技術領域

本發明涉及計算機網絡，特別是涉及一種通過網關和漏洞掃描器來實現對計算機網絡進行風險評估的設備和方法。

背景技術

在現有的技術中，安全網關和漏洞掃描器是兩個獨立的設備，不能協同工作。現有的技術是通過在網關處集成防火墻，防病毒，IPS/IDS等功能來進行安全防護。漏洞掃描器需要單獨部署，并由人工配置，才能工作。現有的技術只注重在網關處的防護，這樣只能抵擋外部的攻擊。然而，根據警方的記錄，70％的攻擊是來自網絡內部的。漏洞掃描器可以對內網中存在的風險進行稽核，從而有效地降低內部攻擊的可能性。但是在現有的技術中這兩種設備不能協同工作。對于每一個內網都要單獨地部署漏洞掃描設備，還要手工的進行配置。這樣的部署方式不但操作復雜而且造價很高。

發明內容

本發明的目的在于提供一種計算機網絡風險評估的裝置及方法，以通過網關和漏洞掃描器的協同工作來實現對內網中存在的風險進行有效地防護。

為解決本發明的上述技術問題，本發明提供了一種計算機網絡風險評估的裝置，其中，包括：

網關，可獲得網絡拓撲結構信息；

掃描代理服務器，與所述網關相連，可用于從所述網關處獲得網絡拓撲結構信息的；及

漏洞掃描器，用于從所述掃描代理服務器處獲得所述網絡拓撲結構信息，根據所述網絡拓撲結構信息及其自身的配置建立掃描策略，并根據所述掃描策略進行掃描。

所述的裝置，其中，所述漏洞掃描器通過虛擬專用網隧道、SSH安全協議、SSL協議和/或預先設定的一安全協議從所述掃描代理服務器獲得所述網絡拓撲結構的信息。

所述的裝置，其中，所述漏洞掃描器上進一步包括一客戶端模塊，用于實現其與所述掃描代理服務器和所述網關的通信。

所述的裝置，其中，所述漏洞掃描器上進一步包括一掃描結果分析模塊，用于分析掃描網絡主機的結果并生成漏洞報告和/或補救報告。

所述的裝置，其中，進一步包括多個子網網關和所述子網關相連的用于獲得所述多個子網網絡拓撲結構信息的多個子網掃描代理服務器。

所述的裝置，其中，所述漏洞掃描器為設置有漏洞掃描軟件的個人電腦或包含漏洞掃描模塊的運算設備。

所述的裝置，其中，所述網關、掃描代理服務器及漏洞掃描器為集成在一起的一個設備。

為實現本發明的目的，本發明進一步提供了一種計算機網絡風險評估的方法，其中，包括：

步驟1，掃描代理服務器從網關處獲得網絡拓撲結構信息；

步驟2，漏洞掃描器從掃描代理服務器處獲取所述網絡拓撲結構；

步驟3，漏洞掃描器根據其配置及獲得的所述網絡拓撲結構信息建立掃描策略，并根據所述掃描策略對網絡進行漏洞掃描；

步驟4，漏洞掃描器分析掃描結果，生成網絡主機漏洞報告和/或補救報告。

所述的方法，其中，進一步包括通過掃描代理服務器或直接通過網關發送和/或接收掃描數據包步驟。

所述的方法，其中，當所述被掃描的網絡是一個樹形多層結構，進一步包括判斷是否已獲得整個網絡的網絡拓撲結構信息的步驟；如否，則重復所述步驟1，直至獲取整個網絡的全部拓撲信息的步驟。

所述的方法，其中，所述漏洞掃描器通過虛擬專用網隧道、SSH安全協議、SSL協議和/或預先設定的一安全協議從所述掃描代理服務器獲得所述網絡拓撲結構的信息。

對于ISP來說，由于一臺漏洞掃描設備可以與多個網關和掃描代理服務器建立連接，同時對多個內網進行風險評估，這樣就大大簡化了部署和配置的復雜度，降低了風險評估的造價。對于單個內網來說，由于有了漏洞掃描設備定期的自動的進行風險評估，網管員可以及時發現內網中存在的安全漏洞，及時進行補救，這樣就大大提高了對來自內網攻擊的防護能力。

附圖說明

圖1為本發明的網絡風險評估裝置的方框示意圖；

圖2為本發明一實施例的網絡風險評估裝置的示意圖；

圖3為本發明一實施例的風險評估方法中，漏洞掃描器發包和收包時不通過掃描代理服務器進行而直接通過網關進行時的工作流程圖；

圖4為本發明另一實施例的網絡風險評估裝置的網絡結構示意圖。

具體實施方式