风险评估 让安全尽在掌握(基于网络篇)

风险评估让安全尽在掌握（基于网络篇）
随着企业网络的日趋扩大、日趋动态化与复杂化，来自网络的安全威胁也在呈指数级增长，企业也因此希望提高网络安全整体水平的呼声日渐高涨。

为了通过风险评估减少企业的网络风险，第一步就是需要通过基于网络的扫描工具评定网络安全的漏洞及弱点，进而使企业网络系统的安全防护做到先知先觉，未雨绸缪。

对于具体企业网络环境的网络风险评估，企业往往希望扫描工具能够能够做到对整个网络进行安全漏洞扫描，进而发现、发掘、分析、并报告安全性漏洞。

这就对网络扫描工具提出了极高的要求。

而目前作为一般的漏洞和风险评估工具，现有的网络扫描器也可用于发现、报告网络安全漏洞，但它们却不能识别漏洞的真伪，更无法提供漏洞的发生地与产生原因。

这对企业而言，就好比是一个处于危险的人被庸医告知自己病了，却连病情的轻重、病源何在均一概不知，仍需要进一步的确诊。

更进一步的如需要这些扫描工具对网络潜在的安全漏洞进行识别，就更无从谈起。

对此，网络安全专家赛门铁克认为，一个好的基于网络风险评估解决方案，往往需要对于其扫描技术的科学性、安全漏洞的真伪识别及诊断能力、对于安全漏洞的深层发掘能力、灵活的报告能力等功能均提出明确要求。

除此之外，还需要其具有如下特色功能：
●实时自动的扫描探测网络上的系统设备和服务；
●扫描信息并行处理，具备自学习能力；
●可对Unix\Linux\Windows\Netware等主流的操作系统进行扫描；
●可采用TCP/IP、IPX/SPX等协议进行扫描。

有鉴于此，赛门铁克推出了基于网络的采用顺序扫描技术的网络风险评估解决方案——NetRecon。

它可根据整体网络视图进行风险评估，同时可在那些常见安全漏洞被入侵者利用且实施攻击之前进行漏洞识别，从而帮助企业妥善保护网络和系统。

NetRecon具备了网络漏洞的自动发现和评估功能，它能够安全地模拟常见的入侵和攻击情况，在系统间分享信息并继续探测各种漏洞直到发现所有的安全漏洞，从而识别并准确报告网络漏洞，并推荐修正措施。

更重要的是，NetRecon不象其它的扫描器，它不仅仅能够检测和报告漏洞而且还可以证明漏洞发生的场所与原因。

通过分析漏洞的根本原因，所有重复的漏洞、模式或异常的现象很容易被确定到是否为重要问题或被确定到网络中通过系统配置自身迅速排除。

为了确保企业网络安全的高可信度，企业还有必要对潜在的安全威胁有所预见。

针对这一需求，NetRecon采用了一种独一无二的已申报专利的顺序扫描技术，在这一技术中，它
可以将收集到漏洞和信息用于另一个扫描以进行更深层次的扫描——即以并行方式收集漏洞信息，然后在多个组件之间共享这些信息。

这种扫描方式做到了边实践边学习的扫描，可进行更为彻底的评估、更为深入地发现网络中的漏洞，从而真正做到了对安全漏洞的“先知先觉”。

在整个企业网络系统风险评估过程中，企业需要的是能保障包括主机与网络在内的企业系统的全方位安全，同时要减少异构网络环境下安全解决方案的开发成本，并做到花费低、效果好、见效快的效用。

而在目前，某一单一的基于主机或基于网络的扫描工具均无法达到上述要求。

上期我们介绍过的基于主机的安全漏洞扫描和风险评估工具——ESM限于在单一位置自动进行并整合安全策略的规划、管理及控制工作，其对于整个网络系统内的风险评估，尤其对于基于不同网络协议的网络风险评估不能面面俱到。

相反基于网络的扫描工具对于异构网络环境下的主机系统安全防范又有尺有所短。

为此在企业网络安全体系的建设中，网络安全专家赛门铁克建议，将基于主机与网络的网络安全扫描工具同时并用，这样既可以保障主机与网络的安全，又可以确保网络的运行效率。

只有如此，强大的全企业范围内的网络安全风险评估体系才算真正得以确立。