企業(yè)漏洞掃描對于企業(yè)來說是十分重要的一個網(wǎng)絡(luò)安全組成部分，做好漏洞掃描可以使企業(yè)網(wǎng)絡(luò)安全程度得到很大程度的提升。但是企業(yè)漏洞掃描也是一項很復(fù)雜的工作，本篇文章就將介紹企業(yè)漏洞掃描應(yīng)考慮的三個問題。

企業(yè)漏洞掃描：網(wǎng)絡(luò)掃描還是主機(jī)稍描

若要做補(bǔ)好漏洞的話，則首先需要知道有哪些漏洞，我們才能夠下手進(jìn)行修補(bǔ)。所以，漏洞管理的第一項工作就是對現(xiàn)有主機(jī)進(jìn)行稍描，看看有哪些漏洞。

現(xiàn)在一般通行的有兩種稍描方式，一是從網(wǎng)絡(luò)中的一臺主機(jī)對網(wǎng)絡(luò)內(nèi)的全部主機(jī)進(jìn)行稍描，我們可以利用一些稍描工具，如流光，方便的對網(wǎng)絡(luò)內(nèi)的所有電腦進(jìn)行稍描，發(fā)現(xiàn)他們操作系統(tǒng)的漏洞。如可以里用流光稍描工具，輕松的發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)內(nèi)的哪些主機(jī)沒有設(shè)置管理員帳戶密碼或者對其只是設(shè)置簡單的密碼(例如123456);也可以利用這個工具稍描企業(yè)內(nèi)的主機(jī)哪些開著默認(rèn)共享，等等。

另外一種是主機(jī)稍描。就是在網(wǎng)絡(luò)內(nèi)的所有主機(jī)上安裝稍描工具，然后對主機(jī)進(jìn)行一一稍描。如現(xiàn)在有些殺毒軟件，像金山毒霸、瑞星等殺毒軟件，都自帶有漏洞稍描工具。利用這些工具，我們網(wǎng)絡(luò)安全管理員可以非常輕松的找出操作系統(tǒng)中存在的可能被攻擊的漏洞。

若利用這兩種稍描方式對同一臺主機(jī)進(jìn)行稍描，可能其掃描出來的信息不完全一致。為什么呢?其實，網(wǎng)絡(luò)稍描就好像是一個黑客，對我們的網(wǎng)絡(luò)進(jìn)行掃描一樣，其得到的信息可能只是一些比較簡單的信息，而且，由于其他種種方面的限制，其掃描到的可能不是所有的漏洞信息。而我們在主機(jī)端掃描的話，則會得到比較詳細(xì)的信息，也可能會發(fā)現(xiàn)已經(jīng)知道的所有系統(tǒng)漏洞?？梢姡裟軌蛟谥鳈C(jī)上掃描的話，我們管理員會知道更多的信息。可惜的是，在主機(jī)上對每個操作系統(tǒng)進(jìn)行掃描，工作量非常的大。

所以，我們需要根據(jù)實際情況，在工作量與安全性之間取得一個均衡。

企業(yè)漏洞掃描： 什么時候掃描

我們該什么時候?qū)χ鳈C(jī)進(jìn)行掃描呢?是一天一次，還是一個星期一次，又或者是一個月一次呢?從理想的角度來講，當(dāng)然是頻率越高越好，如此的話，我們可以最早的發(fā)現(xiàn)漏洞。但是，我們也知道，無論是本機(jī)掃描還是網(wǎng)絡(luò)掃描，都比較消耗資源，會對主機(jī)以及網(wǎng)絡(luò)的性能產(chǎn)生很大的影響。如采用網(wǎng)絡(luò)掃描的話，則在掃描的過程中，會占用比較多的網(wǎng)絡(luò)帶寬，從而降低其他網(wǎng)絡(luò)應(yīng)用的效率。如筆者經(jīng)過一個測試，當(dāng)我在開啟網(wǎng)絡(luò)掃描的時候，同時向一個文件服務(wù)器復(fù)制一個5M左右大小的圖片，其必在沒有開啟網(wǎng)絡(luò)掃描時，要整整多花近一半的時間。可見，掃描太過于頻繁的話，會大大影響企業(yè)其他網(wǎng)絡(luò)業(yè)務(wù)的正常運轉(zhuǎn)。為此，我們需要設(shè)置一個比較合理的掃描頻率，在滿足安全性的同時，把對正常業(yè)務(wù)的不良影響降低到最小的水平。

企業(yè)漏洞掃描：修補(bǔ)前需要做好測試工作

當(dāng)我們發(fā)現(xiàn)漏洞后，我們是否發(fā)上可以為其打上補(bǔ)丁呢?其實不然。筆者認(rèn)為，我們在為其打上漏洞的時候，最好還是在局部電腦上進(jìn)行測試，看看這個漏洞的補(bǔ)丁會不會對電腦上的其他軟件有沖突。與其等到有沖突的時候進(jìn)行后悔，那我們還不如先做好測試工作呢?

一般來說，微軟操作系統(tǒng)及其辦公軟件所公布的補(bǔ)丁，他們也會進(jìn)行一些測試。但是，他們測試的內(nèi)容可能不會涉及到企業(yè)現(xiàn)在在用的所有軟件。如筆者以前就遇到過，當(dāng)安裝了XP系統(tǒng)的SP2 補(bǔ)丁之后，筆者企業(yè)在用的一個開源的作圖軟件就運行不了了。后來只好重新安裝系統(tǒng)，把操作系統(tǒng)直接升級到了2003。還好其硬件配置可以支持2003系統(tǒng)，不然的話，麻煩還很大的。

【編輯推薦】

1. Web專用網(wǎng)站服務(wù)器的安全設(shè)置
2. 怎樣進(jìn)行路由器的安全設(shè)置
3. 安全設(shè)置策略及自帶防火墻介紹
4. 企業(yè)如何對員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)
5. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險