ISS System Scanner

主機型弱點評估系統支援你的主機嗎？

System Scanner是一套以主機為基礎的弱點評估系統，可彌補 Internet Scanner只從網路檢查系統安全的不足，從內部問題作安全評估，協助企業有效地執行系統安全政策。

System Scanner採用Client/Server的兩層式架構，讓企業由中央控管所有安全掃描，持續地偵測異常現象。需要弱點評估的機器都必須安裝Agent，才能夠執行掃描，而管控臺（Console）負責管理所有主機，並產生弱點評估報表，管控臺與Agent之間的資料傳輸可採SSL加密或PKI加密，確保主機掃描更安全。

只要是ISS的產品，你一定會看到 XPU（X-Press Update），負責更新程式和弱點特徵，而且只要System Scanner管控臺執行XPU後，所管理的Agent也會獲得最新的更新資料。支援平臺是否符合你的需求？

System Scanner能針對安全問題做掃描，包括檔案系統、網路服務、帳號與密碼、應用程式、系統修正與更新及系統記錄等資料，讓管理者清楚知道哪些主機違反安全政策。

要注意的是，System Scanner並不支援每一種應用程式或作業系統，目前支援的作業平臺有Windows 9x/NT/2000、Sun Solaris 2.6/7/8、Red Hat Linux 6.1/7、HP-UX 10.20/11.0、IBM AIX 4.3、Compaq Tru64及Novell NDS，但推出許久的Windows XP和Solaris 9作業系統仍不在支援範圍，採購前必須先詢問支援的系統平臺和版本。

由於每個企業單位的安全政策都不同，System Scanner辨識為高風險的弱點，有些企業的安全政策卻可能認定為低風險。當系統掃描完成後，若企業認為該漏洞不是弱點，並不需要去修補，可以使用Exception功能，設定要隱藏的弱點，然後再依此建立Maintenance Policey和Sessions。Exception可以一次註銷整組Policy，也可以註銷單一個的檢查，讓使用者自由調整報表，該弱點就不會顯示在報表上，更清楚的畫分出風險層級。兩種安全政策，自定排程管理

System Scanner提供Initial Policy（初始政策）和Maintenance Policy（維護政策）兩種安全政策，就如其名，初始政策是剛開始的掃描，而維護政策則是周期性的掃描。以iThome測試為例，我們先執行Initial Policy 0至Initial Policy 6（安全等級由低到高），了解Windows Server的弱點，並得到系統的安全基準線，之後再設定Maintenance Policy的排程掃描。

檢查物件（Checks）是Agent安全知識庫（SecurityKnowledge Base）內建的元件，它由TCL腳本語言（Scripting Language）撰寫而成，在不同的平臺上會定義適當的安全檢查樣版，而且即使網路中斷，Agent依然會繼續檢查工作。

System Scanner針對Windows NT平臺約有570種檢查，Windows 2000約有530種檢查，而 Unix有430種檢查，若System Scanner沒有提供的檢查，使用者可以自行用TCL撰寫。不過自行開發的應用程式或不支援的系統，就不適合自行撰寫，因為了解弱點在哪裡後，寫修補程式會更實際。3大類報表，依層級區分
建議以備用主機進行測試

System Scanner的報表可分為Session-base Reports和Analysis Reports兩大類。Session-based Reports提供單一Session的掃描評估報告，內定為HTML格式，使用者可以指定顯示所有掃描弱點，或只呈現變動的弱點。

Analysis Reports則可一次分析多個Session掃描，可評估整個企業網路，報表是由Crystal Info產生，管理者可利用圖表檢閱各主機的安全狀況。

System Scanner與Internet Scanner相同，系統內建3大類掃描報表，可依決策層（Executive）、管理層（Line Management）和技術層（Technician）等層級，產生適合的報表。使用者可將報表另存為HTML、ASCII TXT、CSV、Crystal Report及XML。

System Scanner的測試版、安裝手冊和維護手冊都可以從鈺松國際的網站下載，但同樣也要申請授權碼，授權碼包含Agent和主控臺的IP位址。System Scanner的授權碼只要安裝在主控端的目錄裡，Agent並不需要安裝授權碼。

我們以iThome的測試平臺進行測試，作業平臺為Windows 2000 Server SP3，因為需要在主機上安裝Agent，不論是安裝或執行測試都存在一定的風險，建議以備用主機進行測試。

System Scanner總共執行260個高風險、94990個低風險及2052個中風險檢查，發現到29個高風險、6481個中風險和370個低風險漏洞。掃描完成後，我們修補一個漏洞後，立即再執行一次掃描，可以由差異性報表了解修補狀況。

其實一個簡單的動作，就可以解除許多高風險性漏洞。許多的安全漏洞者是不需要的服務，只要停止該服務，危機也就解除了，另外，加強使用者帳號的安全控管，也能降低許多高風險的安全漏洞，例如密碼至少要6位數，而且包含英文字母。

安裝新的更新程式雖然可以解決新的漏洞，但也可能影響某些應用程式，最好先做好備分。同樣的問題可能存在企業的各個角落，只要願意花時間，使用同樣的方法就能解決相同的問題。文⊙陳世煌