漏洞評(píng)估的發(fā)展大致可以分為兩個(gè)階段：
一個(gè)發(fā)展階段的特性是安全測(cè)試工具，用戶使用這類工具，盡可能模擬攻擊行為，為進(jìn)一步分析系統(tǒng)的缺陷提供測(cè)試數(shù)據(jù)。代表性產(chǎn)品有早起的Nmap、Nessus、Nikto等；這個(gè)階段模擬攻擊的測(cè)試工具，圍繞“探測(cè)與發(fā)現(xiàn)”，更多關(guān)注某個(gè)具體的漏洞，比如弱口令、操作系統(tǒng)的某個(gè)漏洞、CGI的某個(gè)漏洞網(wǎng)路協(xié)議的某個(gè)漏洞。集中在“探測(cè)與發(fā)現(xiàn)”能力上，在提供給用戶解決方案上存在不足；同時(shí)該階段的漏洞評(píng)估產(chǎn)品基本沒有考慮基于掃描結(jié)構(gòu)的后期分析、統(tǒng)計(jì)；無法幫助用戶對(duì)資產(chǎn)的漏洞進(jìn)行方便的管理。
二個(gè)發(fā)展階段是安全評(píng)測(cè)與管理工具，融入了資產(chǎn)、風(fēng)險(xiǎn)管理等概念，為用戶提供了更為的漏洞評(píng)估和資產(chǎn)管理能力。這個(gè)階段以IT資產(chǎn)為核心，側(cè)重于漏洞生命周期管理。單靠完成檢測(cè)而不能實(shí)現(xiàn)真正意義上的漏洞修復(fù)閉環(huán)，已經(jīng)不能應(yīng)對(duì)日益變化的安全漏洞形勢(shì)，因此安全漏洞掃描基于漏洞掃描核心技術(shù)，并將IT資產(chǎn)與風(fēng)險(xiǎn)漏洞相結(jié)合，在盡可能準(zhǔn)確發(fā)現(xiàn)網(wǎng)絡(luò)主機(jī)的安全漏洞之余，還可以協(xié)助管理員進(jìn)行漏洞修補(bǔ)。所以安全漏洞掃描服務(wù)是進(jìn)一步加強(qiáng)了“探測(cè)與發(fā)現(xiàn)”漏洞性，同時(shí)增強(qiáng)了幫助用戶“管理漏洞”側(cè)重“修復(fù)”的能力。在發(fā)現(xiàn)的基礎(chǔ)上，對(duì)每個(gè)漏洞給出詳細(xì)信息和一些修補(bǔ)建議。
現(xiàn)有網(wǎng)絡(luò)安全掃描軟件通常分為資產(chǎn)收集與漏洞掃描兩大模塊，其中的漏洞掃描模塊利用配置的插件，對(duì)已有的網(wǎng)絡(luò)資產(chǎn)進(jìn)行掃描，在發(fā)現(xiàn)漏洞之后，發(fā)送郵件進(jìn)行告警。其主體與插件都利用使用python實(shí)現(xiàn)，其支持2種插件類型、標(biāo)示符與腳本，均可通過web控制臺(tái)進(jìn)行添加。
網(wǎng)絡(luò)安全掃描軟件在運(yùn)行插件時(shí)，若返回非空則有漏洞，為空則沒有漏洞，此邏輯過于簡(jiǎn)陋，導(dǎo)致無法根據(jù)不同的情況返回不同的信息。

安全漏洞掃描功能
1、定期的網(wǎng)絡(luò)安全自我檢測(cè)、評(píng)估
配備漏洞掃描系統(tǒng)，網(wǎng)絡(luò)管理人員可以定期的進(jìn)行網(wǎng)絡(luò)安全檢測(cè)服務(wù)，安全檢測(cè)可幫助客戶可能的安全隱患，盡可能早地發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ)，有效的利用已有系統(tǒng)，優(yōu)化資源，提高網(wǎng)絡(luò)的運(yùn)行效率。
2、 安裝新軟件、啟動(dòng)新服務(wù)后的檢查
由于漏洞和安全隱患的形式多種多樣，安裝新軟件和啟動(dòng)新服務(wù)都有可能使原來隱藏的漏洞暴露出來，因此進(jìn)行這些操作之后應(yīng)該重新掃描系統(tǒng)，才能使安全得到**。
3、網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)改造前后的安全規(guī)劃評(píng)估和成效檢驗(yàn)
網(wǎng)絡(luò)建設(shè)者必須建立整體安全規(guī)劃，以統(tǒng)領(lǐng)全局，高屋建瓴。在可以容忍的風(fēng)險(xiǎn)級(jí)別和可以接受的成本之間，取得恰當(dāng)?shù)钠胶猓诙喾N多樣的安全產(chǎn)品和技術(shù)之間做出取舍。配備網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)可以讓您很方便的進(jìn)行安全規(guī)劃評(píng)估和成效檢驗(yàn)網(wǎng)絡(luò)的安全系統(tǒng)建設(shè)方案和建設(shè)成效評(píng)估。
4、網(wǎng)絡(luò)承擔(dān)重要任務(wù)前的安全性測(cè)試
網(wǎng)絡(luò)承擔(dān)重要任務(wù)前應(yīng)該多采取主動(dòng)防止出現(xiàn)事故的安全措施，從技術(shù)上和管理上加強(qiáng)對(duì)網(wǎng)絡(luò)安全和信息安全的重視，形成立體防護(hù)，由被動(dòng)修補(bǔ)變成主動(dòng)的防范，把出現(xiàn)事故的概率降到低點(diǎn)。配備網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)可以讓您很方便的進(jìn)行安全性測(cè)試。
5、網(wǎng)絡(luò)安全事故后的分析調(diào)查
網(wǎng)絡(luò)安全事故后可以通過網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)分析確定網(wǎng)絡(luò)被攻擊的漏洞所在，幫助彌補(bǔ)漏洞，盡可能多得提供資料方便調(diào)查攻擊的來源。
6、重大網(wǎng)絡(luò)安全事件前的準(zhǔn)備
重大網(wǎng)絡(luò)安全事件前網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)能夠幫助用戶及時(shí)的找出網(wǎng)絡(luò)中存在的隱患和漏洞，幫助用戶及時(shí)的彌補(bǔ)漏洞。

漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對(duì)的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用漏洞的一種安全檢測(cè)（滲透攻擊）行為。

網(wǎng)絡(luò)安全漏洞掃描的工作原理
1、安全漏洞掃描技術(shù)是一類重要的網(wǎng)絡(luò)安全技術(shù)。安全漏洞掃描技術(shù)與防火墻、入侵檢測(cè)系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。通過對(duì)網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。網(wǎng)絡(luò)管理員可以根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤配置，在攻擊前進(jìn)行防范。如果說防火墻和網(wǎng)絡(luò)系統(tǒng)是被動(dòng)的防御手段，那么安全漏洞掃描是一種主動(dòng)的前范措施，可以有效避免攻擊行為，做到防患于未然。
2、網(wǎng)絡(luò)安全漏洞掃描技術(shù)是計(jì)算機(jī)安全掃描技術(shù)的主要分類之一。網(wǎng)絡(luò)安全漏洞掃描技術(shù)主要針對(duì)系統(tǒng)中設(shè)置的不合適脆弱的口令，以及針對(duì)其他同安全規(guī)則抵觸的對(duì)象進(jìn)行檢查等。
3、網(wǎng)絡(luò)安全漏洞掃描技術(shù)是一種基于Internet遠(yuǎn)程檢測(cè)目標(biāo)網(wǎng)絡(luò)或本地主機(jī)安全性脆弱點(diǎn)的技術(shù)。
4、通過網(wǎng)絡(luò)安全漏洞掃描，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護(hù)的Web服務(wù)器的各種TCP/IP端口的分配、開放的服務(wù)、Web服務(wù)軟件版本和這些服務(wù)及軟件呈現(xiàn)在Internet上的安全漏洞。網(wǎng)絡(luò)安全漏洞掃描技術(shù)也是采用積的、非破壞性的辦法來檢驗(yàn)系統(tǒng)是否有可能被攻擊崩潰。其利用了一系列的腳本模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為，并對(duì)結(jié)果進(jìn)行分析。這種技術(shù)通常被用來進(jìn)行模擬攻擊實(shí)驗(yàn)和安全審計(jì)。
我們公司堅(jiān)持“團(tuán)結(jié)拼搏、銳意進(jìn)取、嚴(yán)謹(jǐn)求實(shí)、艱苦奮斗”的企業(yè)作風(fēng)，不斷開拓創(chuàng)新，依靠雄厚的實(shí)力、科學(xué)的管理和服務(wù)，堅(jiān)持“誠信求實(shí)、服務(wù)社會(huì)、信譽(yù)、用戶至上”的企業(yè)宗旨。
http://www.js-alpha.com