上一期我们介绍了入侵检测系统，也了解到了信息安全的风险指数=弱点X威胁，其威胁的部份，就由如同二十四小时保全人员的入侵检测系统在网络及主机上监控。相对地，主机上的弱点则必须靠所谓的安全漏洞扫描仪来作侦测。安全漏洞扫描仪，就是市面上常听到的Security Scanner，主要的功能是仿真黑客入侵的手法去测试系统上有没有安全上的漏洞，进而从扫描出来的安全漏洞报告里告诉用户系统上的安全漏洞有多少？如何去修补及到那里下载Patches？

使用Security Scanner的理由

为什么要使用安全漏洞扫描仪呢？基本上有三点：

1.集中式的找出安全漏洞

使用安全漏洞扫描仪，可以找出各系统的漏洞，并集中式的了解漏洞内容，不需要每天注意各操作系统的漏洞通报，因为各操作系统的漏洞通报不会定时的发布，并且即使发布了，用户也不一定知道。

2.降低风险指数

由安全漏洞扫描仪所检测出来的漏洞，会提供修正的步骤及Patches下载网址，进而减少系统漏洞，降低风险指数。

3.黑客也使用安全漏洞扫描仪

当黑客要入侵一个网站或企业时，也会使用某些工具先去了解这个网站的操作系统、服务以及漏洞，接着再开始入侵，而这些工具便是安全漏洞扫描仪。因此，系统管理者可以介由扫描仪来仿真黑客的手法，了解自己主机上的漏洞。更重要的是，如果系统管理者都不了解自己网络或主机上的漏洞，那谁要来了解呢？

认识Security Scanner

漏洞扫描仪一般分成网络型及主机型二大类的安全漏洞扫描仪及数据库安全漏洞扫描仪，分别详述如下：

网络型安全漏洞扫描仪

网络型的漏洞扫描仪主要是仿真黑客经由网络端发出封包，以主机接收到封包时的响应作为判断标准，进而了解主机的操作系统、服务、及各种应用程序的漏洞，其运作的架构如(图一)。我们可以由图一知道网络型扫描仪可以放置于Internet端，也就是可以放在家里去扫描自己企业主机的漏洞，这样等于是在仿真一个黑客从Internet去攻击企业的主机。

《图一 网络型安全漏洞扫描仪整体架构》

当然，不一定要从Internet端去作扫描，因为那样速度会较慢，您也可以把扫描仪放在防火墙之前去作扫描，由得出来的报告了解防火墙帮企业把关了多少非法封包，也可以由此知道防火墙设定的是否良好。通常，即使有防火墙把关，还是可以扫描出漏洞，因为除了人为设定的疏失外，最重要的是防火墙还是会打开一些特定的Port，让封包流进来，如HTTP、FTP等，而这些防火墙所允许的洞，便必须由入侵检测系统来把关了。

最后，您当然可以在DMZ区及企业内部去作扫描，以了解在没有防火墙把关下，主机的弱点有多少？因为企业内部的人员也可能是黑客，而且更容易得逞，因为并没有防火墙在帮你把关，同样地除了由扫描去减少自己企业内部主机的漏洞外，还是得在企业内部装置所谓的入侵检测系统才可二十四小时帮企业内部作监控，因此可以知道安全漏洞扫描仪和入侵检测系统是相辅相成的。

网络型安全漏洞扫描仪主要的功能如下：

1.服务扫描侦测：

提供well-known port service的扫描侦测及well-known port以外的ports扫描侦测。

2.后门程序扫描侦测：

提供PC Anywhere、NetBus、Back Orifice、Back Orifice2000(BackdoorBo2k)等远程控制程序（后门程序）的扫描侦测。

3.密码破解扫描侦测：

提供密码破解的扫描功能，包括操作系统及程序密码破解扫描，如FTP、POP3、Telnet...等。

4.应用程序扫描侦测：

提供已知的破解程序执行扫描侦测，包括CGI-BIN、Web Server漏洞、FTP Server等的扫描侦测。

5.阻断服务扫描测试：

提供阻断服务(Denial Of Service)的扫描攻击测试。

6.系统安全扫描侦测：

如NT的 Registry、NT Groups、NT Networking、NT User、NT Passwords、DCOM(Distributed Component Object Model)、安全扫描侦测。

7.分析报表：

产生分析报表，并告诉管理者如何去修补漏洞。

8.安全知识库的更新：

所谓安全知识库就是黑客入侵手法的知识库，必须时常更新，才能落实扫描。

主机型安全漏洞扫描仪：

主机型的安全漏洞扫描仪最主要是针对操作系统内部问题作更深入的扫描，如Unix、NT、Liunx，它可弥补网络型安全漏洞扫描仪只从外面透过网络检查系统安全的不足。一般采用Client/Server的架构，如(图二)，其会有一个统一控管的控制台(Console)和分布于各重要操作系统的Agents，然后由Console端下达命令给Agents进行扫描，各Agents再回报给Console扫描的结果，最后由Console端呈现出安全漏洞报表。

《图二 主机型安全漏洞扫描仪整体架构》

主机型安全漏洞扫描仪主要的功能如下：

1.重要数据锁定：

利用安全的Checksum(SHA1)来监控重要数据或程序的完整及真实性，如Index.html档。

2.密码检测：

采用结合系统信息、字典和词汇组合的规则来检测易猜的密码。

3.系统日志档和文本文件分析：

能够针对系统日志档，如Unix的syslogs及NT的事件检视(event log)，及其它文本文件(Text files)的内容做分析。

4.动态式的警讯：

当遇到违反扫描政策或安全弱点时提供实时警讯并利用email、SNMP traps、呼叫应用程序等方式回报给管理者。

5.分析报表：

产生分析报表，并告诉管理者如何去修补漏洞。

6.加密：

提供Console 和Agent 之间的TCP/IP连接认证、确认和加密等功能。

7.安全知识库的更新：

主机型扫描仪由中央控管并更新各主机的Agents 的安全知识库。

数据库安全漏洞扫描仪

除了二大类的扫描仪外，还有一种专门针对数据库作安全漏洞检查的扫描仪，像是ISS公司的 Database Scanner。其架构和网络型扫描类似，主要功能为找出不良的密码设定、过期密码设定、侦测登入攻击行为、关闭久未使用的帐户，而且能追踪登入期间的限制活动等。

定期检查每个登入账号密码长度是一件非常重要的事，因为密码是数据库系统的第一道防线。如果没有定期检查密码，导致密码太短或太容易猜测，或是设定的密码是字典上有的单字，都很容易被破解，导致数据外泄。大部分的关系数据库系统都不会要求用户设定密码，更别提上述的安全检查机制，所以问题更严重。由于系统管理员的账号（在SQL Server和Sybase中是sa）不能改名，所以如果没有密码锁定的功能，入侵者就能用字典攻击程序进行猜测密码攻击，到时数据库只能任人宰割，让人随便使用最高访问权限。

除了密码的管理，操作系统保护的了数据库吗？一般关系数据库经常有「port addressable」的特性，也就是用户可以利用客户端程序和系统管理工具直接从网络存取数据库，无须理会主机操作系统的安全机制。而且数据库有extended stored procedure和其他工具程序，可以让数据库和操作系统以及常见的电子商务设备（譬如网页服务器）互动。例如xp_cmdshell是SQL Server的extended stored procedure，就可用来和NT系统互动，执行NT命令行的动作。如果数据库的管理员账号曝光，或服务器设定错误，恶意的用户就可能利用这个stored procedure，自行设定一个没有密码保护的NT用户账号，然后让这个账号有操作系统的系统管理员权限。因此，数据库的安全扫描也是信息安全内很重要的一环。

结论

不论是网络型或主机型的安全漏洞扫描仪，或者是数据库安全漏洞扫描仪，其最重要的就是安全知识库的更新，这样才能完全地扫描出系统的漏洞。同时在做完更新后，一定还要再作一次新的扫描，因为操作系统的漏洞随时都在发布，新的黑客入侵手法也一直翻新。入侵手法就如同病毒，而安全知识库就如同病毒特征，如果一个扫描仪背后的安全知识库不健全的话，就无法对企业信息安全作完善的稽核了。因此，在选择一个安全漏洞扫描仪时，必须考虑到之后知识库更新的内容及能力，才不会花了冤枉钱。