选择安全漏洞扫描工具(2)
2.1 底层技术
比较漏洞扫描工具,第一是比较其底层技术。你需要的是主动扫描,还是被动扫描;是基于主机的扫描,还是基于网络的扫描,等等。一些扫描工具是基于Internet的,用来管理和集合的服务器程序,是运行在软件供应商的服务器上,而不是在客户自己的机器上。这种方式的优点在于检测方式能够保证经常更新,缺点在于需要依赖软件供应商的服务器来完成扫描工作。
扫描古城可以分为"被动"和"主动"两大类。被动扫描不会产生网络流量包,不会导致目标系统崩溃,被动扫描工具对正常的网络流量进行分析,可以设计成"永远在线"检测的方式。与主动扫描工具相比,被动扫描工具的工作方式,与网络监控器或IDS类似。
主动扫描工具更多地带有"入侵"的意图,可能会影响网络和目标系统的正常操作。他们并不是持续不断运行的,通常是隔一段时间检测一次。
基于主机的扫描工具需要在每台主机上安装代理(Agent)软件;而基于网络的扫描工具则不需要。基于网络的扫描工具因为要占用较多资源,一般需要一台专门的计算机。
如果网络环境中含有多种操作系统,您还需要看看扫描其是否兼容这些不同的操作系统(比如Microsoft、Unix以及Netware等)。
2.2 管理员所关心的一些特性
通常,漏洞扫描工具完成一下以下?功能:扫描、生成报告、分析并提出建议,以及数据管理。在许多方面,扫描是最常见的功能,但是信息管理和扫描结果分析的准确性同样很重要。另外要考虑的一个方面是通知方式:当发现漏洞后,扫描工具是否会向管理员报警?采用什么方式报警?
对于漏洞扫描软件来说,管理员通常关系以下几个方面:
① 报表性能好;
② 易安装,易使用;
③ 能够检测出缺少哪些补丁;
④ 扫描性能好,具备快速修复漏洞的能力;
⑤ 对漏洞及漏洞等级检测的可靠性;
⑥ 可扩展性;
⑦ 易升级性;
⑧ 性价比好;
2.3 漏洞库
只有漏洞库中存在相关信息,扫描工具才能检测到漏洞,因此,漏洞库的数量决定了扫描工具能够检测的范围。
然而,数量并不意味着一切,真正的检验标准在于扫描工具能否检测出最常见的漏洞?最根本的在于,扫描工具能否检测出影响您的系统的那些漏洞?扫描工具中有用的总量取决于你的网络设备和系统的类型。你使用扫描工具的目的是利用它来检测您的特定环境中的漏洞。如果你有很多Netware服务器,那么,不含Netware漏洞库的扫描工具就不是你的最佳选择。
当然,漏洞库中的攻击特性必须经常升级,这样才能检测到最近发现的安全漏洞。
2.4 易使用性
一个难以理解和使用的界面,会阻碍管理员使用这些工具,因此,界面友好性尤为重要。不同的扫描工具软件,界面也各式各样,从简单的基于文本的,到复杂的图形界面,以及Web界面。
2.5 扫描报告
对管理员来说,扫描报告的功能越来越重要,在一个面向文档的商务环境中,你不但要能够完成你的工作,而且还需要提供书面资料说明你是怎样完成的。事实上,一个扫描可能会得到几百甚至几千个结果,但是这些数据是没用的,除非经过整理,转换成可以为人们理解的信息。这就意味着理想情况下,扫描工具应该能够对这些数据进行分类和交叉引用,可以导到其他程序中,或者转换成其他格式(比如CSV,HTML,XML,MHT,MDB,EXCEL以及Lotus等等),采用不同方式来展现它,并且能够很容易的与以前的扫描结果做比较。
2.6 分析与建议
发现漏洞,才完成一半工作。一个完整的方案,同时将告诉你针对这些漏洞将采取哪些措施。一个好的漏洞扫描工具会对扫描结果进行分析,并提供修复建议。一些扫描工具将这些修复建议整合在报告中,另外一些则提供产品网站或其它在线资源的链接。
漏洞修复工具,它可以和流行的扫描工具结合在一起使用,对扫描结果进行汇总,并自动完成修复过程。