第10节 漏洞扫描

一、检测方法

该检测项包括如下内容。

1.安全要求

不应存在已公布的漏洞或具备补救措施防范漏洞安全风险。

2.预置条件

（1）按测试环境1搭建好测试环境。

（2）厂商提供具有管理员权限的账号，用于登录被测设备的操作系统。

（3）按照产品说明书进行初始配置，并启用相关的协议和服务。

（4）扫描所使用的工具及其知识库需使用最新版本。

3.检测步骤

典型的漏洞扫描方式包括系统漏洞扫描、Web应用漏洞扫描等，扫描应覆盖具有网络通信功能的各类接口。

（1）系统漏洞扫描

利用系统漏洞扫描工具，通过具有网络通信功能的各类接口分别对被测设备系统进行扫描（包含登录扫描和非登录扫描两种方式，优先使用登录扫描方式），查看扫描结果。

（2） Web应用漏洞扫描（设备不支持Web功能时不适用）

利用Web应用漏洞扫描工具对支持Web应用的网络接口进行扫描（包含登录扫描和非登录扫描两种方式，优先使用登录扫描方式），查看扫描结果。

（3）对于通过以上扫描发现的安全漏洞，检查是否具备补救措施。

4.预期结果

分析扫描结果，没有发现安全漏洞，或者分析扫描结果发现了安全漏洞，针对发现的漏洞具备相应的补救措施。

二、检测实施过程要点

1.系统漏洞扫描

识别路由器设备存在的各类接口，例如网络管理接口、业务接口等，确保利用工具进行漏洞扫描时全面覆盖各类接口。

在漏洞扫描方式上，一般来说，登录扫描相较于非登录扫描具有更高的识别率和准确率，但没有证据表明登录扫描结果与非登录扫描结果是全包含关系，因此标准中要求包含登录扫描和非登录扫描两种方式，优先使用登录扫描方式。在实际检测中，需先识别路由器设备的各类管理方式，确认是否支持登录设备后再进行漏洞扫描。在检测工作中做好登录扫描配置，确认配置后的工具能够正常登录设备，具有相应的管理权限，然后启动扫描。

从检测过程上看，标准要求每类接口都应进行登录扫描和非登录扫描。如果被测试的路由器设备既有网络管理接口，又有业务接口，那么系统漏洞扫描应执行4次扫描，即网络管理接口的登录扫描和非登录扫描，业务接口的登录扫描和非登录扫描。

2.Web应用漏洞扫描

考虑到Web应用是漏洞高发组件，容易被攻击者利用，同时占用的计算资源也较多，因此列入网络关键设备的路由器一般不支持Web应用，但并不排除有例外情况，部分路由器设备支持Web应用功能。因此，在标准中特别指出设备不支持Web功能时不适用，也就是说如果设备不支持Web功能时，无须执行Web应用漏洞扫描这个测试项。

与系统漏洞扫描类似，Web应用漏洞扫描也需要同时覆盖登录扫描和非登录扫描。

需要注意的是，Web应用漏洞扫描一般建议使用专用的Web漏洞扫描工具，不建议使用通用的漏洞扫描工具进行扫描，主要原因是通用的漏洞扫描工具在Web组件适配能力、漏洞库规模等方面比专用的Web漏洞扫描工具要弱。

3.漏洞扫描结果的判定

根据标准要求，被测设备应不存在已公布的漏洞或具备补救措施防范漏洞安全风险。

前述的漏洞扫描结果在结合国家漏洞平台的查询结果综合分析，可能出现三种情形：第一种是没有发现漏洞，可判定为通过；第二种是发现已公布的漏洞，但被测设备的生产企业提供了有效的补救措施，此情形也可判定为通过；第三种是发现已公布的漏洞，同时设备生产企业不具备有效的补救措施，此情形不能判定为通过。

需要注意的是，测试过程漏洞扫描工具报告的漏洞不一定都是漏洞，工具可能存在误报的情形。因此需要测试人员对扫描工具报告的漏洞进行分析和研判，确认是否存在误报情况。