信息化觀察網(wǎng)

隱患掃描就是對計(jì)算機(jī)系統(tǒng)或者其它網(wǎng)絡(luò)設(shè)備進(jìn)行安全相關(guān)的檢測，以找出安全隱患和可被黑客利用的漏洞。隱患掃描通常采用兩種策略，第一種是被動式策略，第二種是主動式策略。所謂被動式策略就是基于主機(jī)之上，對系統(tǒng)中不合適的設(shè)置，脆弱的口令以及其他同安全規(guī)則抵觸的對象進(jìn)行檢查；而主動式策略是基于網(wǎng)絡(luò)的，它通過執(zhí)行一些腳本文件模擬對系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。利用被動式策略掃描稱為系統(tǒng)安全掃描，利用主動式策略掃描稱為網(wǎng)絡(luò)安全掃描。

現(xiàn)有的信息安全產(chǎn)品中主要包括以下五大件：防火墻、入侵檢測、安全評估（漏洞掃描或者脆弱性分析）、身份認(rèn)證、數(shù)據(jù)備份。這樣，在部署安全策略時(shí)，有許多其它的安全基礎(chǔ)設(shè)施要考慮進(jìn)來，如防火墻，防病毒，認(rèn)證與識別產(chǎn)品，訪問控制產(chǎn)品，加密產(chǎn)品，虛擬專用網(wǎng)等等。如何管理這些設(shè)備，是安全掃描系統(tǒng)和入侵檢測系統(tǒng)的職責(zé)。通過監(jiān)視事件日志，系統(tǒng)受到攻擊后的行為和這些設(shè)備的信號，作出反應(yīng)。這樣，隱患掃描系統(tǒng)就把這些設(shè)備有機(jī)地結(jié)合在一起。因此，而隱患掃描是一個(gè)完整的安全解決方案中的一個(gè)關(guān)鍵部分，在企業(yè)部署安全策略中處于非常重要的地位。

結(jié)合了入侵檢測功能后，隱患掃描系統(tǒng)具有以下功能：① 協(xié)調(diào)了其它的安全設(shè)備；② 使枯燥的系統(tǒng)安全信息易于理解，告訴了你系統(tǒng)發(fā)生的事情；③ 跟蹤用戶進(jìn)入，在系統(tǒng)中的行為和離開的信息；④ 可以報(bào)告和識別文件的改動；⑤ 糾正系統(tǒng)的錯誤設(shè)置；⑥ 識別正在受到的攻擊；⑦ 減輕系統(tǒng)管理員搜索最近黑客行為的負(fù)擔(dān)；⑧ 使得安全管理可由普通用戶來負(fù)責(zé)；⑨ 為制定安全規(guī)則提供依據(jù)。

1模擬攻擊

黑客的攻擊一般分為3步：第一步，掃描端口，探測那些端口是開放的；第二步，發(fā)現(xiàn)漏洞，對開放的端口調(diào)用測試程序或數(shù)據(jù)串，通過特定的反應(yīng)檢測是否存在漏洞。第三步，發(fā)起攻擊，發(fā)現(xiàn)漏洞后，黑客就查找相關(guān)的攻擊工具進(jìn)行攻擊。RJ-iTop隱患掃描系統(tǒng)的前兩步和黑客的攻擊很相似，不同的是在第三步，RJ-iTop發(fā)現(xiàn)漏洞后會立即向用戶提示漏洞的存在和解決辦法，而不是發(fā)起攻擊。因?yàn)榍皟刹嫉南嗨菩?，隱患掃描系統(tǒng)也稱為模擬攻擊測試。

進(jìn)攻是最好的防守，傳統(tǒng)的安全產(chǎn)品都是單純從防御的角度來達(dá)到目的，而隱患掃描產(chǎn)品是唯一從進(jìn)攻的角度檢測系統(tǒng)安全性的安全工具，可以發(fā)揮其他安全產(chǎn)品無法發(fā)揮的作用

2 未雨綢繆

通過事前的模擬攻擊測試，RJ-iTop隱患掃描系統(tǒng)可以在黑客發(fā)起進(jìn)攻之前就發(fā)現(xiàn)黑客可能發(fā)起攻擊的隱患，提示用戶修補(bǔ)漏洞和采取防范措施，防范于未然。事前防范比事件發(fā)生時(shí)的防范更從容

完整的入侵檢測技術(shù)包括事前的檢測，事中的探測和報(bào)警，事后的分析和應(yīng)對。RJ-iTop隱患掃描系統(tǒng)在攻擊發(fā)起之前進(jìn)行自我防護(hù)和積極應(yīng)對，比事中、事后的措施更有效。

3 直接保護(hù)被攻擊對象

傳統(tǒng)手段是通過層層設(shè)防，防止黑客接觸到主機(jī)（或其他被保護(hù)節(jié)點(diǎn)），但是一旦各種保護(hù)層被突破，主機(jī)仍然要承受攻擊。RJ-iTop隱患掃描是直接加強(qiáng)被攻擊對象的強(qiáng)壯性，即使外部的保護(hù)措施失效，本身強(qiáng)壯的主機(jī)仍然可以保證安全。

4 性價(jià)比高

在目前的安全產(chǎn)品中，RJ-iTop隱患掃描產(chǎn)品的價(jià)位比高，遠(yuǎn)遠(yuǎn)低于其他安全產(chǎn)品的投資。并且RJ-iTop隱患掃描產(chǎn)品的安裝運(yùn)行簡單、效果好、見效快，同時(shí)該類產(chǎn)品網(wǎng)絡(luò)運(yùn)行相對獨(dú)立，不會影響到正常的業(yè)務(wù)，具有很高的性能價(jià)格比。

5 使用方便

安全掃描產(chǎn)品不僅能發(fā)現(xiàn)漏洞，還裝載了大量的信息安全知識。通過使用安全掃描產(chǎn)品，系統(tǒng)管理員可以借鑒專業(yè)安全工程師的知識和信息積累，大大減輕了自己的勞動強(qiáng)度，有利于全網(wǎng)安全策略的統(tǒng)一和穩(wěn)定。

●支持CVE（Common Vulnerabilities and Exposures）國際標(biāo)準(zhǔn)

關(guān)于漏洞的一個(gè)老問題就是在設(shè)計(jì)掃描程序或應(yīng)對策略時(shí)，不同的廠商對漏洞的稱謂也會完全不同。MITRE創(chuàng)建了CVE，將漏洞名稱進(jìn)行標(biāo)準(zhǔn)化，參與的廠商也就順理成章按照這個(gè)標(biāo)準(zhǔn)開發(fā)IDS產(chǎn)品。CVE的URL地址是http://cve.mitre.org/。

●軟件固化和安全的OS平臺

由于隱患掃描產(chǎn)品是模擬攻擊性的安全工具，對該類產(chǎn)品本身的安全性提出了很高的要求。本身的安全性主要指產(chǎn)品的抗攻擊性能，如果產(chǎn)品本身或著軟件產(chǎn)品運(yùn)行平臺的安全性無法保證，有可能感染病毒、木馬等有害程序，就會對被掃描系統(tǒng)產(chǎn)生危害，影響用戶使用的信心。由于軟件產(chǎn)品無法徹底杜絕被感染的可能，隱患掃描產(chǎn)品在向硬件化的趨勢發(fā)展，高檔的產(chǎn)品還在FLASH、文件系統(tǒng)、通信接口等方面采用非通用程序，以便徹底杜絕被攻擊和感染的可能。

●支持分布式掃描

目前的用戶網(wǎng)絡(luò)越來越復(fù)雜，沒有劃分VLAN的單一網(wǎng)絡(luò)越來越少見。多個(gè)子網(wǎng)之間一般都有訪問限制，有些高安全的網(wǎng)絡(luò)的子網(wǎng)之間還有防火墻。這些限制會對跨網(wǎng)段的掃描產(chǎn)生影響，使掃描結(jié)果不準(zhǔn)確。今后的掃描產(chǎn)品必須能夠進(jìn)行分布式的掃描，以便對網(wǎng)絡(luò)接點(diǎn)進(jìn)行徹底、全面的檢查。

●安全評估專家和漏洞的修補(bǔ)服務(wù)

由安全掃描程序到安全評估專家系統(tǒng)。最早的安全掃描程序只是簡單的把各個(gè)掃描測試項(xiàng)的執(zhí)行結(jié)果羅列出來，直接提供給測試者而不對信息進(jìn)行任何分析處理。而當(dāng)前較成熟的掃描系統(tǒng)都能夠?qū)蝹€(gè)主機(jī)的掃描結(jié)果整理，形成報(bào)表，能夠并對具體漏洞提出一些解決方法，但對網(wǎng)絡(luò)的狀況缺乏一個(gè)整體的評估，對網(wǎng)絡(luò)安全沒有系統(tǒng)的解決方案。未來的安全掃描系統(tǒng)，應(yīng)該不但能夠掃描安全漏洞，還能夠智能化的協(xié)助網(wǎng)絡(luò)信息系統(tǒng)管理人員評估本網(wǎng)絡(luò)的安全狀況，給出安全建議，成為一個(gè)安全評估專家系統(tǒng)。