企業(yè)安全漏洞掃描與管理系統(tǒng)解決方案

1、 企業(yè)安全漏洞掃描與管理系統(tǒng)解決方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc528175672 一. 網(wǎng)絡(luò)現(xiàn)狀以及需求分析 PAGEREF _Toc528175672 h 3 HYPERLINK l _Toc528175673 1.1 網(wǎng)絡(luò)現(xiàn)狀 PAGEREF _Toc528175673 h 3 HYPERLINK l _Toc528175674 1.2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 PAGEREF _Toc528175674 h 3 HYPERLINK l _Toc528175675 1.3 網(wǎng)絡(luò)安全需求 PAGEREF _Toc528175675 h 3 HYPERLI

2、NK l _Toc528175676 二. 解決方案 PAGEREF _Toc528175676 h 4 HYPERLINK l _Toc528175677 2.1 系統(tǒng)選型 PAGEREF _Toc528175677 h 4 HYPERLINK l _Toc528175678 2.2 掃描系統(tǒng)部署 PAGEREF _Toc528175678 h 4 HYPERLINK l _Toc528175679 2.3 天鏡主要功能 PAGEREF _Toc528175679 h 5 HYPERLINK l _Toc528175680 2.3.1 資產(chǎn)發(fā)現(xiàn)與管理 PAGEREF _Toc52817568

3、0 h 5 HYPERLINK l _Toc528175681 2.3.2 脆弱性掃描與分析 PAGEREF _Toc528175681 h 6 HYPERLINK l _Toc528175682 2.3.3 脆弱性風(fēng)險(xiǎn)評估 PAGEREF _Toc528175682 h 6 HYPERLINK l _Toc528175683 2.3.4 弱點(diǎn)修復(fù)指導(dǎo) PAGEREF _Toc528175683 h 7 HYPERLINK l _Toc528175684 2.3.5 安全策略審核 PAGEREF _Toc528175684 h 7 HYPERLINK l _Toc528175685 2.3.6

4、 構(gòu)建統(tǒng)一管理體系 PAGEREF _Toc528175685 h 8 HYPERLINK l _Toc528175686 2.4 產(chǎn)品技術(shù)特點(diǎn) PAGEREF _Toc528175686 h 8 HYPERLINK l _Toc528175687 2.4.1 全面 PAGEREF _Toc528175687 h 8 HYPERLINK l _Toc528175688 2.4.2 準(zhǔn)確 PAGEREF _Toc528175688 h 10 HYPERLINK l _Toc528175689 2.4.3 快速 PAGEREF _Toc528175689 h 10 HYPERLINK l _Toc

5、528175690 2.4.4 自主 PAGEREF _Toc528175690 h 11 HYPERLINK l _Toc528175691 三. 選型建議 PAGEREF _Toc528175691 h 11網(wǎng)絡(luò)現(xiàn)狀以及需求分析網(wǎng)絡(luò)現(xiàn)狀XX 公司網(wǎng)絡(luò)結(jié)構(gòu)為三級(jí)網(wǎng)絡(luò)結(jié)構(gòu)，連接全國其它各省 XX 公司的網(wǎng)絡(luò)，下接XX省各地市縣 XX 公司的網(wǎng)絡(luò)。具體分為辦公網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)，其中生產(chǎn)網(wǎng)絡(luò)為 XX公司最重要的網(wǎng)絡(luò)。目前在辦公網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)中有多臺(tái)重要服務(wù)器、 終端，在各個(gè)網(wǎng)絡(luò)的邊界部署有網(wǎng)絡(luò)互聯(lián)設(shè)備如交換機(jī)和路由器等等，同時(shí)還部署了邊界保護(hù)設(shè)備防火墻以及網(wǎng)絡(luò)區(qū)域保護(hù)設(shè)備入侵檢測系統(tǒng)等安全防護(hù)設(shè)備。

6、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析雖然 XX 公司已經(jīng)部署了諸如防火墻、入侵檢測系統(tǒng)等安全防護(hù)工具，但網(wǎng)絡(luò)系統(tǒng)存在安全漏洞（如安全配置不嚴(yán)密等）和操作系統(tǒng)安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。入侵者通常都是通過一些程序來探測網(wǎng)絡(luò)中系統(tǒng)中存在的一些安全漏洞，然后通過發(fā)現(xiàn)的安全漏洞，采取相關(guān)技術(shù)進(jìn)行攻擊。網(wǎng)絡(luò)安全需求面對 XX 網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評估，制定符合 XXXX 網(wǎng)絡(luò)應(yīng)用的安全策略顯然是不現(xiàn)實(shí)的。解決的方案是，尋找一種能尋找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全分析評估系統(tǒng)。檢測現(xiàn)有網(wǎng)絡(luò)中的邊界設(shè)備（如路由器交換機(jī)） 、網(wǎng)絡(luò)安全設(shè)備（

7、防火墻、入侵檢測系統(tǒng)）、 服務(wù)器（包括內(nèi)部網(wǎng)絡(luò)系統(tǒng)的各種應(yīng)用服務(wù)器）、主機(jī)、數(shù)據(jù)庫等進(jìn)行掃描，預(yù)先查找出存在的漏洞，從而進(jìn)行及時(shí)的修補(bǔ)， 對網(wǎng)絡(luò)設(shè)備等存在的不安全配置重新進(jìn)行安全配置。解決方案系統(tǒng)選型漏洞掃描系統(tǒng) （掃描對象包括網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫系統(tǒng)）使企業(yè)有機(jī)會(huì)在故障出現(xiàn)之前將其修復(fù)，而不是對一項(xiàng)已經(jīng)進(jìn)行的入侵或誤用情況作出反應(yīng)。漏洞掃描可以讓用戶首先防止入侵。 漏洞掃描也許對那些沒有很好的事件響應(yīng)能力的用戶會(huì)有幫助。在 XX 網(wǎng)絡(luò)系統(tǒng)中，我們建議部署一套天鏡脆弱性掃描與管理系統(tǒng)，能同時(shí)對內(nèi)、外網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)、防火墻等）、小型機(jī)、PC SERVER 和 PC 機(jī)操作系統(tǒng)

8、（如 Windows）和應(yīng)用程序（如 IIS）由于各種原因存在一些漏洞（包括系統(tǒng)漏洞、脆弱口令等），這些漏洞可能會(huì)給內(nèi)部和外部不懷好意的人員有可趁之機(jī)，造成不應(yīng)該有的損失。掃描系統(tǒng)部署天鏡連接網(wǎng)管交換機(jī)或者中心交換機(jī)上，進(jìn)行網(wǎng)絡(luò)安全評估，比如小型機(jī)、PC SERVER、網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器等）、安全設(shè)備（如防火墻）及各工作站系統(tǒng)，進(jìn)行周期性的安全掃描，得出評估分析報(bào)告，然后進(jìn)行相應(yīng)的漏洞修補(bǔ)或重新設(shè)計(jì)安全策略，以達(dá)到網(wǎng)絡(luò)中硬件設(shè)備系統(tǒng)和應(yīng)用平臺(tái)的安全化。部署后網(wǎng)絡(luò)拓?fù)?根據(jù)實(shí)際情況進(jìn)行部署)天鏡主要功能資產(chǎn)發(fā)現(xiàn)與管理天鏡能夠通過綜合運(yùn)用多種手段（主機(jī)存活探測，智能端口檢測，操作系統(tǒng)指紋識(shí)別

9、等）全面、快速、準(zhǔn)確的發(fā)現(xiàn)被掃描網(wǎng)絡(luò)中的存活主機(jī)，準(zhǔn)確識(shí)別其屬性，包括主機(jī)名稱、設(shè)備類型、端口情況、操作系統(tǒng)以及開放的服務(wù)等，為進(jìn)一步脆弱性掃描做好準(zhǔn)備。同時(shí)，天鏡的資產(chǎn)管理功能能夠?yàn)橛脩艄芾肀粧呙璧腎T資產(chǎn)提供方便，同時(shí)作為脆弱性風(fēng)險(xiǎn)評估的基礎(chǔ)部分，為評估主機(jī)和網(wǎng)絡(luò)的脆弱性風(fēng)險(xiǎn)提供依據(jù)。天鏡資產(chǎn)管理的主要功能包括：資產(chǎn)導(dǎo)入導(dǎo)出資產(chǎn)數(shù)據(jù)可以方便的從歷史掃描結(jié)果中自動(dòng)發(fā)現(xiàn)，也可以通過格式列表文件批量導(dǎo)入，更可以靈活的手工添加資產(chǎn)。同時(shí)，資產(chǎn)數(shù)據(jù)也可以格式列表文件導(dǎo)出，應(yīng)用于其他系統(tǒng)。部門管理資產(chǎn)條目以部門目錄樹的框架進(jìn)行展現(xiàn)，方便用戶將脆弱性評估工作與具體業(yè)務(wù)規(guī)劃相關(guān)聯(lián)。對部門的操作包括新建、編

10、輯、刪除等，在部門中可以指定所屬資產(chǎn)的IP范圍和責(zé)任人，這樣，自動(dòng)搜索或者添加的資產(chǎn)即可劃歸到相應(yīng)部門。資產(chǎn)屬性維護(hù)資產(chǎn)管理抽取了進(jìn)行脆弱性風(fēng)險(xiǎn)評估所需的關(guān)鍵屬性對資產(chǎn)進(jìn)行描述和維護(hù)，其中包括資產(chǎn)的基本屬性（IP，名稱、編號(hào)以及分類等），資產(chǎn)價(jià)值以及保護(hù)等級(jí)。資產(chǎn)價(jià)值和保護(hù)等級(jí)跟實(shí)際的網(wǎng)絡(luò)應(yīng)用環(huán)境密切相關(guān)，可使用戶明確哪些是重要資產(chǎn)以及那些資產(chǎn)保護(hù)程度如何。脆弱性掃描與分析漸進(jìn)式的掃描方法能夠讓天鏡利用已經(jīng)發(fā)現(xiàn)的資產(chǎn)信息進(jìn)行針對性掃描，以發(fā)現(xiàn)主機(jī)上不同應(yīng)用對象（操作系統(tǒng)和應(yīng)用軟件）的弱點(diǎn)和漏洞，同時(shí)保證掃描過程的快速和結(jié)果的準(zhǔn)確。目前，天鏡可檢測的漏洞數(shù)量已經(jīng)超過9300+種，掃描對象涵蓋各種

11、常見的網(wǎng)絡(luò)主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、Web應(yīng)用等。任務(wù)管理和策略管理功能，可以使用戶的掃描操作變得更加方便和靈活。用戶可以使用默認(rèn)掃描策略或者自定義掃描策略，創(chuàng)建特定或者自動(dòng)計(jì)劃任務(wù)，調(diào)整掃描參數(shù)以提高掃描效率，甚至可以在同一個(gè)任務(wù)中對不同的對象采用不同的策略進(jìn)行掃描，從而方便的實(shí)現(xiàn)更具針對性的脆弱性掃描。在掃描任務(wù)執(zhí)行的過程中，天鏡就可以將掃描的過程信息、階段性的掃描結(jié)果實(shí)時(shí)顯示出來，并且可以生成在線報(bào)表。在掃描任務(wù)結(jié)束后，使用天鏡的報(bào)表管理功能可以對掃描結(jié)果進(jìn)行細(xì)致全面的分析，生成面向不同安全管理角色諸如主管領(lǐng)導(dǎo)、管理人員、技術(shù)人員的客戶化報(bào)表。天鏡的報(bào)表分漏洞掃描、資產(chǎn)統(tǒng)計(jì)和弱點(diǎn)評估3

12、大類20多種，以統(tǒng)計(jì)、比較、交叉、評估、詳述等多種方法對掃描結(jié)果進(jìn)行分析，支持以XML、HTML、WORD、Excel、PDF、RTF等多種常用格式導(dǎo)出，方便用戶使用。脆弱性風(fēng)險(xiǎn)評估天鏡能夠?qū)β┒?、主機(jī)和網(wǎng)絡(luò)的脆弱性風(fēng)險(xiǎn)進(jìn)行評估和定性。天鏡采用最新的CVSS v2標(biāo)準(zhǔn)來對所有漏洞進(jìn)行統(tǒng)一評級(jí)，客觀的展現(xiàn)其危險(xiǎn)級(jí)別。在此基礎(chǔ)上，天鏡利用漏洞的CVSS評分，綜合被掃描資產(chǎn)的保護(hù)等級(jí)和資產(chǎn)價(jià)值，采用參考國家標(biāo)準(zhǔn)制定的風(fēng)險(xiǎn)評估算法，能夠?qū)χ鳈C(jī)、網(wǎng)絡(luò)的脆弱性風(fēng)險(xiǎn)做出定量和定性的綜合評價(jià)，幫助用戶明確主機(jī)和網(wǎng)絡(luò)的脆弱性風(fēng)險(xiǎn)等級(jí)，制定出合理的脆弱性風(fēng)險(xiǎn)管理策略。漏洞信息的描述中包含CVSS評分，主機(jī)和網(wǎng)絡(luò)的

13、脆弱性風(fēng)險(xiǎn)評估結(jié)論會(huì)在弱點(diǎn)評估報(bào)表中直接體現(xiàn)，并且對風(fēng)險(xiǎn)控制措施做出建議。弱點(diǎn)修復(fù)指導(dǎo)通過CVSS評分，天鏡能夠直接給修復(fù)工作提供優(yōu)先級(jí)的指導(dǎo)，以確保最危險(xiǎn)的漏洞被先修復(fù)。下表顯示了CVSS評分和修復(fù)工作優(yōu)先級(jí)的關(guān)系，并給出推薦的修復(fù)工作時(shí)限：CVSS分值優(yōu)先級(jí)別修補(bǔ)時(shí)間01P4可以自由決定14P33-6個(gè)月47P2最多4周710P1最多2周漏洞修復(fù)工作的優(yōu)先級(jí)別天鏡的每個(gè)漏洞都有詳細(xì)的描述，包括漏洞的說明、影響的系統(tǒng)、平臺(tái)、危險(xiǎn)級(jí)別以及標(biāo)準(zhǔn)的CNCVE、CVE、CNNVD、BUGTRAQ等對應(yīng)關(guān)系以及鏈接信息，并提供修補(bǔ)方案，如系統(tǒng)加固建議、安全配置步驟、以及補(bǔ)丁下載鏈接等，這些信息可以幫助

14、用戶建立對漏洞的全面認(rèn)識(shí)，正確完成弱點(diǎn)修復(fù)工作。安全策略審核用戶可以通過計(jì)劃任務(wù)的定期執(zhí)行，進(jìn)行基于主機(jī)、網(wǎng)絡(luò)和弱點(diǎn)的趨勢對比分析，對風(fēng)險(xiǎn)控制策略和以往修復(fù)工作進(jìn)行審核，以評價(jià)風(fēng)險(xiǎn)控制策略和脆弱性管理工作的有效性，為安全策略的調(diào)整提供決策支持。另外，漏洞驗(yàn)證功能允許檢查類用戶對掃描到的漏洞進(jìn)行審核，天鏡提供部分常見漏洞的自動(dòng)驗(yàn)證工具和手動(dòng)驗(yàn)證方法，可以從過程和結(jié)果兩方面保證漏洞驗(yàn)證的有效性。構(gòu)建統(tǒng)一管理體系天鏡能夠幫助大規(guī)模信息系統(tǒng)用戶構(gòu)建完善的統(tǒng)一脆弱性管理體系。用戶可以在不同網(wǎng)絡(luò)域內(nèi)部署獨(dú)立的天鏡掃描單元，分別負(fù)責(zé)各自網(wǎng)絡(luò)域內(nèi)的脆弱性掃描，避免因單一掃描單元難以逾越網(wǎng)絡(luò)域間的訪問控制障礙而

15、造成的掃描缺失。與此同時(shí)，通過天鏡的管理控制中心，用戶能夠?qū)崿F(xiàn)對多個(gè)獨(dú)立掃描單元的統(tǒng)一管理和監(jiān)控，在掃描單元數(shù)量眾多的時(shí)候，也可以采取分級(jí)管理的方式來分擔(dān)管理壓力，形成統(tǒng)一的分級(jí)管理體系。借助統(tǒng)一的脆弱性管理體系，用戶能夠?qū)嵤┩晟频拇嗳跣話呙韫芾砜刂乒δ?，包括：采用加密協(xié)議實(shí)施安全管理以圖形界面顯示統(tǒng)一管理體系的拓?fù)浣Y(jié)構(gòu)實(shí)時(shí)監(jiān)控各級(jí)管理控制中心和掃描引擎的工作狀態(tài)向下級(jí)管理控制中心下發(fā)統(tǒng)一掃描策略向本級(jí)或者下級(jí)獨(dú)立掃描單元下發(fā)產(chǎn)品授權(quán)和升級(jí)文件，控制啟動(dòng)掃描任務(wù)并自動(dòng)收集掃描結(jié)果，實(shí)現(xiàn)有效監(jiān)管獨(dú)立掃描單元可不借助多級(jí)管理中心完成脆弱性掃描和管理工作產(chǎn)品技術(shù)特點(diǎn)天鏡產(chǎn)品特點(diǎn)鮮明，總結(jié)起來可以從“

16、全面、準(zhǔn)確、快速、自主”四個(gè)方面進(jìn)行展現(xiàn)。全面豐富的漏洞知識(shí)資源儲(chǔ)備天鏡以啟明星辰積極防御實(shí)驗(yàn)室為依托，以國內(nèi)最權(quán)威、最全面的中文漏洞知識(shí)庫為支撐，蘊(yùn)含著豐富的研究經(jīng)驗(yàn)和深厚的知識(shí)積累，能夠?yàn)榭蛻籼岢掷m(xù)的、高品質(zhì)的產(chǎn)品應(yīng)用價(jià)值。覆蓋面最廣的漏洞庫天鏡可掃描的漏洞數(shù)量超過9300種，覆蓋了當(dāng)前網(wǎng)絡(luò)環(huán)境中重要的，流行的系統(tǒng)和數(shù)據(jù)庫漏洞，并且能夠根據(jù)網(wǎng)絡(luò)環(huán)境的變化及時(shí)調(diào)整更新，確保漏洞識(shí)別的全面性和時(shí)效性。全方位的網(wǎng)絡(luò)對象支持網(wǎng)絡(luò)主機(jī)：服務(wù)器、客戶機(jī)、網(wǎng)絡(luò)打印機(jī)等操作系統(tǒng)：Microsoft Windows 9X/NT/2000/XP/2003/2008/Vista/win7/win8、Sun So

17、laris、HP Unix、IBM AIX、IRIX、Linux、BSD等網(wǎng)絡(luò)設(shè)備：Cisco、3Com、Checkpoint、華為、Alcatel等主流廠商網(wǎng)絡(luò)設(shè)備應(yīng)用系統(tǒng)：數(shù)據(jù)庫、Web應(yīng)用、FTP、電子郵件等常用軟件：Office、Symantec、360安全衛(wèi)士等虛擬化掃描：支持對vmware等虛擬化平臺(tái)的掃描業(yè)界領(lǐng)先的數(shù)據(jù)庫掃描天鏡具備對SQL Server、Oracle、Sybase、DB2、MySQL等多種主流數(shù)據(jù)庫系統(tǒng)的掃描功能，可掃描的數(shù)據(jù)庫系統(tǒng)漏洞總數(shù)超過820條，包含了弱口令、用戶權(quán)限漏洞、訪問認(rèn)證漏洞、系統(tǒng)完整性檢查、存儲(chǔ)過程漏洞以及與數(shù)據(jù)庫相關(guān)的應(yīng)用程序漏洞等，基本上

18、覆蓋了數(shù)據(jù)庫常被用做后門進(jìn)行攻擊的漏洞，并提出相應(yīng)的修補(bǔ)建議。多樣化的結(jié)果報(bào)表呈現(xiàn)天鏡能夠生成面向多個(gè)用戶角色的客戶化報(bào)表，并以圖、表、文字說明等多種形式進(jìn)行展現(xiàn)，同時(shí)支持以XML、HTML、WORD、Excel、PDF、RTF等多種格式導(dǎo)出結(jié)果報(bào)表。全行業(yè)的產(chǎn)品成功應(yīng)用天鏡已經(jīng)在政府、金融、電信、軍隊(duì)、教育、企業(yè)、能源等各種行業(yè)得到了成功應(yīng)用，獲得了最廣泛的用戶認(rèn)可。準(zhǔn)確對象信息的準(zhǔn)確識(shí)別天鏡采用漸進(jìn)式掃描分析方法，融合最新的操作系統(tǒng)指紋識(shí)別、智能端口服務(wù)識(shí)別等技術(shù)，能夠準(zhǔn)確識(shí)別被掃描對象的各種信息，如操作系統(tǒng)、網(wǎng)絡(luò)名、用戶信息、非常規(guī)端口上開放的服務(wù)等；漏洞信息的準(zhǔn)確判斷除了使用常規(guī)方法掃描外，天鏡還可以對于同一漏洞采用多種不同類型的掃描方法進(jìn)行關(guān)聯(lián)校驗(yàn)，以達(dá)到準(zhǔn)確判斷效果。域管理模式下的準(zhǔn)確掃描天鏡獨(dú)有的Windows域掃描技術(shù)，可以使得天鏡在Windows域管理模式下能夠借助域管