网络漏洞扫描系统的必要性(4)

　　那我们如何选购专业的网络隐患扫描系统呢？一般来讲它必须具备以下几个标准：

　　1、是否通过国家的各种认证

　　目前国家对安全产品进行认证工作的权威部门包括公安部信息安全产品测评中心、国家信息安全产品测评中心、解放军安全产品测评中心、国家保密局测评认证中心。

　　2、漏洞数量和升级速度

　　漏洞数量是考查漏洞扫描器的重要指标，最新漏洞的数量、漏洞更新和升级的方法以及升级方法是否能够被非专业人员掌握，使得漏洞库升级的频率显得更为重要。比如RJ-iTop网络隐患扫描系统每周一次，漏洞数量达1502之多（截止到2004年7月9日）。

　　3、产品本身的安全性

　　扫描产品运行的操作系统平台是否安全以及产品本身的抗攻击性能如何都是用户应该需要考虑的因素。比如RJ-iTop网络隐患扫描系统采用软硬结合、专门优化的linux系统，关闭了不必要的端口和服务，并且传输的数据加密。

　　4、是否支持CVE国际标准

　　其目的是给所有已知的漏洞和安全泄露提供一个标准化的命名。给企业提供更好的覆盖、更容易的协同和加强的安全。

　　5、是否支持分布式扫描

　　产品具有灵活、携带方便、穿透防火墙的特性。因为现在不再有没有划分VLAN的单一 网络存在；扫描器发出的数据包有些会被路由器、防火墙过滤，降低扫描的准确性。

　　在网络内进行防火墙与IDS的设置，并不意味着我们的网络就绝对安全，但是设置得当的防火墙和IDS，至少会使我们的网络更为坚固一些，并且能提供更多的攻击信息供我们分析。防火墙、防病毒、入侵检测、漏洞扫描分别属于PDR和P2DR模型中的防护和检测环节。这几种安全技术围绕安全策略有序地组织在一起，相互协同，相互作用，构成一个动态自适应的防范体系。

　　最后，要说的依然是那句"世界上没有一种技术能真正保证绝对的安全"。

　　因为安全问题，是从设备到人、从服务器上的每个服务程序到防火墙、IDS等安全产品的综合问题。任何一个环节的工作，都只是迈向安全的步骤之一。