圖1 開放漏洞管理Open VM過程圖

對于電信運營商、金融、政府、軍工、電力以及一些規(guī)模較大的傳統(tǒng)企業(yè)，由于其組織結(jié)構(gòu)復雜、分布點多、數(shù)據(jù)相對分散等原因，采用的網(wǎng)絡(luò)拓撲結(jié)果大多為樹形拓撲或者混合型拓撲。對于一些大規(guī)模和分布式網(wǎng)絡(luò)用戶建議使用分布式部署方式。在大型網(wǎng)絡(luò)中多臺極光系統(tǒng)共同工作時，極光的分布部署支持能力可以使得各系統(tǒng)間的數(shù)據(jù)能共享并匯總，方便用戶對分布式網(wǎng)絡(luò)進行集中管理。同時通過與WSUS補丁服務(wù)器的聯(lián)動，能夠自動的進行漏洞修復。極光支持用戶進行兩級和兩級以上的分布式、分層部署。使用兩級分布式部署結(jié)構(gòu)拓撲如下圖所示：

圖2 極光遠程安全評估系統(tǒng)分布式部署結(jié)構(gòu)圖

分布式部署的漏洞掃描網(wǎng)絡(luò)如果不能按照合理的工作流程使用，將可能會收效甚微。綠盟科技建議在漏洞掃描過程中啟用面向漏洞管理的工作流程，并在實際使用過程中逐步完善：

將資產(chǎn)與風險相結(jié)合

對所有信息資產(chǎn)設(shè)備進行資產(chǎn)的風險管理。通過資產(chǎn)管理與用戶組織結(jié)構(gòu)或網(wǎng)絡(luò)拓撲結(jié)構(gòu)的緊密結(jié)合，掌握風險分布情況、定位風險，以實施風險降低或規(guī)避措施。

掃描策略管理

在明確了虛擬掃描網(wǎng)絡(luò)中涉及的漏洞管理的資產(chǎn)范圍之后，需要進一步明確漏洞掃描策略和漏洞掃描周期。

在信息資產(chǎn)管理的基礎(chǔ)上，需要對不同的信息資產(chǎn)定義不同的安全策略，根據(jù)信息資產(chǎn)的設(shè)備類型、應(yīng)用類型、重要程度的不同來定義不同掃描策略（或者采用極光的自動模板匹配功能）。針對不同的信息資產(chǎn)組定義極光的定時升級、定時掃描的周期、臨時檢測策略和結(jié)果自動發(fā)送等相關(guān)策略（如對重要的網(wǎng)絡(luò)資產(chǎn)需要兩周甚至每周進行定時掃描并將相應(yīng)的結(jié)果發(fā)送給對應(yīng)資產(chǎn)的管理人員，每季度對網(wǎng)絡(luò)中的資產(chǎn)進行臨時抽檢）。

漏洞掃描和漏洞分析

在執(zhí)行掃描任務(wù)之前需要首先明確掃描網(wǎng)絡(luò)中不同設(shè)備的角色：

部署在總部掃描管理節(jié)點主要用來對總部的信息資產(chǎn)進行定時周期性掃描（每兩周或每周）；

部署在分支的掃描子節(jié)點主要用來對分支的信息資產(chǎn)進行定時周期性掃描（每兩周或每周）。

漏洞分析需要明確報告發(fā)送策略，制定不同的掃描設(shè)備在虛擬掃描網(wǎng)絡(luò)中的角色和掃描結(jié)果自動上傳分析策略。

漏洞修補和驗證

在漏洞掃描結(jié)果基礎(chǔ)上需要對網(wǎng)絡(luò)資產(chǎn)存在的漏洞風險進行綜合的分析，主要從資產(chǎn)的重要性、漏洞的危害、漏洞對資產(chǎn)的威脅三個角度進行綜合衡量，然后制定漏洞修補方案。

漏洞修補的工作可以由人工操作打補丁、人工安全配置增強、補丁管理系統(tǒng)自動分發(fā)安裝（通過將極光與WSUS聯(lián)動自動完成補丁修復）等方式來完成。

在漏洞修補之后，通過極光掃描設(shè)備所特有的漏洞管理功能對漏洞進行修補有效性的驗證。

結(jié)束語

每年都有數(shù)以千計的網(wǎng)絡(luò)安全漏洞被發(fā)現(xiàn)和公布，再加上攻擊者手段的不斷變化，用戶的網(wǎng)絡(luò)安全狀況也在隨著被公布安全漏洞的增加在日益嚴峻。因此，安全評估對于絕大多數(shù)用戶都是不容忽視的，用戶必須比攻擊者更早掌握自己網(wǎng)絡(luò)安全漏洞并且做好適當?shù)男扪a，才能夠有效地預防入侵事件的發(fā)生。

依托國內(nèi)最權(quán)威的中文漏洞知識庫和已在國際上享有盛名的綠盟科技安全研究機構(gòu)，極光遠程安全評估系統(tǒng)漏洞管理系列近期通過了西海岸實驗室的國際權(quán)威認證，成為國際領(lǐng)先的六家漏洞管理產(chǎn)品之一，它能夠定期和持續(xù)地給用戶提供可靠的安全評估服務(wù)，并且提供完整的漏洞管理機制；能夠有效地降低用戶網(wǎng)絡(luò)風險，更大限度地保證用戶網(wǎng)絡(luò)安全性和穩(wěn)定性。

yajing