漏洞掃描產(chǎn)品解決方案計(jì)劃V6.0

1、1天鏡脆弱性掃描與管理系統(tǒng)解決方案北京啟明星辰信息安全技術(shù)有限公司2014-07-202一一. . XXXX 網(wǎng)絡(luò)現(xiàn)狀以及需求分析網(wǎng)絡(luò)現(xiàn)狀以及需求分析1.1 1.1 XXXX 網(wǎng)絡(luò)現(xiàn)狀網(wǎng)絡(luò)現(xiàn)狀XX 公司網(wǎng)絡(luò)結(jié)構(gòu)為三級網(wǎng)絡(luò)結(jié)構(gòu)，連接全國其它各省 XX 公司的網(wǎng)絡(luò)，下接 XX 省各地市縣 XX 公司的網(wǎng)絡(luò)。具體分為辦公網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)，其中生產(chǎn)網(wǎng)絡(luò)為 XX 公司最重要的網(wǎng)絡(luò)。目前在辦公網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)中有多臺重要服務(wù)器、 終端，在各個(gè)網(wǎng)絡(luò)的邊界部署有網(wǎng)絡(luò)互聯(lián)設(shè)備如交換機(jī)和路由器等等，同時(shí)還部署了邊界保護(hù)設(shè)備防火墻以及網(wǎng)絡(luò)區(qū)域保護(hù)設(shè)備入侵檢測系統(tǒng)等安全防護(hù)設(shè)備。1.2 1.2 XXXX 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

2、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析雖然 XX 公司已經(jīng)部署了諸如防火墻、入侵檢測系統(tǒng)等安全防護(hù)工具，但網(wǎng)絡(luò)系統(tǒng)存在安全漏洞（如安全配置不嚴(yán)密等）和操作系統(tǒng)安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。入侵者通常都是通過一些程序來探測網(wǎng)絡(luò)中系統(tǒng)中存在的一些安全漏洞，然后通過發(fā)現(xiàn)的安全漏洞，采取相關(guān)技術(shù)進(jìn)行攻擊。1.3 1.3 XXXX 網(wǎng)絡(luò)安全需求網(wǎng)絡(luò)安全需求面對 XX 網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評估，制定符合 XXXX 網(wǎng)絡(luò)應(yīng)用的安全策略顯然是不現(xiàn)實(shí)的。解決的方案是，尋找一種能尋找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全分析評估系統(tǒng)。檢測現(xiàn)有網(wǎng)絡(luò)中的邊界設(shè)

3、備（如路由器交換機(jī)） 、網(wǎng)絡(luò)安全設(shè)備（防火墻、入侵檢測系統(tǒng)） 、 服務(wù)器（包括內(nèi)部網(wǎng)絡(luò)系統(tǒng)的各種應(yīng)用服務(wù)器） 、主機(jī)、數(shù)據(jù)庫等進(jìn)行掃描，預(yù)先查找出存在的漏洞，從而進(jìn)行及3時(shí)的修補(bǔ)， 對網(wǎng)絡(luò)設(shè)備等存在的不安全配置重新進(jìn)行安全配置。二二. . 解決方案解決方案2.1 2.1 系統(tǒng)選型系統(tǒng)選型漏洞掃描系統(tǒng) （掃描對象包括網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫系統(tǒng)）使企業(yè)有機(jī)會在故障出現(xiàn)之前將其修復(fù)，而不是對一項(xiàng)已經(jīng)進(jìn)行的入侵或誤用情況作出反應(yīng)。漏洞掃描可以讓用戶首先防止入侵。 漏洞掃描也許對那些沒有很好的事件響應(yīng)能力的用戶會有幫助。在 XX 網(wǎng)絡(luò)系統(tǒng)中，我們建議部署一套天鏡脆弱性掃描與管理系統(tǒng)，能同時(shí)對內(nèi)、外網(wǎng)絡(luò)的

4、網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)、防火墻等） 、小型機(jī)、PC SERVER 和 PC 機(jī)操作系統(tǒng)（如 Windows）和應(yīng)用程序（如 IIS）由于各種原因存在一些漏洞（包括系統(tǒng)漏洞、脆弱口令等） ，這些漏洞可能會給內(nèi)部和外部不懷好意的人員有可趁之機(jī)，造成不應(yīng)該有的損失。2.2 2.2 掃描系統(tǒng)部署掃描系統(tǒng)部署天鏡連接網(wǎng)管交換機(jī)或者中心交換機(jī)上，進(jìn)行網(wǎng)絡(luò)安全評估，比如小型機(jī)、PC SERVER、網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器等） 、安全設(shè)備（如防火墻）及各工作站系統(tǒng)，進(jìn)行周期性的安全掃描，得出評估分析報(bào)告，然后進(jìn)行相應(yīng)的漏洞修補(bǔ)或重新設(shè)計(jì)安全策略，以達(dá)到網(wǎng)絡(luò)中硬件設(shè)備系統(tǒng)和應(yīng)用平臺的安全化。部署后網(wǎng)絡(luò)拓?fù)?

5、根據(jù)實(shí)際情況進(jìn)行部署)42.3 2.3 天鏡主要功能天鏡主要功能2.3.1 2.3.1 資產(chǎn)發(fā)現(xiàn)與管理資產(chǎn)發(fā)現(xiàn)與管理天鏡能夠通過綜合運(yùn)用多種手段（主機(jī)存活探測，智能端口檢測，操作系統(tǒng)指紋識別等）全面、快速、準(zhǔn)確的發(fā)現(xiàn)被掃描網(wǎng)絡(luò)中的存活主機(jī)，準(zhǔn)確識別其屬性，包括主機(jī)名稱、設(shè)備類型、端口情況、操作系統(tǒng)以及開放的服務(wù)等，為進(jìn)一步脆弱性掃描做好準(zhǔn)備。同時(shí)，天鏡的資產(chǎn)管理功能能夠?yàn)橛脩艄芾肀粧呙璧?IT 資產(chǎn)提供方便，同時(shí)作為脆弱性風(fēng)險(xiǎn)評估的基礎(chǔ)部分，為評估主機(jī)和網(wǎng)絡(luò)的脆弱性風(fēng)險(xiǎn)提供依據(jù)。天鏡資產(chǎn)管理的主要功能包括：資產(chǎn)導(dǎo)入導(dǎo)出資產(chǎn)導(dǎo)入導(dǎo)出資產(chǎn)數(shù)據(jù)可以方便的從歷史掃描結(jié)果中自動發(fā)現(xiàn)，也可以通過格式列表文

6、件批量導(dǎo)入，更可以靈活的手工添加資產(chǎn)。同時(shí)，資產(chǎn)數(shù)據(jù)也可以格式列表文件導(dǎo)出，應(yīng)用于其他系統(tǒng)。部門管理部門管理資產(chǎn)條目以部門目錄樹的框架進(jìn)行展現(xiàn)，方便用戶將脆弱性評估工作與具5體業(yè)務(wù)規(guī)劃相關(guān)聯(lián)。對部門的操作包括新建、編輯、刪除等，在部門中可以指定所屬資產(chǎn)的 IP 范圍和責(zé)任人，這樣，自動搜索或者添加的資產(chǎn)即可劃歸到相應(yīng)部門。資產(chǎn)屬性維護(hù)資產(chǎn)屬性維護(hù)資產(chǎn)管理抽取了進(jìn)行脆弱性風(fēng)險(xiǎn)評估所需的關(guān)鍵屬性對資產(chǎn)進(jìn)行描述和維護(hù)，其中包括資產(chǎn)的基本屬性（IP，名稱、編號以及分類等） ，資產(chǎn)價(jià)值以及保護(hù)等級。資產(chǎn)價(jià)值和保護(hù)等級跟實(shí)際的網(wǎng)絡(luò)應(yīng)用環(huán)境密切相關(guān)，可使用戶明確哪些是重要資產(chǎn)以及那些資產(chǎn)保護(hù)程度如何。2.3

7、.2 2.3.2 脆弱性掃描與分析脆弱性掃描與分析漸進(jìn)式的掃描方法能夠讓天鏡利用已經(jīng)發(fā)現(xiàn)的資產(chǎn)信息進(jìn)行針對性掃描，以發(fā)現(xiàn)主機(jī)上不同應(yīng)用對象（操作系統(tǒng)和應(yīng)用軟件）的弱點(diǎn)和漏洞，同時(shí)保證掃描過程的快速和結(jié)果的準(zhǔn)確。目前，天鏡可檢測的漏洞數(shù)量已經(jīng)超過 9300+種，掃描對象涵蓋各種常見的網(wǎng)絡(luò)主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、Web 應(yīng)用等。任務(wù)管理和策略管理功能，可以使用戶的掃描操作變得更加方便和靈活。用戶可以使用默認(rèn)掃描策略或者自定義掃描策略，創(chuàng)建特定或者自動計(jì)劃任務(wù)，調(diào)整掃描參數(shù)以提高掃描效率，甚至可以在同一個(gè)任務(wù)中對不同的對象采用不同的策略進(jìn)行掃描，從而方便的實(shí)現(xiàn)更具針對性的脆弱性掃描。在掃描任務(wù)執(zhí)

8、行的過程中，天鏡就可以將掃描的過程信息、階段性的掃描結(jié)果實(shí)時(shí)顯示出來，并且可以生成在線報(bào)表。在掃描任務(wù)結(jié)束后，使用天鏡的報(bào)表管理功能可以對掃描結(jié)果進(jìn)行細(xì)致全面的分析，生成面向不同安全管理角色諸如主管領(lǐng)導(dǎo)、管理人員、技術(shù)人員的客戶化報(bào)表。天鏡的報(bào)表分漏洞掃描、資產(chǎn)統(tǒng)計(jì)和弱點(diǎn)評估 3 大類 20 多種，以統(tǒng)計(jì)、比較、交叉、評估、詳述等多種方法對掃描結(jié)果進(jìn)行分析，支持以 XML、HTML、WORD、Excel、PDF、RTF 等多種常用格式導(dǎo)出，方便用戶使用。62.3.3 2.3.3 脆弱性風(fēng)險(xiǎn)評估脆弱性風(fēng)險(xiǎn)評估天鏡能夠?qū)β┒?、主機(jī)和網(wǎng)絡(luò)的脆弱性風(fēng)險(xiǎn)進(jìn)行評估和定性。天鏡采用最新的 CVSS v2 標(biāo)

9、準(zhǔn)來對所有漏洞進(jìn)行統(tǒng)一評級，客觀的展現(xiàn)其危險(xiǎn)級別。在此基礎(chǔ)上，天鏡利用漏洞的 CVSS 評分，綜合被掃描資產(chǎn)的保護(hù)等級和資產(chǎn)價(jià)值，采用參考國家標(biāo)準(zhǔn)制定的風(fēng)險(xiǎn)評估算法，能夠?qū)χ鳈C(jī)、網(wǎng)絡(luò)的脆弱性風(fēng)險(xiǎn)做出定量和定性的綜合評價(jià)，幫助用戶明確主機(jī)和網(wǎng)絡(luò)的脆弱性風(fēng)險(xiǎn)等級，制定出合理的脆弱性風(fēng)險(xiǎn)管理策略。漏洞信息的描述中包含 CVSS 評分，主機(jī)和網(wǎng)絡(luò)的脆弱性風(fēng)險(xiǎn)評估結(jié)論會在弱點(diǎn)評估報(bào)表中直接體現(xiàn)，并且對風(fēng)險(xiǎn)控制措施做出建議。2.3.4 2.3.4 弱點(diǎn)修復(fù)指導(dǎo)弱點(diǎn)修復(fù)指導(dǎo)通過 CVSS 評分，天鏡能夠直接給修復(fù)工作提供優(yōu)先級的指導(dǎo)，以確保最危險(xiǎn)的漏洞被先修復(fù)。下表顯示了 CVSS 評分和修復(fù)工作優(yōu)先級的關(guān)

10、系，并給出推薦的修復(fù)工作時(shí)限：CVSSCVSS 分值分值優(yōu)先級別優(yōu)先級別修補(bǔ)時(shí)間修補(bǔ)時(shí)間01P4可以自由決定14P33-6 個(gè)月47P2最多 4 周710P1最多 2 周表 1.漏洞修復(fù)工作的優(yōu)先級別天鏡的每個(gè)漏洞都有詳細(xì)的描述，包括漏洞的說明、影響的系統(tǒng)、平臺、危險(xiǎn)級別以及標(biāo)準(zhǔn)的 CNCVE、CVE、CNNVD、BUGTRAQ 等對應(yīng)關(guān)系以及鏈接信息，并提供修補(bǔ)方案，如系統(tǒng)加固建議、安全配置步驟、以及補(bǔ)丁下載鏈接等，這些信息可以幫助用戶建立對漏洞的全面認(rèn)識，正確完成弱點(diǎn)修復(fù)工作。72.3.5 2.3.5 安全策略審核安全策略審核用戶可以通過計(jì)劃任務(wù)的定期執(zhí)行，進(jìn)行基于主機(jī)、網(wǎng)絡(luò)和弱點(diǎn)的趨勢對

11、比分析，對風(fēng)險(xiǎn)控制策略和以往修復(fù)工作進(jìn)行審核，以評價(jià)風(fēng)險(xiǎn)控制策略和脆弱性管理工作的有效性，為安全策略的調(diào)整提供決策支持。另外，漏洞驗(yàn)證功能允許檢查類用戶對掃描到的漏洞進(jìn)行審核，天鏡提供部分常見漏洞的自動驗(yàn)證工具和手動驗(yàn)證方法，可以從過程和結(jié)果兩方面保證漏洞驗(yàn)證的有效性。2.3.6 2.3.6 構(gòu)建統(tǒng)一管理體系構(gòu)建統(tǒng)一管理體系天鏡能夠幫助大規(guī)模信息系統(tǒng)用戶構(gòu)建完善的統(tǒng)一脆弱性管理體系。用戶可以在不同網(wǎng)絡(luò)域內(nèi)部署獨(dú)立的天鏡掃描單元，分別負(fù)責(zé)各自網(wǎng)絡(luò)域內(nèi)的脆弱性掃描，避免因單一掃描單元難以逾越網(wǎng)絡(luò)域間的訪問控制障礙而造成的掃描缺失。與此同時(shí)，通過天鏡的管理控制中心，用戶能夠?qū)崿F(xiàn)對多個(gè)獨(dú)立掃描單元的統(tǒng)

12、一管理和監(jiān)控，在掃描單元數(shù)量眾多的時(shí)候，也可以采取分級管理的方式來分擔(dān)管理壓力，形成統(tǒng)一的分級管理體系。借助統(tǒng)一的脆弱性管理體系，用戶能夠?qū)嵤┩晟频拇嗳跣話呙韫芾砜刂乒δ埽ǎ翰捎眉用軈f(xié)議實(shí)施安全管理采用加密協(xié)議實(shí)施安全管理以圖形界面顯示統(tǒng)一管理體系的拓?fù)浣Y(jié)構(gòu)以圖形界面顯示統(tǒng)一管理體系的拓?fù)浣Y(jié)構(gòu)實(shí)時(shí)監(jiān)控各級管理控制中心和掃描引擎的工作狀態(tài)實(shí)時(shí)監(jiān)控各級管理控制中心和掃描引擎的工作狀態(tài)向下級管理控制中心下發(fā)統(tǒng)一掃描策略向下級管理控制中心下發(fā)統(tǒng)一掃描策略向本級或者下級獨(dú)立掃描單元下發(fā)產(chǎn)品授權(quán)和升級文件，控制啟動掃描向本級或者下級獨(dú)立掃描單元下發(fā)產(chǎn)品授權(quán)和升級文件，控制啟動掃描任務(wù)并自動收集掃描結(jié)果

13、，實(shí)現(xiàn)有效監(jiān)管任務(wù)并自動收集掃描結(jié)果，實(shí)現(xiàn)有效監(jiān)管獨(dú)立掃描單元可不借助多級管理中心完成脆弱性掃描和管理工作獨(dú)立掃描單元可不借助多級管理中心完成脆弱性掃描和管理工作2.4 2.4 產(chǎn)品技術(shù)特點(diǎn)產(chǎn)品技術(shù)特點(diǎn)天鏡產(chǎn)品特點(diǎn)鮮明，總結(jié)起來可以從“全面、準(zhǔn)確、快速、自主”四個(gè)方8面進(jìn)行展現(xiàn)。2.4.1 2.4.1 全面全面豐富的漏洞知識資源儲備豐富的漏洞知識資源儲備天鏡以啟明星辰積極防御實(shí)驗(yàn)室為依托，以國內(nèi)最權(quán)威、最全面的中文漏洞知識庫為支撐，蘊(yùn)含著豐富的研究經(jīng)驗(yàn)和深厚的知識積累，能夠?yàn)榭蛻籼岢掷m(xù)的、高品質(zhì)的產(chǎn)品應(yīng)用價(jià)值。覆蓋面最廣的漏洞庫覆蓋面最廣的漏洞庫天鏡可掃描的漏洞數(shù)量超過 9300 種，覆蓋了當(dāng)

14、前網(wǎng)絡(luò)環(huán)境中重要的，流行的系統(tǒng)和數(shù)據(jù)庫漏洞，并且能夠根據(jù)網(wǎng)絡(luò)環(huán)境的變化及時(shí)調(diào)整更新，確保漏洞識別的全面性和時(shí)效性。全方位的網(wǎng)絡(luò)對象支持全方位的網(wǎng)絡(luò)對象支持 網(wǎng)絡(luò)主機(jī)：服務(wù)器、客戶機(jī)、網(wǎng)絡(luò)打印機(jī)等 操作系統(tǒng)：Microsoft Windows 9X/NT/2000/XP/2003/2008/Vista/win7/win8、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD 等 網(wǎng)絡(luò)設(shè)備：Cisco、3Com、Checkpoint、華為、Alcatel 等主流廠商網(wǎng)絡(luò)設(shè)備 應(yīng)用系統(tǒng)：數(shù)據(jù)庫、Web 應(yīng)用、FTP、電子郵件等 常用軟件：Office、Symantec

15、、360 安全衛(wèi)士等 虛擬化掃描：支持對 vmware 等虛擬化平臺的掃描業(yè)界領(lǐng)先的數(shù)據(jù)庫掃描業(yè)界領(lǐng)先的數(shù)據(jù)庫掃描天鏡具備對 SQL Server、Oracle、Sybase、DB2、MySQL 等多種主流數(shù)據(jù)庫系統(tǒng)的掃描功能，可掃描的數(shù)據(jù)庫系統(tǒng)漏洞總數(shù)超過 820 條，包含了弱口令、用戶權(quán)限漏洞、訪問認(rèn)證漏洞、系統(tǒng)完整性檢查、存儲過程漏洞以及與數(shù)據(jù)庫相關(guān)的應(yīng)用程序漏洞等，基本上覆蓋了數(shù)據(jù)庫常被用做后門進(jìn)行攻擊的漏洞，并提出相應(yīng)的修補(bǔ)建議。多樣化的結(jié)果報(bào)表呈現(xiàn)多樣化的結(jié)果報(bào)表呈現(xiàn)9天鏡能夠生成面向多個(gè)用戶角色的客戶化報(bào)表，并以圖、表、文字說明等多種形式進(jìn)行展現(xiàn)，同時(shí)支持以 XML、HTML、W

16、ORD、Excel、PDF、RTF 等多種格式導(dǎo)出結(jié)果報(bào)表。全行業(yè)的產(chǎn)品成功應(yīng)用全行業(yè)的產(chǎn)品成功應(yīng)用天鏡已經(jīng)在政府、金融、電信、軍隊(duì)、教育、企業(yè)、能源等各種行業(yè)得到了成功應(yīng)用，獲得了最廣泛的用戶認(rèn)可。2.4.2 2.4.2 準(zhǔn)確準(zhǔn)確對象信息的準(zhǔn)確識別對象信息的準(zhǔn)確識別天鏡采用漸進(jìn)式掃描分析方法，融合最新的操作系統(tǒng)指紋識別、智能端口服務(wù)識別等技術(shù)，能夠準(zhǔn)確識別被掃描對象的各種信息，如操作系統(tǒng)、網(wǎng)絡(luò)名、用戶信息、非常規(guī)端口上開放的服務(wù)等；漏洞信息的準(zhǔn)確判斷漏洞信息的準(zhǔn)確判斷除了使用常規(guī)方法掃描外，天鏡還可以對于同一漏洞采用多種不同類型的掃描方法進(jìn)行關(guān)聯(lián)校驗(yàn)，以達(dá)到準(zhǔn)確判斷效果。域管理模式下的準(zhǔn)確掃

17、描域管理模式下的準(zhǔn)確掃描天鏡獨(dú)有的 Windows 域掃描技術(shù)，可以使得天鏡在 Windows 域管理模式下能夠借助域管理員的權(quán)限，在域內(nèi)進(jìn)行相當(dāng)于基于主機(jī)的掃描，確保掃描結(jié)果的準(zhǔn)確性。2.4.3 2.4.3 快速快速強(qiáng)有力的掃描效率保證強(qiáng)有力的掃描效率保證天鏡綜合運(yùn)用預(yù)探測、漸進(jìn)式、多線程的掃描技術(shù)，能夠快速發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)中的存活主機(jī)，然后根據(jù)漸進(jìn)式探測結(jié)果選擇適合的掃描策略，啟動多個(gè)任務(wù)、多個(gè)線程進(jìn)行并發(fā)掃描。對于掃描對象分布在多個(gè)互不相通的網(wǎng)段中的掃描任務(wù)，天鏡提供多網(wǎng)口并發(fā)掃描，無需移動掃描器設(shè)備或更改網(wǎng)絡(luò)配置，大大簡化用戶操作復(fù)雜度的同時(shí)保證了掃描任務(wù)可以迅速完成。10漏洞庫的快速持續(xù)更新漏洞庫的快速持續(xù)更新通過對漏洞發(fā)布信息的實(shí)時(shí)跟蹤和分析，天鏡能夠及時(shí)更新漏洞的補(bǔ)丁信息和修補(bǔ)建議，保持每兩周一次的漏洞庫更新，并在遇到緊急、重大的漏洞時(shí)即時(shí)更新。2.4.4 2.4.4 自主自主完全自主知識產(chǎn)權(quán)完全自主知識產(chǎn)權(quán)天鏡是具備完全的國內(nèi)自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)安全產(chǎn)品，獲得國家保密部門的評測和認(rèn)可，其安全性和保密性可自主掌控。領(lǐng)先的自主研究能力領(lǐng)先的自主