基于漏洞扫描器的主机安全策略(3)

　　（1）制定扫描周期表

　　漏洞扫描工作是系统管理员的日常工作之一，应制定科学的扫描周期。对于规模较大的网站，漏洞扫描耗时巨大，日常周期以一周为宜。制定扫描周期表应体现下列原则：

　　● 与系统配置修改挂钩，当配置修改完毕即执行漏洞扫描；

　　● 与漏洞库及漏洞扫描器软件升级挂钩，当升级完毕即执行漏洞扫描；

　　● 与漏洞修补工作挂钩，当修补工作完毕即执行漏洞扫描。

　　（2）制定漏洞修补措施

　　漏洞扫描工作是主机系统安全的初期工作，是发现漏洞的过程。如果发现漏洞却不去修补，漏洞扫描就毫无意义。漏洞修补措施的原则是：

　　● 漏洞报告分析，主要分清漏洞产生的原因、系统管理员误配置、系统和软件自身的缺陷、黑客行为（如木马程序）；

　　● 对于系统管理员误配置，应及时参考有关手册，得出正确的配置方案并对误配置进行更正；

　　● 对于操作系统和应用软件自身的缺陷，应该向开发商寻求升级版本或有关补丁（patch）；

　　● 对于黑客行为，关键要弄清楚其留下的木马或后门（Back Door）的原理和位置，并及时清除。

　　3.4 漏洞扫描器的维护

　　漏洞扫描器维护工作的核心是漏洞库和系统配置标准规则的升级。这与PC杀毒软件相似。对于漏洞库长期没有得到升级的漏洞扫描器，检测结果的可信度大大降低。著名的扫描器satan是一例，自1995年诞生以来，升级次数不多。目前看它的功能已显单薄，王者之位已经让位于ISS等后起之秀。

　　漏洞库和系统配置标准规则的升级主要来自三个方面：

　　● 对于商业软件，可从开发商手中获取升级信息；

　　● 系统管理员直接从诸如www.cert.org等安全网站下载漏洞信息，自己进行升级；

　　● 系统管理员根据自己的工作经验特别是与黑客较量中获得的经验教训，自己编制漏洞库以进行升级。

　　4．结束语

　　漏洞扫描器是审核和评价主机安全性的重要工具，但在具体应用中，漏洞扫描器必须和有效的网络安全管理结合起来，这样才能最大限度地发挥它的效能，保护主机系统的安全。因此，制定有效而合理的基于漏洞扫描器的主机安全策略是非常必要的。