對于任何一個安全政策來講，漏洞評估都是一個很重要的方面?，F在，針對互聯(lián)網主機攻擊越來越多地是以利益為驅動的，因此它們更狡猾分布也更廣泛。

　　保護所有的網絡服務器似乎有不少難度，但是黑客發(fā)起的大部分攻擊卻可以避免。

　　服務器配置不符合要求或者所使用的工具沒有經過更新，容易導致大量的互聯(lián)網服務器遭受攻擊。因為，黑客們很容易找到并利用服務器漏洞。確保服務器升級至而且沒有配置錯誤，這并不困難，但是這些工作卻會因為時間限制而被忽略。

　　漏洞評估有助于發(fā)現服務器安全配置中出現的錯誤，也有助于挖掘出需要安裝補丁的軟件漏洞。

　　通過利用云中的遠程漏洞評估，可以幫助你的組織實現規(guī)模效益。由于配置和管理評估工具不需要專業(yè)知識，你也可以對自己的組織進行漏洞評估。

　　2、日益嚴重的威脅情形

　　攻擊自動化和訪問利用漏洞的簡單化，成為了服務器受到日益嚴重的威脅的主要原因。事實上，如果你想證明它有多么容易的話，可以訪問，選擇zui近的一個Web應用程序漏洞，然后，在Google中輸入“Google Dork”——比如“powered by scriptname”，在五分鐘時間內，看看所有網頁上的服務器你能找到多少漏洞。

　　3、漏洞存在的共同載體

　　3.1配置不當的服務器

　　混亂的文件權限，配置不當的Web或者服務器，或者當時間在流逝你還停留在臨時的補丁更新的時候——配置不當的服務器到處都是，也常常因為時間限制沒有過多考慮，使得即使作為系統(tǒng)管理員也會有看走眼的時候。

　　3.2軟件沒有獲得更新

　　服務器操作系統(tǒng)和應用程序都需要更新，這不是可有可無的。使用Windows更新、Yum和Apt工具，可以幫助更新減少大量的主機漏洞，但是，仍然會有很多主機會被忽略。這只是個時間問題，當漏洞百出的服務被發(fā)現后，系統(tǒng)就會遭受損害。

　　3.3網頁腳本

　　PHP與ASP應用程序和腳本是實現網頁動態(tài)效果的有效方法，但是，當有可用安全更新的時候，像操作系統(tǒng)和軟件這些都必須確保獲得更新。關于這方面的一個很好例子就是WordPress博客軟件，我們選擇WordPress不是因為它特別不安全，而是因為它代表了一種廣泛流行的腳本——曾在過去暴露出一些危險的安全漏洞。這些腳本需要持續(xù)不斷地更新，因為它們很容易被忽略——直到你的博客受到攻擊，并植入惡意頁面攻擊你的瀏覽用戶。

　　在互聯(lián)網上遨游*的是使用強密碼，查看主機和互聯(lián)網的記錄是件很簡單的事情，也很容易發(fā)現系統(tǒng)大概會多久被蠻力攻擊一次。蠻力攻擊會危害到很多服務項目，包括ssh，rdp，ftp，web窗體和vnc。

　　3.5 密碼重用

　　每次登錄都使用不同的密碼是不現實的，但是，處處使用同一個密碼也是不明智的。經過調查發(fā)現，服務器用戶總是會在配置不當的網上論壇上使用本該在Web郵件上使用的密碼，而且也會在網頁主機系統(tǒng)上使用相同的密碼。

　　4.非法使用服務器

　　4.1垃圾郵件

　　不法分子利用服務器發(fā)送成千上萬的垃圾郵件，對他們來講是有利可圖的事情。只有當你阻止或者把他們列入黑名單的時候，他們才會停止發(fā)送垃圾郵件，但是，他們可能會找到服務器的另外一種利用方式。

　　4.2廣泛分布的惡意軟件

　　使用Web服務器提供Web內容服務——只是提供內容本身，要是網頁中有惡意軟件呢?進入你的客戶或者用戶系統(tǒng)中，并且傳播鍵盤記錄等惡意軟件，并zui終掏空用戶銀行帳戶資金。

　　4.3釣魚

　　我們見到過很多冒充Paypal或者銀行頁面的電子郵件，萬一這些虛假頁面是來源于你的Web主機上，那么問題就會很嚴重了。

　　4.4 Warez 文件存儲

　　盜版軟件、電影或者其他有價值的復制品可能會被存儲起來，并通過你的服務器實現網上傳輸。

　　5.系統(tǒng)安全

　　·每次攻擊都將會耽誤服務器的正常工作，如果你經營的是在線業(yè)務的話，這種代價會更高。

　　·把問題都解決好會花費不少時間，形成應急響應機制并迅速解決問題。

　　·受到侵害的系統(tǒng)應當重建一個干凈的備份數據，這本身就是個不小的任務。

　　·你的聲譽將遭受損失，并且會失去已有的客戶。

　　6.云安全

　　安全掃描工具的技術管理都包含在云中，不斷更新安全工具和優(yōu)化掃描，應該由技術專家來開展而不是一般的信息技術人員

    云安全提供：

　　·非侵入性掃描網絡和主機周邊

　　·針對你的網絡環(huán)境模擬網絡攻擊

　　·測試入侵檢測和事件響應的系統(tǒng)和政策

　　·為安全提供了額外一層保護。安全其實是個需要各種層次保護的持續(xù)過程

　　·為了便于作進一步調查，通過郵件給你發(fā)送一份詳細的技術報告

　　·技術安全情報支持工作人員、顧問后續(xù)添加完善

　　·幫助你減輕工作量，可以集中精力做好自己業(yè)務上的事情

　　·確保服務器安全的經濟舉措