作者：王婷婷    
 
随着蠕虫病毒、黑客入侵等网络安全事件的频繁发生，网络安全建设在IT信息化建设体系中愈加凸现其重要性，防火墙、入侵检测等防御、检测设备在各行各业得到了越来越广泛的部署和应用。然而，根据CERT调查中心的统计结果来看，99%的入侵事件源自于系统存在着已知安全漏洞和配置错误；GARTNER的研究结果也表明，一个完善的漏洞管理过程可以降低90%以上的入侵成功可能。因此，网络安全不仅仅是进行被动的防御和及时的安全事件检测，还在于实施主动的弱点全面评估，从而有效地实现安全自主掌控。
如何实现弱点全面评估？2007年4月，启明星辰推出了天镜脆弱性扫描与管理系统V6.0升级版本，融合全新产品理念，贯彻“发现－扫描－定性－修复－审核”的弱点全面评估法则。在原来的网络漏洞扫描基础上增加了快速资产发现、分类资产管理、漏洞验证、风险计算等环节，同时提供在线和离线报表、扫描策略向导编辑等新功能，并能够通过标准扫描结果导出接口实现其他的安全产品协同工作。通过弱点全面评估法则的闭环循环工作过程，天镜实现了漏洞扫描产品的功能提升，把扫描技术与安全管理相结合，将弱点和资产相关联，从而在对弱点全面评估的基础上实现对安全的自主掌控。

天镜新版本一经推出就受到了广大老用户的关注，纷纷提出了更新换代的需求，中国人民银行就是其中一个典型用户。中国人民银行建有自上而下的全国规模的内联网，许多涉及国家金融稳定的重要信息系统都运行在内联网上，同时还拓展了与其它机构互联的外联网络，并肩负着对其它金融机构信息安全的检查工作。在2005年，人行从总行到各省会的一级支行都统一部署了天镜网络漏洞扫描系统V5.02。通过扫描，网管人员能够掌握所辖范围的网络漏洞状况，并及时对漏洞进行修复和系统加固，从而降低了蠕虫病毒等安全事件的爆发。人民银行在使用天镜的2年多时间里，安全管理人员技术水平不断提升，同时对产品也提出了更高的要求，希望能够在漏洞扫描的基础上结合单位资产信息从而为风险评估管理提供依据和帮助。这些使用需求恰恰在启明星辰推出的天镜新版本中得到了体现。

2007年6月，人行对已部署的天镜产品进行了系统大版本的全面更新换代并对管理人员进行了系统培训。新版本在人行内外网络环境的使用效果表明：天镜能够快速发现网络中存活资产并准确识别其属性、在全面扫描安全弱点的基础上对漏洞的存在和危害进行验证，从而清晰定性安全风险。技术人员可以根据弱点的优先级来采取防护措施，并对制定的风险控制策略进行有效审核，对如何有效部署、配置防火墙、IDS等安全设备提供指导和依据。

在7月份进行的中国人民银行全行信息安全风险自评估工作中，天镜通过和其它网络安全产品的协同工作，使用户准确地了解人行自身的网络、各种应用系统以及管理制度规范的安全现状，掌握了人行信息系统的生命周期中各阶段所面临的威胁、风险点。通过此次评估工作，人行在管理上和技术上有针对性地制定安全防范策略和解决方案，为化解风险、控制风险和转移风险做好事前准备，从而能够应对可能发生的问题，对所辖网络做到安全的自主掌控。通过日常的扫描和评估等工作，人行科技人员独立自主开展信息安全工作的能力得到有效的提高。另外，在对其它金融机构的网络安全状况抽查中，人行以天镜为工具进行移动式扫描，结合检查要求和被检查对象的实际情况，提供行之有效的改进意见，全面有效地推动了安全管理、安全运维等方面的工作。在使用天镜的过程中，新版本无论从功能上还是性能上，都得到了人行技术人员的广泛认可。