Nessus:企业中的漏洞扫描

前面我们谈到了在公司中使用Nessus的安装步骤，我们主要讲了下载和安装Nessus漏洞扫描器，并运行系统扫描。现在，你已经掌握了基本的步骤，我们将大体上给你一些关于使用Nessus构建公司扫描程序的建议。

开发一个企业扫描程序是势在必行的，也是一项高度用户化的任务。你不能简单地制定一个普通的计划，并在你的公司推行这一计划。在实施这项本来存在风险的任务之前，你需要考虑公司所面临的独特的技术、调节、行政和文化方面的因素。比如，一所研究性大学所使用的扫描程序肯定不同于超级机密的政府部门使用的扫描程序。它们也会与电子商务零售商的扫描计划迥然不同。我们看几个使用于大公司的主要原则。

不要将扫描设置为保密状态。在我的职业生涯中，我见到了许多公司第一次实施漏洞扫描程序的情形。负责整个项目的安全领导缺乏经验，他们做出这样的决定：运行该程序的最好方法是把扫描设为高度隐秘状态。但这种做法往往事与愿违。主要原因是行政上的问题——你不想让系统管理员认为你对他们的配置管理存有警戒心理。你制定扫描程序的目的，反而引起了管理员的警惕，并且有助于他们安全地配置系统。凡是几乎没有结果的扫描就可以认为是一次成功的扫描。

广泛地与其他人员协调你的扫描。这条建议与上一条很接近。此外，你所运行的扫描甚至会影响到一些无关的人，因此要通知系统管理员，确保每个受到无关影响的人知道你在干什么。切记扫描程序对你的基础构件有不可预见的影响。当然你也不希望看到由于你的新的扫描程序对网络有威胁，你的公司对其心存戒备。提前通知系统管理员、网络工程师、应用程序管理员、扫描程序的管理和维护人员。如果出现问题，这就相当于一个预警系统。尤其当你前几次扫描系统时，这一点相当重要。

平衡扫描的风险和利益。一些扫描可能会带来不可预料的结果。如果你正在扫描那些一旦发现就会拒绝服务的漏洞，扫描本身可能会导致拒绝服务。作为一种修补方法，你可能会为大部分路径扫描选择Nessus中的“All but dangerous”选项，然后在高度协调的基础上定期运行全盘扫描。（然而，不要做出这样的决定：你绝对不会运行危险的扫描。理由是不仅仅你在使用Nessus，黑客也在使用它。）

Nessus，你可以简单地使用“nessus-adduser”指令，为管理员创建帐户。你也可以设定一些规则来对个别用户可以扫描的系统加以限制。比如，如果管理员仅仅负责分支网络192.168.53.x，服务器的地址为192.168.22.13，你可以使用下面的规则来限制用户进入系统：

接受192.168.53.0/24

接受192.168.22.13

默认拒绝

允许用户可以启动他们自己的扫描器，可以在你单位的扫描程序之上运行。比如，在系统构建过程或者系统配置变化之后，管理员可能想在不同的端口自己运行扫描。

如果要在你单位的安全体系中加入Nessus，非常希望这几条原则可以给你 一些好的建议。在这一系列文章的最后一部分中，我们将探讨一下使用Nessus输出来构建报告。