我们的计算机中，现在都会安装杀毒软件，如瑞星、金山毒霸和卡巴斯基等;我们还会安装一种查杀恶意件或者流氓件的软件，如360安全卫士、金山卫士、超级兔子等，目的是防止木马、漏洞、恶意件对电脑的攻击、机密获取和骚扰信息等。

　　同样，现在的问题延伸到网络上，是否有这样的软件可以帮助公司的IT或者网管人员，时刻或者经常查找和发现局域网上的漏洞?答案是肯定的，它被称为漏洞评估(VA)软件。用户也在呼喊：“我不想成为下一个被黑的公司!”那么我们怎么知道今天真正的威胁在哪里呢?这也正是我们今天要探讨的话题。

　　漏洞评估关注哪些安全?

　　结合漏洞管理、渗透测试和风险确认这三种方法，能够大大减少用户系统和网络中的风险。在开发漏洞查找技术时，“要像攻击者一样思考”。因为攻击者会从用户的防御中寻找任何可能的漏洞，我们要从最常见的地方，发现系统的弱点。

　　· 网络安全

　　确保所有系统和网络设备对可能的漏洞和不正确配置已进行了适当的测试，最大限度地减少安全的隐患。

　　· 数据库安全

　　确保用户数据库的安全，一是防止非法人员入侵;二是保证数据库配置正确，达到规范的要求。

　　· Web 应用安全

　　防止像SQL注入和跨站脚本(CSS/XSS)类似的严重威胁，保护用户的Web应用服务器和Web应用(包括Adobe公司的Flash应用)。

　　· 虚拟化安全

　　因为用户的基础架构增长非常迅速，需要不断地发现和分类新的资产，然后扫描和跟踪虚拟化资产，把最新的风险加入到用户可视化的报警中。

　　· 安全配置评估

　　对系统配置和网络漏洞扫描，能够生成评估文件，可用于内部和外部审计，同时支撑用户IT的防卫。

　　· 渗透测试和风险确认

　　识别已证实的安全威胁，找出用户系统中的风险漏洞，实施高效的风险补救措施。

　　建议用户结合漏洞管理和渗透测试的方法，使用闭环安全智能解决方案。同时要考虑安保方案要与现有的IT架构容易集成，帮助用户快速识别最大的威胁，提供高效的安保方案，帮助用户达到公司制定的规范标准。

使用漏洞评估软件，用户可以得到哪些收益?

　　· 保证IT架构和企业资产的安全

　　现在的网络罪犯比任何时候要狡猾。窃取的信息可能对用户的生产制造和商业利益构成巨大威胁，用户建立有效的安全策略和措施能确保企业运行的安全。

　　· 测量和降低风险

　　要预先、连续地进行安全评估和测量。使用一种闭环回路安保智能方案，可以减少和预防风险的发生。安保智能使用4项参数考核与测量风险：揭露、可能、影响和减缓。

　　· 提高用户IT和安防团队的效率

　　安防和网络运行团队有时间和预算的限制。通过自动化和优先级划分，团队按补救措施的优先级，完成补丁、可下载修复程序修复漏洞，改正错误配置，使整个企业提高生产率。

　　· 保护用户的虚拟环境

　　针对虚拟环境的安防策略、规程和能力保护用户在虚拟件上的投资。确保用户在虚拟化中获得利益，而不是增加复杂性。

　　现在市场上有哪些厂家或产品?

　　· 迈克菲(McAfee)

　　迈克菲是一家纯做安全的供应商，从网络安全到桌面安全，具有丰富的产品种类。英特尔(Intel)宣布在2010年计划收购迈克菲，并在2011年的2月完成收购。迈克菲现在是英特尔公司的全资子公司，还将继续用迈克菲的品牌开发安全产品。 迈克菲的漏洞管理器(MVM)是一款已经发布的软件，可为用户提供一种工具或者管理服务。MVM可以与其他迈克菲产品集成，诸如ePolicy Orchestrator(ePO)管控台。

　　· nCircle

套件360漏洞管理产品包括了IP360漏洞扫描引擎、WebApp360应用扫描器、智能中心、配置管理器和文件监视器。提供的服务包括一个PCI外部扫描和一个周围扫描服务。nCircle套件组件具有多种软件、器具、虚拟器具和基于服务的配置，它们可以一起使用。

　　· Qualys

　　Qualys卫士安全和遵从套件是完全基于服务、由Qualys主机扫描引擎发动的外围扫描和由前提工具发动的内部扫描。漏洞、报告、标准配置模板的内容升级、所有软件和扫描引擎的升级，都由Qualys自动完成。客户通过基于Web的门户网站，管理他们自己的扫描、报告和工作流。在2010年的8月，Qualys收购了Nemean网络公司，提高公司研究实时威胁的能力。

　　· Rapid7

　　NeXpose漏洞评估扫描产品可以有几种方式提供：软件、器具、虚拟器具、膝上机/移动设备和管理服务。客户可以把这些产品和服务组件混合一起使用。Rapid7在2009年收购了开放源码Metasploit框架渗透测试引擎 ，在2010年发布了它的商业版本。Rapid7是一家早期的应用和数据库漏洞评估供应商 ，致力于漏洞的确认和判定，新的Metasploit技术增强了产品的竞争实力。

　　除了上面介绍的4家产品，还有像Beyond Security，Critical Watch，Digital Defense，eEye Digital Security，Lumension Security，Saint，StillSecure，Tenable Network Security，Trustwave等厂家或产品。

 

　漏洞评估关注哪些行业?

　　· 能源与基础设施

　　保护电力、通信、交通、住宅、楼宇等不受攻击。

　　· 银行和金融业

　　保护个人的财务和财产的数据。

　　· 政府部门

　　防止国家、政府关键和敏感信息的窃取和丢失。

　　· 健康

　　保护企业员工、客户和患者的健康信息。

　　· 公司

　　保证公司业务的正常运行，保护公司的商业机密和设备资产。

　　· 商业

　　保护客户个人财务数据和商业单位的财产损失。

　　总之，对于系统和网络漏洞我们要“未雨绸缪”，借助漏洞评估这项技术，提前发现问题，提前解决问题，保证我们的社会能够平稳地运行。

-