對于一個復雜的多層結構的系統和網絡安全規劃來說， 隱患掃描是一項重要的組成元素。 隱患掃描能夠模擬黑客的行為， 對系統設置進行攻擊測試， 以幫助管理員在黑客攻擊之前， 找出網絡中存在的漏洞。 這樣的工具可以遠程評估你的網絡的安全級別， 并生成評估報告， 提供相應的整改措施。

　　目前， 市場上有很多隱患掃描工具， 按照不同的技術(基于網絡的、基于主機的、基于代理的、C/S的)、不同的特征、不同的報告方法， 以及不同的監聽模式， 可以分成好幾類。 不同的產品之間， 漏洞檢測的準確性差別較大， 這就決定了生成的報告的有效性上也有很大區別。

　　選擇正確的隱患掃描工具， 對于提高你的系統的安全性， 非常重要。

　　1、漏洞掃描概述

　　在字典中， Vulnerability意思是漏洞或者缺乏足夠的防護。 在軍事術語中， 這個詞的意思更為明確， 也更為嚴重------有受攻擊的嫌疑。

　　每個系統都有漏洞， 不論你在系統安全性上投入多少財力， 攻擊者仍然可以發現一些可利用的特征和配置缺陷。 這對于安全管理員來說， 實在是個不利的消息。 但是， 多數的攻擊者， 通常做的是簡單的事情。 發現一個已知的漏洞， 遠比發現一個未知漏洞要容易的多， 這就意味著:多數攻擊者所利用的都是常見的漏洞， 這些漏洞， 均有書面資料記載。

　　這樣的話， 采用適當的工具， 就能在黑客利用這些常見漏洞之前， 查出網絡的薄弱之處。 如何快速簡便地發現這些漏洞， 這個非常重要。

　　漏洞， 大體上分為兩大類:

　　① 軟件編寫錯誤造成的漏洞;

　　② 軟件配置不當造成的漏洞。

　　漏洞掃描工具均能檢測以上兩種類型的漏洞。 漏洞掃描工具已經出現好多年了， 安全管理員在使用這些工具的同時， 黑客們也在利用這些工具來發現各種類型的系統和網絡的漏洞。

　　2、隱患掃描工具的衡量因素

　　決定是否采用隱患掃描工具來防范系統入侵是重要的第一步。 當您邁出了這一步后， 接下來的是:如何選擇滿足您公司需要的合適的隱患掃描技術， 這同樣也很重要。 以下列出了一系列衡量因素:

　　① 底層技術(比如， 是被動掃描還是主動掃描， 是基于主機掃描還是基于網絡掃描);

　　② 特性;

　　③ 漏洞庫中的漏洞數量;

　　④ 易用性;

　　⑤ 生成的報告的特性(內容是否全面、是否可配置、是否可定制、報告的格式、輸出方式等);

　　⑥ 對于漏洞修復行為的分析和建議(是否只報告存在哪些問題、是否會告訴您應該如何修補這些漏洞);

　　⑦ 安全性(由于有些掃描工具不僅僅只是發現漏洞， 而且還進一步自動利用這些漏洞， 掃描工具自身是否會帶來安全風險);

　　⑧ 性能;

　　⑨ 價格結構

　　2.1 底層技術

　　比較漏洞掃描工具， 第一是比較其底層技術。 你需要的是主動掃描， 還是被動掃描;是基于主機的掃描， 還是基于網絡的掃描， 等等。 一些掃描工具是基于Internet的， 用來管理和集合的服務器程序， 是運行在軟件供應商的服務器上， 而不是在客戶自己的機器上。 這種方式的優點在于檢測方式能夠保證經常更新， 缺點在于需要依賴軟件供應商的服務器來完成掃描工作。

　　掃描古城可以分為"被動"和"主動"兩大類。 被動掃描不會產生網絡流量包， 不會導致目標系統崩潰， 被動掃描工具對正常的網絡流量進行分析， 可以設計成"永遠在線"檢測的方式。 與主動掃描工具相比， 被動掃描工具的工作方式， 與網絡監控器或IDS類似。

　　主動掃描工具更多地帶有"入侵"的意圖， 可能會影響網絡和目標系統的正常操作。 他們并不是持續不斷運行的， 通常是隔一段時間檢測一次。

　　基于主機的掃描工具需要在每臺主機上安裝代理(Agent)軟件;而基于網絡的掃描工具則不需要。 基于網絡的掃描工具因為要占用較多資源， 一般需要一臺專門的計算機。

　　如果網絡環境中含有多種操作系統， 您還需要看看掃描其是否兼容這些不同的操作系統(比如Microsoft、Unix以及Netware等)。

　　2.2 管理員所關心的一些特性

　　通常， 漏洞掃描工具完成一下以下?功能:掃描、生成報告、分析并提出建議， 以及數據管理。 在許多方面， 掃描是最常見的功能， 但是信息管理和掃描結果分析的準確性同樣很重要。 另外要考慮的一個方面是通知方式:當發現漏洞后， 掃描工具是否會向管理員報警?采用什么方式報警?

　　對于漏洞掃描軟件來說， 管理員通常關系以下幾個方面:

　　① 報表性能好;

　　② 易安裝， 易使用;

　　③ 能夠檢測出缺少哪些補丁;

　　④ 掃描性能好， 具備快速修復漏洞的能力;

　　⑤ 對漏洞及漏洞等級檢測的可靠性;

　　⑥ 可擴展性;

　　⑦ 易升級性;

　　⑧ 性價比好;

　　2.3 漏洞庫

　　只有漏洞庫中存在相關信息， 掃描工具才能檢測到漏洞， 因此， 漏洞庫的數量決定了掃描工具能夠檢測的范圍。

　　然而， 數量并不意味著一切， 真正的檢驗標準在于掃描工具能否檢測出最常見的漏洞?最根本的在于， 掃描工具能否檢測出影響您的系統的那些漏洞?掃描工具中有用的總量取決于你的網絡設備和系統的類型。 你使用掃描工具的目的是利用它來檢測您的特定環境中的漏洞。 如果你有很多Netware服務器， 那么， 不含Netware漏洞庫的掃描工具就不是你的最佳選擇。

　　當然， 漏洞庫中的攻擊特性必須經常升級， 這樣才能檢測到最近發現的安全漏洞。

　　2.4 易使用性

　　一個難以理解和使用的界面， 會阻礙管理員使用這些工具， 因此， 界面友好性尤為重要。 不同的掃描工具軟件， 界面也各式各樣， 從簡單的基于文本的， 到復雜的圖形界面， 以及Web界面。

　　2.5 掃描報告

　　對管理員來說， 掃描報告的功能越來越重要， 在一個面向文檔的商務環境中， 你不但要能夠完成你的工作， 而且還需要提供書面資料說明你是怎樣完成的。 事實上， 一個掃描可能會得到幾百甚至幾千個結果， 但是這些數據是沒用的， 除非經過整理， 轉換成可以為人們理解的信息。 這就意味著理想情況下， 掃描工具應該能夠對這些數據進行分類和交叉引用， 可以導到其他程序中， 或者轉換成其他格式(比如CSV， HTML， XML， MHT， MDB， EXCEL以及Lotus等等)， 采用不同方式來展現它， 并且能夠很容易的與以前的掃描結果做比較。

　　2.6 分析與建議

　　發現漏洞， 才完成一半工作。 一個完整的方案， 同時將告訴你針對這些漏洞將采取哪些措施。 一個好的漏洞掃描工具會對掃描結果進行分析， 并提供修復建議。 一些掃描工具將這些修復建議整合在報告中， 另外一些則提供產品網站或其它在線資源的鏈接。

　　漏洞修復工具， 它可以和流行的掃描工具結合在一起使用， 對掃描結果進行匯總， 并自動完成修復過程。

　　2.7 分析的準確性

　　只有當報告的結果是精確的， 提供的修復建議是有效的， 一份包含了詳細漏洞修復建議的報告， 才算是一份優秀的報告。 一個好的掃描工具必須具有很低的誤報率(報告出的漏洞實際上不存在)和漏報率(漏洞存在， 但是沒有檢測到)。

　　2.8 安全問題

　　因掃描工具而造成的網絡癱瘓所引起的經濟損失， 和真實攻擊造成的損失是一樣的， 都非常巨大。 一些掃描工具在發現漏洞后， 會嘗試進一步利用這些漏洞， 這樣能夠確保這些漏洞是真實存在的， 進而消除誤報的可能性。 但是， 這種方式容易出現難以預料的情況。 在使用具備這種功能的掃描工具的時候， 需要格外小心， 最好不要將其設置成自動運行狀態。

　　掃描工具可能造成網絡失效的另一種原因， 是掃描過程中， 超負荷的數據包流量造成拒絕服務(DOS， Denial Of Service)。 為了防止這一點， 需要選擇好適當的掃描設置。 相關的設置項有:并發的線程數、數據包間隔時間、掃描對象總數等， 這些項應該能夠調整， 以便使網絡的影響降到最低。 一些掃描工具還提供了"安全掃描"的模板， 以防止造成對目標系統的損耗。

　　2.9 性能

　　掃描工具運行的時候， 將占用大量的網絡帶寬， 因此， 掃描過程應盡快完成。 當然， 漏洞庫中的漏洞數越多， 選擇的掃描模式越復雜， 掃描所耗時間就越長， 因此， 這只是個相對的數值。 提高性能的一種方式， 是在企業網中部署多個掃描工具， 將掃描結果反饋到一個系統中， 對掃描結果進行匯總。

　　3、隱患掃描工具的價格策略

　　商業化的掃描工具通常按以下幾種方式來發布器授權許可證:按IP地址授權， 按服務器授權， 按管理員授權。 不同的授權許可證方式有所區別。

　　3.1 按IP段授權

　　許多掃描其產品， 比如eEye的Retina和ISS(Internet Security Scanner)要求企業用戶按照IP段或IP范圍來收費。 換句話說， 價格取決于所授權的可掃描的IP地址的數目。

　　3.2 按服務器授權

　　一些掃描工具供應商， 按照每個服務器/每個工作站來計算器許可證的價格。 服務器的授權價格會比工作站高很多， 如果有多臺服務器的話， 掃描工具的價格會明顯上升。

　　3.3 按管理員授權

　　對于大多數企業而言， 這種授權方式， 比較簡單， 性價比也較好。

　　4、總結

　　在現在的互聯網環境中， 威脅無處不在。 在1-3季度， CERT協調中心就收到超過114， 000個漏洞事件報告， 這個數字超過2002年的總和， 這表明， 此類事件在不斷增長中。 為了防范攻擊， 第一件事就是在黑客發動攻擊之前， 發現網絡和系統中的漏洞， 并及時修復。

　　但是， 漏洞掃描工具在特性、精確性、價格以及可用性上差別較大， 如何選擇一個正確的隱患掃描工具， 尤為重要。