漏洞評估的發(fā)展大致可以分為兩個階段：
一個發(fā)展階段的特性是安全測試工具，用戶使用這類工具，盡可能模擬攻擊行為，為進一步分析系統(tǒng)的缺陷提供測試數(shù)據(jù)。代表性產(chǎn)品有早起的Nmap、Nessus、Nikto等；這個階段模擬攻擊的測試工具，圍繞“探測與發(fā)現(xiàn)”，更多關注某個具體的漏洞，比如弱口令、操作系統(tǒng)的某個漏洞、CGI的某個漏洞網(wǎng)路協(xié)議的某個漏洞。集中在“探測與發(fā)現(xiàn)”能力上，在提供給用戶解決方案上存在不足；同時該階段的漏洞評估產(chǎn)品基本沒有考慮基于掃描結(jié)構(gòu)的后期分析、統(tǒng)計；無法幫助用戶對資產(chǎn)的漏洞進行方便的管理。
二個發(fā)展階段是安全評測與管理工具，融入了資產(chǎn)、風險管理等概念，為用戶提供了更為的漏洞評估和資產(chǎn)管理能力。這個階段以IT資產(chǎn)為核心，側(cè)重于漏洞生命周期管理。單靠完成檢測而不能實現(xiàn)真正意義上的漏洞修復閉環(huán)，已經(jīng)不能應對日益變化的安全漏洞形勢，因此安全漏洞掃描基于漏洞掃描核心技術，并將IT資產(chǎn)與風險漏洞相結(jié)合，在盡可能準確發(fā)現(xiàn)網(wǎng)絡主機的安全漏洞之余，還可以協(xié)助管理員進行漏洞修補。所以安全漏洞掃描服務是進一步加強了“探測與發(fā)現(xiàn)”漏洞性，同時增強了幫助用戶“管理漏洞”側(cè)重“修復”的能力。在發(fā)現(xiàn)的基礎上，對每個漏洞給出詳細信息和一些修補建議。
漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測，發(fā)現(xiàn)可利用漏洞的一種安全檢測（滲透攻擊）行為。

現(xiàn)有網(wǎng)絡安全掃描軟件通常分為資產(chǎn)收集與漏洞掃描兩大模塊，其中的漏洞掃描模塊利用配置的插件，對已有的網(wǎng)絡資產(chǎn)進行掃描，在發(fā)現(xiàn)漏洞之后，發(fā)送郵件進行告警。其主體與插件都利用使用python實現(xiàn)，其支持2種插件類型、標示符與腳本，均可通過web控制臺進行添加。
網(wǎng)絡安全掃描軟件在運行插件時，若返回非空則有漏洞，為空則沒有漏洞，此邏輯過于簡陋，導致無法根據(jù)不同的情況返回不同的信息。

安全漏洞掃描功能
1、定期的網(wǎng)絡安全自我檢測、評估
配備漏洞掃描系統(tǒng)，網(wǎng)絡管理人員可以定期的進行網(wǎng)絡安全檢測服務，安全檢測可幫助客戶可能的安全隱患，盡可能早地發(fā)現(xiàn)安全漏洞并進行修補，有效的利用已有系統(tǒng)，優(yōu)化資源，提高網(wǎng)絡的運行效率。
2、 安裝新軟件、啟動新服務后的檢查
由于漏洞和安全隱患的形式多種多樣，安裝新軟件和啟動新服務都有可能使原來隱藏的漏洞暴露出來，因此進行這些操作之后應該重新掃描系統(tǒng)，才能使安全得到**。
3、網(wǎng)絡建設和網(wǎng)絡改造前后的安全規(guī)劃評估和成效檢驗
網(wǎng)絡建設者必須建立整體安全規(guī)劃，以統(tǒng)領全局，高屋建瓴。在可以容忍的風險級別和可以接受的成本之間，取得恰當?shù)钠胶猓诙喾N多樣的安全產(chǎn)品和技術之間做出取舍。配備網(wǎng)絡漏洞掃描/網(wǎng)絡評估系統(tǒng)可以讓您很方便的進行安全規(guī)劃評估和成效檢驗網(wǎng)絡的安全系統(tǒng)建設方案和建設成效評估。
4、網(wǎng)絡承擔重要任務前的安全性測試
網(wǎng)絡承擔重要任務前應該多采取主動防止出現(xiàn)事故的安全措施，從技術上和管理上加強對網(wǎng)絡安全和信息安全的重視，形成立體防護，由被動修補變成主動的防范，把出現(xiàn)事故的概率降到低點。配備網(wǎng)絡漏洞掃描/網(wǎng)絡評估系統(tǒng)可以讓您很方便的進行安全性測試。
5、網(wǎng)絡安全事故后的分析調(diào)查
網(wǎng)絡安全事故后可以通過網(wǎng)絡漏洞掃描/網(wǎng)絡評估系統(tǒng)分析確定網(wǎng)絡被攻擊的漏洞所在，幫助彌補漏洞，盡可能多得提供資料方便調(diào)查攻擊的來源。
6、重大網(wǎng)絡安全事件前的準備
重大網(wǎng)絡安全事件前網(wǎng)絡漏洞掃描/網(wǎng)絡評估系統(tǒng)能夠幫助用戶及時的找出網(wǎng)絡中存在的隱患和漏洞，幫助用戶及時的彌補漏洞。

漏洞掃描猶如體檢一般，通過漏洞掃描工具，我們可以定期對計算機系統(tǒng)、軟件、應用程序或網(wǎng)絡接口進行掃描，從而發(fā)現(xiàn)信息安全存在的潛在威脅，及時采取防御措施、風險。
1、OpenVAS漏洞掃描工具
OpenVAS漏洞掃描器是一種漏洞分析工具，由于其的特性，IT部門可以使用它來掃描服務器和網(wǎng)絡設備。
這些掃描器將通過掃描現(xiàn)有設施中的開放端口、錯誤配置和漏洞來查找IP地址并檢查任何開放服務。掃描完成后，將自動生成報告并以電子郵件形式發(fā)送，以供進一步研究和更正。
OpenVAS也可以從外部服務器進行操作，從的角度出發(fā)，從而確定暴露的端口或服務并及時進行處理。如果您已經(jīng)擁有一個內(nèi)部事件響應或檢測系統(tǒng)，則OpenVAS將幫助您使用網(wǎng)絡滲透測試工具和整個警報來改進網(wǎng)絡。
2、Nessus漏洞掃描工具
Professional是一款面向安全人士的工具，負責修補程序、軟件問題、惡意軟件和廣告軟件工具，以及各種操作系統(tǒng)和應用程序的錯誤配置。
Nessus提供了一個主動的安全程序，在利用漏洞入侵網(wǎng)絡之前及時識別漏洞，同時還處理遠程代碼執(zhí)行漏洞。
它關心大多數(shù)網(wǎng)絡設備，包含虛擬、物理和云基礎架構(gòu)。
3、Nexpose community
Nexpose community是由Rapid7開發(fā)的漏洞掃描工具，它是涵蓋了大多數(shù)網(wǎng)絡檢查的開源解決方案。
這個解決方案的多功能性是IT管理員的一個優(yōu)勢，它可以被整合到一個Metaspoit框架中，能夠在任何新設備訪問網(wǎng)絡時檢測和掃描設備。
它還可以真實世界中的漏洞暴露，重要的是，它可以進行相應的修復。此外，漏洞掃描程序還可以對威脅進行風險評分，范圍在1-1000之間，從而為安全在漏洞被利用之前修復漏洞提供了便利。Nexpose目前可免費試用一年。
4、Nikto
Nikto是另一個免費的在線漏洞掃描工具，如Nexpose community。
Nikto可幫助您了解服務器功能，檢查其版本，在網(wǎng)絡服務器上進行測試以識別威脅和惡意軟件的存在，并掃描不同的協(xié)議，如https、httpd、http等。
還有助于在短時間內(nèi)掃描服務器的多個端口，Nikto因其效率和服務器強化功能而受到青睞。
5、Retina
Retina漏洞掃描工具是基于Web的開源軟件，從中心位置負責漏洞管理。它的功能包括修補、合規(guī)性、配置和報告。
負責數(shù)據(jù)庫、工作站、服務器分析和Web應用程序，完全支持VCenter集成和應用程序掃描虛擬環(huán)境;它負責多個平臺，提供完整的跨平臺漏洞評估和安全性。
我們公司將堅持以人為本，構(gòu)建和諧發(fā)展的新環(huán)境，建立現(xiàn)代企業(yè)制度，規(guī)范運作，堅持走科技興企、質(zhì)量興企之路，遵循“團結(jié)協(xié)作、嚴謹求實、開拓創(chuàng)新”的企業(yè)精神，精心打造產(chǎn)品，向新老客戶提供滿意的服務。
http://www.js-alpha.com