?

技術領域

一般來說，本公開涉及計算機網絡領域，以及更具體來說，涉及用于網絡環境中的計算機脆弱性的基于云的掃描的系統和方法。

背景技術

計算機網絡管理和支持的領域在當今社會已經變得越來越重要和復雜。計算機網絡環境配置用于實際上每一個企業或組織，通常具有多個互連計算機(例如最終用戶計算機、膝上型計算機、服務器、打印裝置等)。在許多這類企業中，信息技術(IT)管理員可分派有維護和控制網絡環境(包括主機、服務器和其它網絡計算機上的可執行軟件文件)的任務。隨著網絡環境中的可執行軟件文件的數量增加，有效地控制、維護和矯正這些文件的能力能夠變得更加困難。一般來說，網絡的各種計算機中實現的軟件的更大分集轉換為管理這樣的軟件中的更大困難。另外，IT管理員和其它用戶可希望使用有效計算機掃描方法來快速且有效地識別和消除脆弱性。當網絡具有數百至數百萬個節點時，掃描所有節點的許多可能的脆弱性對IT管理員提出挑戰。在許多情況下，IT管理員可能必須運行覆蓋數千個應用和操作系統的大致30000個脆弱性檢查，并且在任何給定周執行數十至數百次新的檢查。因此，需要創新的工具來輔助IT管理員有效地控制和管理計算機網絡環境中的計算機上的可執行軟件文件和計算機掃描方法。

附圖說明

為了提供對本公開及其特征和優點的更完整了解，參照結合附圖的以下描述，其中相似標號表示相似部件，其中：

圖1是用于網絡環境中的計算機脆弱性的基于云的掃描的系統的一個示范實施例的簡化框圖；

圖2是該系統的一個實施例的細節的簡化框圖；

圖3是該系統的另一個實施例的簡化框圖；

圖4是該系統的又一個實施例的簡化框圖；

圖5是該系統的又一個實施例的簡化框圖；

圖6是該系統的又一個實施例的簡化框圖；以及

圖7是示出可與本公開的實施例關聯的示例操作步驟的簡化流程圖。

具體實施方式

概述

一個實施例中的方法包括建立配置管理器與掃描儀之間的第一安全隧道以及掃描控制器與掃描儀之間的第二安全隧道，其中掃描儀位于公共網絡中，并且配置管理器和掃描控制器位于專用網絡中，從而通過第一安全隧道在掃描儀與配置管理器之間傳遞掃描儀配置信息，并且通過第二安全隧道在掃描儀與掃描控制器之間傳遞掃描信息。掃描控制器和配置管理器還可與位于專用網絡中的一個或多個掃描儀進行通信。

在具體實施例中，該方法包括標識第一始發端口、第二始發端口、第一目的端口和第二目的端口，并且從專用網絡中將第一始發端口轉發到第一目的端口以創建第一安全隧道，以及將第二始發端口轉發到第二目的端口以創建第二安全隧道。第一始發端口和第二始發端口耦合到掃描儀，第一目的端口耦合到配置管理器，以及第二目的端口耦合到掃描控制器。此外，掃描儀可包括耦合到第一始發端口的第一端口以及耦合到第二始發端口的第二端口。在更具體的實施例中，該方法可包括將掃描儀配置成通過第二端口來傳遞掃描信息。

在又一些實施例中，掃描儀可包括：掃描引擎，配置成基于掃描控制器所提供的掃描信息來掃描專用網絡中的一個或多個資產；以及配置代理，配置成促進基于配置管理器所提供的掃描儀配置信息來配置掃描引擎。在更具體的實施例中，安全隧道可包括反向安全外殼(SSH)隧道。掃描儀還可包括SSH服務器和其它特征。

示例實施例

圖1是示出用于網絡環境中的計算機脆弱性的基于云的掃描的系統10的一個示例實施例的簡化框圖。示范網絡環境示出包括一個或多個掃描儀14的專用網絡12，其中掃描儀14包括掃描引擎16和配置代理18以掃描各種資產20A-C的脆弱性。雖然圖1中為了說明目的而僅示出三個資產，但是在本公開的廣義范圍之內，任何數量的資產可包含在系統10中。專用網絡12中的某些資產，例如資產20A可部署在專用網絡12的邊緣，以便對于專用網絡12外部的用戶和/或系統可見，而某些其它資產，例如資產20B和20C可配置成是專用網絡12外部的用戶和/或系統不可見的。例如，資產20A可以是Web服務器，以及資產20B和20C可以是專用網絡12中的臺式計算機。掃描控制器22和配置管理器24可分別與掃描引擎16和配置代理18進行通信。在各個實施例中，掃描控制器22和配置管理器24可位于專用網絡12中的相同或不同服務器上。