游侠安全网--张百川(网路游侠)的博客

　　其实国内做漏洞扫描的不算很多，目前世面上常见的扫描，无非三类：
　　1、综合扫描
　　代表厂家：绿盟、启明星辰、榕基、安氏领信，主要以操作系统、网络系统等的漏洞评估为主。绿盟、榕基的有WEB扫描模块。
　　2、独立扫描
　　代表厂家：诺赛、安恒、安域领创，以WEB扫描为主；安信通、安恒，以数据库扫描为主。

　　此前曾经和大成天下的吴鲁加聊过，问，为何X-Scan的商业版——游刃，不做了？他说市场需求量太小。最近游侠和一些做漏洞扫描的聊天，也慢慢发现，这东西的确不好做。
　　大家知道，做风险评估的，都会有工具扫描的任务，但是，现在都在用什么呢？游侠知道一些本身厂家自己做漏洞扫描的，都在用Nessus！因为自家的更新太慢了。或者说，自家的用的就是Nessus的plug-in，换来换去意思不大。

　　昨晚nosec的朋友出差到西安，聊了下。说到做的不错的pangolin和Jsky，说真的，虽然平时在这个圈子里面消息也算是较为灵通，但是在西安真没遇到多少要买WEB扫描的。
　　很多客户，会担心网站的安全性。但是此前我部门和几个市的政府单位有合作，走了几十家市级、区县政府单位，发现对扫描的需求是有的，但是肯定不会买。因为很多单位1年的信息化费用相当有限，压根不足以买评估软件。
　　一套主机扫描、WEB扫描，一般都会做到十几万，这个价格对客户而言，太高了。就像McAfee等厂家，都把其漏洞评估产品Foundstone划入大型企业的范畴。那么，对于信息化发展水平较低的区县级政府、市级单位，则不会购买。这样一来，如果省级单位购买，一个省能有多少？大家都知道，说真的，不会有多少。
　　军工企业，很多都购买了漏洞扫描设备，一般也就是文章开头说的这三家。但是用到多少？很多都是上级检查的时候，才扫描几次，作用多大？真没多大。漏洞扫描作为风险评估、法规遵从的辅助设备，实在是没有发挥其重要作用。
　　WEB扫描更悲惨，西北几个省，貌似都没有很火的网站，所以……当然很多网站还是存在安全需求的，但是他们宁可找安全公司做整体安全服务。如找某厂家，要求做：风险评估、安全加固、安全监控等一揽子解决方案，而不是单独买一套产品自己扫描，因为即时扫描出来问题，自己也搞不定。还得去找人……

　　突然想到，某保密检查工具，当年3000块钱一套的时候，几乎成了军工、政府的标配产品。后来这类产品做调整，其公开报价一不同的厂家，都做到了6-12万，并且给代理商的折扣也不算大，所以现在很多都还是空白……若不是国家政策强制，有几个买呢？

　　大家看看国产1G防火墙和国外1G防火墙的价格，就知道，为什么国产的做不大。

　　当然，有时候想想，也挺悲哀。因为即使漏洞扫描的价格降下来，又有多少人去买？毕竟基层维护人员的技术实力还比较差。还停留在：有漏洞怎么办？什么是SQL注入？的阶段。指望他们主动去买，显然不大现实。

　　问过很多做风险评估的，用的工具是Nessus的Home版，WEB扫描是用的Crack版。并且几乎如商量好一般，都在用I厂家的Crack，因为只有这个，可以直接导出中文报告……

　　网络安全，任重道远。
　　漏洞扫描，路途艰险。

作者：张百川（网路游侠）
网站：http://www.youxia.org
　　　转载请注明来源！谢谢合作。