ISS Internet Scanner

優秀的X-Force研發團隊，提早5個月預防SQL Slammer
最強的後盾X-Force Team

弱點評估廠商大多將產品分為主機型和網路型掃描產品，有的甚至是整合成單一產品，但ISS卻逆向操作，推出Internet Scanner、System Scanner、Database Scanner及Wireless Scanner等4款產品。

參考鈺松國際的安全架構圖，可以發現每個產品定位是依企業安全需求而定，Internet Scanner的安全等級由0到5，適合初期導入安全架構的建置；System Scanner由4到9，適合高安全需求的企業；Database Scanner是3至7，至於Wireless Scanner則視企業有無建置無線網路而定。

鈺松國際第一事業處技術顧問冼柏齡表示，ISS原廠是以功能為取向，目前可由SiteProtector平臺整合後端的Internet Scanner和System Scanner資料，未來應該也會整合前端的操作介面（function）。而且分成4款產品，讓企業可以依需求選購，所花的成本較低。

以市場面而言，Internet Scanner的銷售狀況較好，也是鈺松的主力，System Scanner適合企業第二階段部署，而Database Scanner是屬於加值工具，可以與Internet Scanner搭配使用。

Internet Scanner 10個IP約15萬，30個IP約37萬；System Scanner 10臺裝置約82萬；Database Scanner搭配250個SQL Server使用者約26萬，100個Oracle資料庫使用者也是26萬左右；Wireless Scanner 1張網卡不限IP位址是74萬。成本是否真的比較低廉，就留待你與其他產品比較。

去年4月26日，ISS的XPU（X-Press Update）6.9更新檔已經能防堵Klez蠕蟲；去年7月25日所發出的XPU 6.15更新檔，也提早5個月防範微軟高風險的SQL蠕蟲Slammer，這都歸功於X-Force團隊優秀的研發能力。在最新XPU 6.29版中，已經有1220個弱點特徵。

X-Press Update可分成Micro-Update、Service Release及Upgrade。Micro-Update包含新增函式、修正程式的DLL或共用函式庫，Service Release用來修正Internet Scanner的程式錯誤，而Upgrade負責系統版本的更新，例如6.2更新到6.2.1。

XPU是半自動化的更新程式，ISS希望讓使用者了解有那些更新程式和動作，大約每一至兩個月，X-Force會釋出新版XPU，並以電子郵件通知管理者，只要手動按一下更新鍵就可以執行更新動作。安全稽核5層次，降低掃描時間
測試工具齊全，安裝維護沒問題

Internet Scanner內建23種政策，分成L1到L5等5個級別。其中L1是執行最基本的檢查，如系統的作業系統；L2判斷主機所執行的應用程式，如FTP、DNS、Web等；L3是網路上可取得的破解程式，不須經過編譯即可入侵，執行弱點檢查；L4則須經過編譯或修改的破解程式，才能達到入侵目的的弱點檢查；L5是駭客在網路上找不到的入侵程式，必須自行撰寫程式才能達到入侵目的的弱點檢查。

等級愈高的檢查，包含等級較低的所有檢查，例如L5 NT Server就包含L1到L4的檢查。選擇適當的政策與檢查項目，能夠降低掃描時間，減少不必要的等待時間。

Internet Scanner允許使用者調整Policy的設定值，或外掛其他掃描程式，利用Flex Check功能可以外掛其他掃描程式，例如ICQ Server Check，制訂出最適合自身網路環境的政策。

Internet Scanner的測試版、安裝手冊和維護手冊，都可以從鈺松國際的網站下載，只剩下向鈺松申請授權碼（License Key）。授權碼包含客戶資料和可掃描的IP範圍，因為產品是採IP位址授權，只能掃描特定的IP位址。鈺松表示，Internet Scanner 7.0 Beta版目前正在測試當中，未來將會有新的授權模式。

之前有提到安全稽核分成5種層次，從L1到L5，各有不同的檢測項目與功能。筆者覺得比較麻煩的動作就是要依主機類型決定掃描政策，所以一開始最好先判斷主機的作業系統，再執行L5的Unix或NT政策。一臺Unix主機的掃描時間大約40分鐘，但這只是參考值，會受許多因素影響，所以大都利用夜間排程執行掃描。

產品預設的資料庫是Access，在其他機器掃描的結果，也可以匯入本機分析。不同的掃描結果，也可以藉由Merge Sessions將資料整合在一起，方便管理者分析整個安全架構。報表分級設計，中文報表需經過加工

系統內建3大類掃描報表，可依決策層、管理層和技術層等層級，產生適合該層級的報表，有效提高報表閱讀性。

決策主管（Executive）共2種報表，並有7種語言版本，可由圖形報表，快速得知狀況；中階管理主管（Line Management）有18種報表，提供弱點項目與簡要說明；至於系統管理人員（Technician）則有16種報表，包含弱點項目、說明、修補方法與其他詳細資訊。

這3大類加起來總共有36種報表格式，可由使用者自訂輸出報表之格式，另存成PDF、HTML或RTF。報表也有排序功能，可依照作業系統、IP位址、漏洞名稱、風險高低、服務名稱……等項目排序，方便使用者查詢和統計。

在中文報表方面，由於鈺松尚未獲得ISS原廠授權，不能直接產生中文報表，必須透過鈺松的資料庫轉換，由資訊安全稽核機制（ISAM）產生中文報表。對於選擇委外服務的客戶，鈺松則都是提供中文檢測報告。

如同RealSecure需要Network Sensor與Server Sensor同時存在，ISS也建議企業同時具備網路型和主機型Scanner，再依需求搭配資料庫和無線網路Scanner，因為這些偵測器所產生的資料能夠互補，同時部署會有最佳的成效。

安全不能僅靠弱點評估產品，必須搭配防火牆和入侵偵測等安全機制。ISS的四款掃描產品，除了整合本身的入侵偵測系統RealSecure，也已經整合NetScreen和CheckPoint防火牆。文⊙陳世煌