保障信息安全 漏洞扫描产品不可或缺

　　在大多数信息安全体系建设过程中，防火墙，入侵检测，防病毒总是客户最先选用安全产品，而相对来讲，虽然漏洞扫描产品也已非常成熟，但在以往的安全建设过程中并未得到客户的充分重视。这种情况的出现并非偶然，因为以往大多数客户的安全建设仍然是以风险控制为核心进行，尤其是防火墙、防病毒以及入侵检测产品为代表的安全“老三样”能够在安全事件爆发时立即发挥效用，解决客户的燃眉之急，因此客户优先考虑这些安全产品也是理所当然。

　　然而，部署了“老三样”，安全问题就能完全解决了吗?答案当然是否定的。安全是相对的，没有绝对的安全，纵然有“老三样”，但一次又一次蠕虫的大规模爆发，也让大家切身体会到安全问题依旧存在，这究竟是为什么呢?首先，来自外部、内部的威胁日益增多，攻击手段更加多样化，是信息安全事件不断发生的外因;其次，在这种形势下“老三样”只解决了威胁检测和防护问题，没有或者很少关注到安全事件发生的根本原因——客观存在的系统弱点，致使攻击屡屡得手。因此，在威胁形势日益严峻的情况下，仅依靠“老三样”相对的静态应对，会显得越来越力不从心，此时，必须对系统脆弱性给予特别关注。

　　弱点评估会让风险的认知和掌控更提前

　　事实上，随着信息安全意识的不断提高，越来越多客户的安全建设已开始向风险管理思路转变。提到风险管理，熟悉风险管理模型(参见下图)的朋友都知道，弱点是影响风险的重要因素，同时弱点有时客观存在的，无法完全消除。而通过弱点评估，客户能够方便、及时的了解企业信息系统的弱点，结合资产和威胁，就可以对安全风险评估，并采取针对性的措施来控制风险。因此，通过弱点评估，可以使客户对信息安全风险的认知和掌控更加提前，变被动为主动。

　　动态的安全保障需要弱点评估来驱动

　　之所以说“老三样”是相对静态的，是因为它们只关注了安全事件攻防双方中“攻”的主体，也就是威胁，而并未关注到被攻击的主体。由于被攻击的系统存在弱点，威胁的攻击才能够得以成功。如果我们能够建立这样一种机制：在事前(安全时间发生之前)，通过漏洞扫描进行全面的弱点评估，并提前采取修补措施，防范于未然;在事中，通过部署防火墙、IDS、防病毒等安全设备，进行预知威胁隔离、检测和防御;在事后，通过灾难备份等进行事后业务恢复，减小安全损失。这种机制下，通过三个环节的有机配合，循环往复，就可构建一个动态的安全保障体系，有效实现安全风险掌控。新的漏洞会不断被发现，因此弱点评估需要定期进行，而通过弱点评估和修复，能够使攻击成功率降低，也可以让处于事中的威胁防护更加有针对性。

　　漏洞扫描产品可为弱点评估提供最佳支持

　　作为弱点评估工具，漏洞扫描产品不论从技术、产品以及应用方面，均已非常成熟。漏洞扫描产品能够应对复杂的网络环境，通过网络远程对各种服务器、客户机、网络设备、操作系统、应用系统进行全面的弱点评估，过程高效且自动化，还能够对弱点进行危险分级，甚至可以直接根据资产的价值和防护级别，评估主机和网络的风险，无疑能为弱点评估工作提供最佳支持。