| |
网络漏洞扫描系统的必要性
|
责任编辑:leelee |
| [04-8-5 10:16]
| 作者:余精彩
| -
三、网络隐患扫描系统浮出水面
对付破坏系统企图的理想方法当然是建立一个完全安全的没有漏洞的系统,但从实际而言,这根本不可能。美国威斯康星大学的Miller给出一份有关现今流行操作系统和应用程序的研究报告,指出软件中不可能没有漏洞和缺陷。
因此,一个实用的方法是,建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统,漏洞扫描器就是这样一类系统。就目前系统的安全状况而言,系统中存在着一定的漏洞,因此也就存在着潜在的安全威胁,但是,如果我们能够根据具体的应用环境,尽可能早地通过网络扫描来发现这些漏洞,并及时采取适当的处理措施进行修补,就可以有效地阻止入侵事件的发生。虽然亡羊补牢十分可贵,但是对于"不怕一万,只怕万一"的关键业务来说,未雨绸缪才是理想境界。
那我们如何选购专业的网络隐患扫描系统呢?一般来讲它必须具备以下几个标准:
1、是否通过国家的各种认证
目前国家对安全产品进行认证工作的权威部门包括公安部信息安全产品测评中心、国家信息安全产品测评中心、解放军安全产品测评中心、国家保密局测评认证中心。
2、漏洞数量和升级速度
漏洞数量是考查漏洞扫描器的重要指标,最新漏洞的数量、漏洞更新和升级的方法以及升级方法是否能够被非专业人员掌握,使得漏洞库升级的频率显得更为重要。比如RJ-iTop网络隐患扫描系统每周一次,漏洞数量达1502之多(截止到2004年7月9日)。
3、产品本身的安全性
扫描产品运行的操作系统平台是否安全以及产品本身的抗攻击性能如何都是用户应该需要考虑的因素。比如RJ-iTop网络隐患扫描系统采用软硬结合、专门优化的linux系统,关闭了不必要的端口和服务,并且传输的数据加密。
4、是否支持CVE国际标准
其目的是给所有已知的漏洞和安全泄露提供一个标准化的命名。给企业提供更好的覆盖、更容易的协同和加强的安全。
5、是否支持分布式扫描
产品具有灵活、携带方便、穿透防火墙的特性。因为现在不再有没有划分VLAN的单一 网络存在;扫描器发出的数据包有些会被路由器、防火墙过滤,降低扫描的准确性。
在网络内进行防火墙与IDS的设置,并不意味着我们的网络就绝对安全,但是设置得当的防火墙和IDS,至少会使我们的网络更为坚固一些,并且能提供更多的攻击信息供我们分析。防火墙、防病毒、入侵检测、漏洞扫描分别属于PDR和P2DR模型中的防护和检测环节。这几种安全技术围绕安全策略有序地组织在一起,相互协同,相互作用,构成一个动态自适应的防范体系。
最后,要说的依然是那句"世界上没有一种技术能真正保证绝对的安全"。
因为安全问题,是从设备到人、从服务器上的每个服务程序到防火墙、IDS等安全产品的综合问题。任何一个环节的工作,都只是迈向安全的步骤之一。
ad
|
各地今日报价
