我們的計算機中，現在都會安裝殺毒軟件，如瑞星、金山毒霸和卡巴斯基等;我們還會安裝一種查殺惡意件或者流氓件的軟件，如360安全衛士、金山衛士、超級兔子等，目的是防止木馬、漏洞、惡意件對電腦的攻擊、機密獲取和騷擾信息等。

　　同樣，現在的問題延伸到網絡上，是否有這樣的軟件可以幫助公司的IT或者網管人員，時刻或者經常查找和發現局域網上的漏洞?答案是肯定的，它被稱為漏洞評估(VA)軟件。用戶也在呼喊：“我不想成為下一個被黑的公司!”那么我們怎么知道今天真正的威脅在哪里呢?這也正是我們今天要探討的話題。

　　漏洞評估關注哪些安全?

　　結合漏洞管理、滲透測試和風險確認這三種方法，能夠大大減少用戶系統和網絡中的風險。在開發漏洞查找技術時，“要像攻擊者一樣思考”。因為攻擊者會從用戶的防御中尋找任何可能的漏洞，我們要從最常見的地方，發現系統的弱點。

　　· 網絡安全

　　確保所有系統和網絡設備對可能的漏洞和不正確配置已進行了適當的測試，最大限度地減少安全的隱患。

　　· 數據庫安全

　　確保用戶數據庫的安全，一是防止非法人員入侵;二是保證數據庫配置正確，達到規范的要求。

　　· Web 應用安全

　　防止像SQL注入和跨站腳本(CSS/XSS)類似的嚴重威脅，保護用戶的Web應用服務器和Web應用(包括Adobe公司的Flash應用)。

　　· 虛擬化安全

　　因為用戶的基礎架構增長非常迅速，需要不斷地發現和分類新的資產，然后掃描和跟蹤虛擬化資產，把最新的風險加入到用戶可視化的報警中。

　　· 安全配置評估

　　對系統配置和網絡漏洞掃描，能夠生成評估文件，可用于內部和外部審計，同時支撐用戶IT的防衛。

　　· 滲透測試和風險確認

　　識別已證實的安全威脅，找出用戶系統中的風險漏洞，實施高效的風險補救措施。

　　建議用戶結合漏洞管理和滲透測試的方法，使用閉環安全智能解決方案。同時要考慮安保方案要與現有的IT架構容易集成，幫助用戶快速識別最大的威脅，提供高效的安保方案，幫助用戶達到公司制定的規范標準。

　　使用漏洞評估軟件，用戶可以得到哪些收益?

　　· 保證IT架構和企業資產的安全

　　現在的網絡罪犯比任何時候要狡猾。竊取的信息可能對用戶的生產制造和商業利益構成巨大威脅，用戶建立有效的安全策略和措施能確保企業運行的安全。

　　· 測量和降低風險

　　要預先、連續地進行安全評估和測量。使用一種閉環回路安保智能方案，可以減少和預防風險的發生。安保智能使用4項參數考核與測量風險：揭露、可能、影響和減緩。

　　· 提高用戶IT和安防團隊的效率

　　安防和網絡運行團隊有時間和預算的限制。通過自動化和優先級劃分，團隊按補救措施的優先級，完成補丁、可下載修復程序修復漏洞，改正錯誤配置，使整個企業提高生產率。

　　· 保護用戶的虛擬環境

　　針對虛擬環境的安防策略、規程和能力保護用戶在虛擬件上的投資。確保用戶在虛擬化中獲得利益，而不是增加復雜性。

　　現在市場上有哪些廠家或產品?

　　· 邁克菲(McAfee)

　　邁克菲是一家純做安全的供應商，從網絡安全到桌面安全，具有豐富的產品種類。英特爾(Intel)宣布在2010年計劃收購邁克菲，并在2011年的2月完成收購。邁克菲現在是英特爾公司的全資子公司，還將繼續用邁克菲的品牌開發安全產品。 邁克菲的漏洞管理器(MVM)是一款已經發布的軟件，可為用戶提供一種工具或者管理服務。MVM可以與其他邁克菲產品集成，諸如ePolicy Orchestrator(ePO)管控臺。

　　· nCircle

　　套件360漏洞管理產品包括了IP360漏洞掃描引擎、WebApp360應用掃描器、智能中心、配置管理器和文件監視器。提供的服務包括一個PCI外部掃描和一個周圍掃描服務。nCircle套件組件具有多種軟件、器具、虛擬器具和基于服務的配置，它們可以一起使用。

　　· Qualys

　　Qualys衛士安全和遵從套件是完全基于服務、由Qualys主機掃描引擎發動的外圍掃描和由前提工具發動的內部掃描。漏洞、報告、標準配置模板的內容升級、所有軟件和掃描引擎的升級，都由Qualys自動完成。客戶通過基于Web的門戶網站，管理他們自己的掃描、報告和工作流。在2010年的8月，Qualys收購了Nemean網絡公司，提高公司研究實時威脅的能力。

　　· Rapid7

　　NeXpose漏洞評估掃描產品可以有幾種方式提供：軟件、器具、虛擬器具、膝上機/移動設備和管理服務。客戶可以把這些產品和服務組件混合一起使用。Rapid7在2009年收購了開放源碼metasploit框架滲透測試引擎 ，在2010年發布了它的商業版本。Rapid7是一家早期的應用和數據庫漏洞評估供應商 ，致力于漏洞的確認和判定，新的metasploit技術增強了產品的競爭實力。

　　除了上面介紹的4家產品，還有像Beyond Security，Critical Watch，Digital Defense，eEye Digital Security，Lumension Security，Saint，StillSecure，Tenable Network Security，Trustwave等廠家或產品。

　　漏洞評估關注哪些行業?

　　· 能源與基礎設施

　　保護電力、通信、交通、住宅、樓宇等不受攻擊。

　　· 銀行和金融業

　　保護個人的財務和財產的數據。

　　· 政府部門

　　防止國家、政府關鍵和敏感信息的竊取和丟失。

　　· 健康

　　保護企業員工、客戶和患者的健康信息。

　　· 公司

　　保證公司業務的正常運行，保護公司的商業機密和設備資產。

　　· 商業

　　保護客戶個人財務數據和商業單位的財產損失。

　　總之，對于系統和網絡漏洞我們要“未雨綢繆”，借助漏洞評估這項技術，提前發現問題，提前解決問題，保證我們的社會能夠平穩地運行。

（羅克韋爾自動化（中國）有限公司 華镕）