安全漏洞扫描器

随著网路的普及，网路安全已成为 INTERNET 上的焦点，它关系著 INTERNET 的进一步发展和普及，甚至关系著 INTERNET 的生存。在享受 INTERNET 带来的好处的同时，也面临著一定程序的风险，因为 INTERNET 上存在很多的危险。网路安全在过去一直倾向采取被动式防护策略，如防火墙、入侵侦测等，但从去年 codered、nimda 利用软体漏洞造成病毒式攻击造成大量损失的情况来看，单靠被动式防护只能忍受亡羊补牢的损失，已显得安全防御力不足，必须进而采取主动防范的策略，找出自己的网路主机安全漏洞并消除它才能有效降低风险。

安全扫描是网路安全防御中的一项重要技术，其原理是采用模拟骇客入侵的手法去测试系统上有没有安全上的漏洞，对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、资料库应用等各种对象。然後根据扫描结果向系统管理员提供周密可靠的安全性分析报告，从扫描出来的安全漏洞报告中去了解系统上的安全漏洞有多少？如何去修补及到那里下载修补程式。

为提高网路安全整体水平产生重要依据。在网路安全体系的建设中，安全扫描是一种花费低、效果好、见效快、与网路的运行相对对立、安装及使用简单的工具，它可以大规模减少安全管理员的负担，有利於保持整个网路安全政策的统一和稳定。

使用安全漏洞扫描器的原因∶

1. 集中式的找出安全漏洞
   使用安全漏洞扫描器，可以找出各系统的漏洞，并集中式的了解漏洞内容，不需要每天注意各操作系统的漏洞通报，因为各作业系统的漏洞通报不会定时的发布，并且即使发布了，使用者也不一定知道。
2. 降低风险指数
   由安全漏洞扫描器所检测出来的漏洞，会提供修正的步骤及修正 (Patches) 程式下载网址，进而减少系统漏洞，降低风险指数。
3. 骇客也使用安全漏洞扫描器
   当骇客要入侵一个网站或企业时，也会使用某些工具先去了解这个网站的作业系统、服务以及漏洞，接著再开始入侵，而这些工具便是安全漏洞扫描器。因此，系统管理者可以通过扫描器来模拟骇客的手法，了解自己主机上的漏洞。更重要的是，系统管理者必须了解自己网路或主机上的漏洞。

如何评估安全漏洞扫描器:

评估一套网路安全扫描工具的性能主要应该考虑下面一些因素∶

1. 能够扫描发现安全漏洞并更新漏洞资料库
2. 扫描效率以及对目标网路系统的影响及自定模拟攻击方法的灵活性
3. 扫描程序的易用性、稳定性、分析报告的形式

产品的性能取决於开发公司的实力，即掌握最新的安全漏洞和攻击方法的能力。

安全漏洞扫描器分类:

漏洞扫描器基本上分成网路型及主机型二大类的安全漏洞扫描器，另外还有针对资料库安全所设计的漏洞扫描器。DragonSoft Secure Scanner 主要功能为网路型安全漏洞扫描器，主要是模拟骇客经由网路端发出封包，以主机接收到封包时的回应作为判断标准，进而了解主机的作业系统、服务、及各种应用程序的漏洞。网路型扫描器可以放置於 Internet 端，也就是放在家里也可以去扫描自己企业主机的漏洞，等於是在模拟一个骇客从 Internet 去攻击企业的主机。

图1∶网路型安全漏洞扫描器整体架构

当然，不一定要从 Internet 端去作扫描，因为那样速度会较慢，您也可以把扫描器放在防火墙之前去作扫描，由检测报告了解防火墙帮企业把关了多少非法封包，也可以由此知道防火墙设定的是否良好。 通常，即使有防火墙把关，还是可以扫描出漏洞，因为除了人为设定的疏失外， 最重要的是防火墙还是会打开一些特定的 Port 让封包流进来，如 HTTP、FTP、SMTP 等，而这些防火墙所允许的洞，便必须透过安全漏洞扫描来检测并给予修补，方可确保安全。

最後，您可以在DMZ区及企业内部去作扫描，以了解在没有防火墙把关下， 主机的弱点有多少？因为企业内部的人员也可能是骇客，而且更容易得逞， 因为并没有防火墙在帮你把关，因此更需要由扫描去减少自己企业内部主机的 漏洞，避免被内部轻易窃取或破坏资料。

网路型安全漏洞扫描器主要的功能如下∶

1. 服务扫描侦测∶
   提供 well-known port service 的扫描侦测及 well-known port 以外的 ports 扫描侦测。
2. 後门程序扫描侦测∶
   提供PC Anywhere、NetBus、Back Office、Back Office2000(BackdoorBo2k) 等远端控制程序(後门程序)的扫描侦测。
3. 密码破解扫描侦测∶
   提供密码破解的扫描功能，包括操作系统及程序密码破解扫描，如 FTP、POP3、Telnet...等。
4. 应用程序扫描侦测:
   提供已知的破解程序执行扫描侦测，包括 CGI-BIN、Web Server 漏洞、FTP Server 等的扫描侦测。
5. 阻断服务扫描测试∶
   提供阻断服务(Denial Of Service)的扫描攻击测试。
6. 系统安全扫描侦测∶
   如 NT 的 Registry、NT Groups、NT Networking、NT User、NT Passwords、DCOM(Distributed Component Object Model)、安全扫描侦测。
7. 分析报表∶
   产生分析报表，并告诉管理者如何去修补漏洞。
8. 安全资料库的更新∶
   所谓安全资料库就是骇客入侵手法的知识库，必须时常更新，才能落实扫描。

主机型的安全漏洞扫描器一般采用 Client/Server 的架构，最主要是针对操作系统内部问题作更深入的扫描，它可弥补网路型安全漏洞扫描器只从外面通过网路检查系统安全的不足。DragonSoft Secure Scanner 除了提供网路型扫描器功能外，也加入部份主机型安全漏洞扫描器的功能。如:

1. 密码检测∶
   采用结合系统讯息、字典和词汇组合的规则来检测易猜的密码。
2. 动态式的警讯∶
   当遇到违反扫描政策或安全弱点时提供即时警讯并利用 email 等方式回报给管理者。

除了上述二大类的扫描器外，DragonSoft Secure Scanner 还提供专门针对资料库作安全漏洞检查的扫描器的部分功能，找出不良的密码设定、过期密码设定等。 因为密码是资料库系统的第一道防线。如果没有定期检查密码，导致密码太短或太容易猜测，或是设定的密码是字典上有的单字，都很容易被破解，导致资料外　。大部分的关联式资料库系统都不会要求使用者设定密码，更别提上述的安全检查机制，所以问题更严重。由於系统管理员的帐号（在 SQL Server 和 Sybase 中是 sa）不能改名，所以如果没有密码锁定的功能，入侵者就能用字典攻击程序进行猜测密码攻击，到时资料库只能任人宰割，让人随便使用最高存取权限。 除了密码的管理，作业系统保护了资料库吗? 一般关联式资料经常有「port addressable」的特性，也就是使用者可以利用客户端程序和系统管理工具直接从网路存取资料库，略过主机作业系统的安全机制。而且资料库有 extended stored procedure 和其它工具程序，可以让资料库和作业系统以及常见的电子商务设备（譬如网站服务器）互动。例如 xp_cmdshell 是 SQL Server的extended stored procedure，就可用来和NT系统互动，执行NT命令列的动作。如果资料库的管理员帐号曝光，或服务器设定错误，恶意的使用者就可能利用这个 stored procedure，自行设定一个没有密码保护的NT使用者帐号，然後让这个帐号有作业系统的系统管理员权限。因此，资料库的安全扫描也是资讯安全内很重要的一环。

安全资料库:

不论是网路型或主机型的安全漏洞扫描器，或者是资料库安全漏洞扫描器，其最重要的就是安全资料库的更新，这样才能完全地扫描出系统的漏洞。同时在做完更新後，一定还要再作一次新的扫描，因为作业系统的漏洞随时都在发布，新的骇客入侵手法也一直翻新。入侵手法就如同病毒，而安全资料库就如同病毒码，如果一个扫描器背後的安全资料库不健全的话，就无法对企业资讯安全作完善的稽核了。因此，在选择一个安全漏洞扫描器时，必须考虑到之後知识库更新的内容及能力。

Dragonsoft Secure Scanner:

龙网科技的“Dragonsoft Secure Scanner”网路安全评估分析系统是骇客入侵防范软体中，专门针对网路安全薄弱环节和漏洞问题设计的强有力的工具，它主要用於评估用户整个网路系统的安全状况，考察系统的安全性。该产品具有∶漏洞扫描评估、服务检查、攻击性测试、提出全面的安全解决建议报告等多项功能。 在“Dragonsoft Secure Scanner”软体中，搜集了目前常见的骇客攻击手法，采用防患於未然的办法，定期对网路系统进行评估分析，及时发现问题，给出相关安全措施和建议并进行相应的修补和配置，以达到防止骇客攻击的目的。用户可以生成多种报表格式，并且可以查询、总结各种报表。 龙网科技网路安全评估系统“Dragonsoft Secure Scanner”具有结构合理、执行稳定、分类齐全、分析项目完备、评估分析速度快、准确性高、报表形式和内容更加丰富等特点。同时，软体更易於使用，具有完善的安全解决方案，企业版中还增加了一些实用的分析工具。

竞争优势:

1. 国内开发，且为全球资讯安全应用软体市场上少数掌握网路型安全漏洞扫描完整技术的厂商，具发展潜力。
2. 软体检测项目完整，功能新增快速，反应速度快。
3. 拥有自行维护的华文安全资料库。
4. 直觉式使用者介面，符合国人使用习惯，操作极为简易。
5. 具有中文操作介面外，也具有易懂的中文漏洞解说建议与修补方式指引。
6. 扫描过程中即时显示资讯，不需要等待完成後的报告。