， 也很容易發現系統大概會多久被蠻力攻擊一次。 蠻力攻擊會危害到很多服務項目， 包括ssh， rdp， ftp， web窗體和vnc。

　　3.5 密碼重用

　　每次登錄都使用不同的密碼是不現實的， 但是， 處處使用同一個密碼也是不明智的。 經過調查發現， 服務器用戶總是會在配置不當的網上論壇上使用本該在Web郵件上使用的密碼， 而且也會在網頁主機系統上使用相同的密碼。

　　4.非法使用服務器

　　4.1垃圾郵件

　　不法分子利用服務器發送成千上萬的垃圾郵件， 對他們來講是有利可圖的事情。 只有當你阻止或者把他們列入黑名單的時候， 他們才會停止發送垃圾郵件， 但是， 他們可能會找到服務器的另外一種利用方式。

　　4.2廣泛分布的惡意軟件

　　使用Web服務器提供Web內容服務——只是提供內容本身， 要是網頁中有惡意軟件呢?進入你的客戶或者用戶系統中， 并且傳播鍵盤記錄等惡意軟件， 并最終掏空用戶銀行帳戶資金。

　　4.3釣魚網站

　　我們見到過很多冒充Paypal或者銀行頁面的電子郵件， 萬一這些虛假頁面是來源于你的Web主機上， 那么問題就會很嚴重了。

　　4.4 Warez 文件存儲

　　盜版軟件、電影或者其他有價值的復制品可能會被存儲起來， 并通過你的服務器實現網上傳輸。

　　5.系統安全

　　●每次攻擊都將會耽誤服務器的正常工作， 如果你經營的是在線業務的話， 這種代價會更高。

　　●把問題都解決好會花費不少時間， 形成應急響應機制并迅速解決問題。

　　●受到侵害的系統應當重建一個干凈的備份數據， 這本身就是個不小的任務。

　　●你的聲譽將遭受損失， 并且會失去已有的客戶。

　　6.云安全

　　安全掃描工具的技術管理都包含在云中， 不斷更新安全工具和優化掃描， 應該由技術專家來開展而不是一般的信息技術人員

云安全提供：

　　●非侵入性掃描網絡和主機周邊

　　●針對你的網絡環境模擬網絡攻擊

　　●測試入侵檢測和事件響應的系統和政策

　　●為安全提供了額外一層保護。 安全其實是個需要各種層次保護的持續過程

　　●為了便于作進一步調查， 通過郵件給你發送一份詳細的技術報告

　　●技術安全情報支持工作人員、顧問后續添加完善

　　●幫助你減輕工作量， 可以集中精力做好自己業務上的事情

　　●確保服務器安全的經濟舉措