[发明专利]一种计算机网络风险评估的装置及其方法

说明书

技术领域

本发明涉及计算机网络，特别是涉及一种通过网关和漏洞扫描器来实现对计算机网络进行风险评估的设备和方法。

背景技术

在现有的技术中，安全网关和漏洞扫描器是两个独立的设备，不能协同工作。现有的技术是通过在网关处集成防火墙，防病毒，IPS/IDS等功能来进行安全防护。漏洞扫描器需要单独部署，并由人工配置，才能工作。现有的技术只注重在网关处的防护，这样只能抵挡外部的攻击。然而，根据警方的记录，70％的攻击是来自网络内部的。漏洞扫描器可以对内网中存在的风险进行稽核，从而有效地降低内部攻击的可能性。但是在现有的技术中这两种设备不能协同工作。对于每一个内网都要单独地部署漏洞扫描设备，还要手工的进行配置。这样的部署方式不但操作复杂而且造价很高。

发明内容

本发明的目的在于提供一种计算机网络风险评估的装置及方法，以通过网关和漏洞扫描器的协同工作来实现对内网中存在的风险进行有效地防护。

为解决本发明的上述技术问题，本发明提供了一种计算机网络风险评估的装置，其中，包括：

网关，可获得网络拓扑结构信息；

扫描代理服务器，与所述网关相连，可用于从所述网关处获得网络拓扑结构信息的；及

漏洞扫描器，用于从所述扫描代理服务器处获得所述网络拓扑结构信息，根据所述网络拓扑结构信息及其自身的配置建立扫描策略，并根据所述扫描策略进行扫描。

所述的装置，其中，所述漏洞扫描器通过虚拟专用网隧道、SSH安全协议、SSL协议和/或预先设定的一安全协议从所述扫描代理服务器获得所述网络拓扑结构的信息。

所述的装置，其中，所述漏洞扫描器上进一步包括一客户端模块，用于实现其与所述扫描代理服务器和所述网关的通信。

所述的装置，其中，所述漏洞扫描器上进一步包括一扫描结果分析模块，用于分析扫描网络主机的结果并生成漏洞报告和/或补救报告。

所述的装置，其中，进一步包括多个子网网关和所述子网关相连的用于获得所述多个子网网络拓扑结构信息的多个子网扫描代理服务器。

所述的装置，其中，所述漏洞扫描器为设置有漏洞扫描软件的个人电脑或包含漏洞扫描模块的运算设备。

所述的装置，其中，所述网关、扫描代理服务器及漏洞扫描器为集成在一起的一个设备。

为实现本发明的目的，本发明进一步提供了一种计算机网络风险评估的方法，其中，包括：

步骤1，扫描代理服务器从网关处获得网络拓扑结构信息；

步骤2，漏洞扫描器从扫描代理服务器处获取所述网络拓扑结构；

步骤3，漏洞扫描器根据其配置及获得的所述网络拓扑结构信息建立扫描策略，并根据所述扫描策略对网络进行漏洞扫描；

步骤4，漏洞扫描器分析扫描结果，生成网络主机漏洞报告和/或补救报告。

所述的方法，其中，进一步包括通过扫描代理服务器或直接通过网关发送和/或接收扫描数据包步骤。

所述的方法，其中，当所述被扫描的网络是一个树形多层结构，进一步包括判断是否已获得整个网络的网络拓扑结构信息的步骤；如否，则重复所述步骤1，直至获取整个网络的全部拓扑信息的步骤。

所述的方法，其中，所述漏洞扫描器通过虚拟专用网隧道、SSH安全协议、SSL协议和/或预先设定的一安全协议从所述扫描代理服务器获得所述网络拓扑结构的信息。

对于ISP来说，由于一台漏洞扫描设备可以与多个网关和扫描代理服务器建立连接，同时对多个内网进行风险评估，这样就大大简化了部署和配置的复杂度，降低了风险评估的造价。对于单个内网来说，由于有了漏洞扫描设备定期的自动的进行风险评估，网管员可以及时发现内网中存在的安全漏洞，及时进行补救，这样就大大提高了对来自内网攻击的防护能力。

附图说明

图1为本发明的网络风险评估装置的方框示意图；

图2为本发明一实施例的网络风险评估装置的示意图；

图3为本发明一实施例的风险评估方法中，漏洞扫描器发包和收包时不通过扫描代理服务器进行而直接通过网关进行时的工作流程图；

图4为本发明另一实施例的网络风险评估装置的网络结构示意图。

具体实施方式