为什么要做漏洞扫描呢？

2021 年 11 月 27 日
本文字数：1606 字
阅读完需：约 5 分钟

摘要：本文介绍做漏洞扫描的内外部驱动力。

本文分享自华为云社区《5W2H 分解漏洞扫描 - WHY》，作者： water^3 。

降低资产所面临的风险

我们知道，漏洞的典型特征：系统的缺陷/弱点、可能被威胁利用于违反安全策略、可能导致系统的安全性被破坏。从信息安全风险评估规范 GB/T 20984 可以知道，分析风险的计算公式为：总风险 = 威胁 * 漏洞(脆弱性) * 资产价值。由此可见漏洞是计算风险的重要变量，漏洞越严重，资产面临的风险越高。通过漏洞扫描及时发现漏洞，及时修复高危漏洞，能够有效降低资产的风险。

风险并非看不见摸不着的，漫漫历史长河里，风险的发生往往意味着大笔的钞票烟消云散。以 2017 年 5 月份爆发的 WannaCry 勒索病毒为例，它利用了微软公司 MS17-010 涉及到的 SMBv1 远程代码执行漏洞，最终 150 余个国家遭到攻击（幸免的国家，要么没有计算机，要么没有互联网），给全球造成逾 80 亿美元经济损失【引自路透社】。

如何防范这一攻击呢？最经济有效的方法就是给受漏洞影响的 Windows 系统打上安全补丁。哪些版本的 Windows 系统存在相关漏洞呢？事实上，2017 年 3 月微软就已经通过它的官网对外披露了受影响的 Windows 系统列表以及修复相关漏洞的安全补丁，而业界主流的漏洞扫描工具也都在第一时间支持了对该漏洞的扫描。也即是说，那些做了漏洞扫描，及时发现并成功修复了 MS17-010 相关高危漏洞的 Windows 用户，能避免被 WannaCry 成功攻击。

随着信息化不断深入发展，接入公共网络的数据资产越来越丰富，在为人们打开日常生活方便之门的同时，由于其价值逐渐显现，对威胁也更具吸引力，进而导致了风险也越来越高。持续的风险评估逐渐成为了网络建设与运营的常态化行为。尤其对于底层关键信息基础设施的安全风险，各国家及关键行业也越来越关注，颁布相关法律和规范予以支撑和指引。

满足法律合规要求

2017 年生效的中华人民共和国网络安全法，作为上位法，明确了中国实施网络安全等级保护制度。而在网络安全等级保护测评过程指南 GB/T 28449-2018 这一标准中，则明确给出了对于二/三/四级系统的测评要求，漏洞扫描无疑是已写入其中的重要组成部分。

2018 年生效的欧盟的通用数据保护条例 GDPR（General Data Protection Regulation）无疑是有海外业务的公司或组织最关注的网络安全立法。尽管从内容上来看，它更加强调个人隐私数据保护及数据主权。但是从数据控制者的义务来看，必须采取必要的技术手段确保个人数据的完整性及保密性【GDPR】。这意味着数据控制者必须持续评估并消减其业务系统中的漏洞以降低数据泄露或被破坏的风险。具体有哪些技术手段呢？漏洞扫描显然会是其中的重要组成部分。

从 2004 年发布第一个版本以来，银行卡行业数据保护标准 PCI DSS（Payment Card Industry Data Security Standard）就要求行业参与者实施漏管理以保护应用安全和系统安全。10 多年过去了，最新版本已经来到了 2018 年发布的 v3.2.1，而漏洞扫描的要求一直都存在着并更加细化，由此可以看到它的重要性。

满足业界安全最佳实践及认证需求

信息技术安全评估通用标准 ISO/IEC 15408 是计算机相关产品安全认证的国际标准，产品供应商可以委托第三方评估实验室评估其产品，若成功通过评估则会获得 CC 认证，而这通常也就意味着获得全球范围内的“通行许可证”。对产品的安全评估等级由低到高可以分为 EAL1~EAL7，最低等级的 EAL1 包含最少的保障过程。即便如此，漏洞评估也包含在 EAL1 范围内，因为它最为基础和有效。

此外还有如 CIS（Center for Internet Security）广为人知，其提出的的 CISCritical Security Controls(通用安全控制框架)以及 CIS Benchmark(安全配置基线)被很多大型公司参考引用，作为实施网络安全的最佳实践。在其安全控制框架中的第 7 条，则是明确提出了需要持续的进行漏洞管理。如何做呢？对于安全要求级别高的用户，自动化的内网及外网漏洞扫描当然是必不可少的。