天鏡漏掃產(chǎn)品培訓(xùn)PPT.ppt

1、天鏡漏掃系列產(chǎn)品培訓(xùn),1 安全漏洞現(xiàn)狀分析,2 天鏡漏掃系列產(chǎn)品介紹,3 安裝及使用,4 常見問題,安全漏洞現(xiàn)狀分析,安全漏洞現(xiàn)狀分析,當(dāng)前漏洞數(shù)量劇增,NVD =國(guó)家計(jì)算機(jī)漏洞數(shù)據(jù)庫(kù) CERT =專門處理計(jì)算機(jī)網(wǎng)絡(luò)安全問題的組織 OSVDB =開放源碼的漏洞數(shù)據(jù)庫(kù),病毒事件,外部系統(tǒng)入侵,敏感信息竊取,拒絕服務(wù)攻擊,滲透測(cè)試,來(lái)源：CSI/FBI 2007調(diào)查報(bào)告,金融欺詐,Web攻擊,什么是安全漏洞？ 在計(jì)算機(jī)安全學(xué)中，存在于一個(gè)系統(tǒng)內(nèi)的弱點(diǎn)或缺陷，系統(tǒng)對(duì)一個(gè)特定的威脅攻擊或危險(xiǎn)事件的敏感性，或進(jìn)行攻擊的威脅作用的可能性。 為什么存在安全漏洞？ 客觀上技術(shù)實(shí)現(xiàn) 技術(shù)發(fā)展局限 永遠(yuǎn)存在的編碼

2、失誤 環(huán)境變化帶來(lái)的動(dòng)態(tài)化 主觀上未能避免的原因 默認(rèn)配置 對(duì)漏洞的管理缺乏 人員意識(shí),如何解決安全漏洞？ 一些基本原則 服務(wù)最小化 嚴(yán)格訪問權(quán)限控制 及時(shí)的安裝補(bǔ)丁 安全的應(yīng)用開發(fā) 可使用工具和技術(shù) 安全評(píng)估與掃描工具 補(bǔ)丁管理系統(tǒng) 代碼審計(jì),有關(guān)安全漏洞的幾個(gè)問題,漏洞的流行性和持續(xù)性,流行性：50%的最流行的高危漏洞的影響力會(huì)流行一年左右，一年后這 些漏洞將被一些新的流行高危漏洞所替代。 持續(xù)性：4%的高危漏洞的壽命很長(zhǎng)，其影響會(huì)持續(xù)很長(zhǎng)一段時(shí)間；尤其是對(duì)于企業(yè)的內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō)，某些漏洞的影響甚至是無(wú)限期的。,絕大多數(shù)漏洞的壽命,少數(shù)漏洞的壽命無(wú)限期,需要進(jìn)行“未雨綢繆”的漏洞管理,99%

3、 of security breaches target known vulnerabilities for which there are existing countermeasures. CERT Coordination Center 事實(shí)證明，99%以上攻擊都是利用已公布并有修補(bǔ)措施、但用戶未修補(bǔ)的漏洞。,操作系統(tǒng)和應(yīng)用漏洞能夠直接威脅數(shù)據(jù)的完整性和機(jī)密性。 流行蠕蟲的傳播通常也依賴與嚴(yán)重的安全漏洞。 黑客的主動(dòng)攻擊往往離不開對(duì)漏洞的利用。,信息系統(tǒng)越龐大，越需要對(duì)網(wǎng)絡(luò)和系統(tǒng)中的漏洞進(jìn)行 有效管理。 對(duì)于主機(jī)設(shè)備較多的網(wǎng)絡(luò)，即使采用傳統(tǒng)的漏洞掃描器進(jìn)行掃描，補(bǔ)丁修復(fù)工作量巨大，缺乏自

4、動(dòng)化的補(bǔ)丁修復(fù)過(guò)程,安全漏洞現(xiàn)狀分析,天鏡漏掃系列產(chǎn)品介紹,主要作用,隱患掃描、安全評(píng)估、脆弱性分析； 發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)的漏洞或泄漏； 提供系統(tǒng)的安全分析和整改報(bào)告； 提供完善的主機(jī)加固服務(wù),公安、保密、安全機(jī)關(guān)組織的安全性檢查 網(wǎng)絡(luò)建設(shè)前后的安全規(guī)劃評(píng)估和成效檢驗(yàn) 安裝新軟件、啟動(dòng)新服務(wù)后的安全性檢查 定期的網(wǎng)絡(luò)安全自我檢測(cè)、評(píng)估 網(wǎng)絡(luò)承擔(dān)重要任務(wù)前的安全性評(píng)估 網(wǎng)絡(luò)安全事故后的分析調(diào)查,產(chǎn)品應(yīng)用場(chǎng)合,發(fā)展歷程,6032 修改了任務(wù)參數(shù)界面中不合理參數(shù) 增加了功能選項(xiàng),6040 能修改windowsXP系統(tǒng)最大連接數(shù) 補(bǔ)充了功能說(shuō)明 改進(jìn)界面,6041 增加報(bào)表導(dǎo)出格式 增加報(bào)表實(shí)時(shí)導(dǎo)

5、出功能 支持新系統(tǒng) 支持SQL2005 解決掃描慢問題,6042 增加對(duì)Windows 7中文版操作系統(tǒng)的支持 切換了硬件平臺(tái) 增加了WSUS功能 增加了基于Web service的第三方開發(fā)接口,2009,2010,2009之前,產(chǎn)品介紹,6041天鏡硬件版設(shè)備標(biāo)準(zhǔn)配置帶有兩個(gè)網(wǎng)口：一個(gè)為掃描網(wǎng)口，一個(gè)為管理網(wǎng)口 新硬件的掃描口數(shù)量從原來(lái)的1個(gè)擴(kuò)展到6個(gè)，千兆光口工控機(jī)甚至可以提供10個(gè)掃描口（6電4光），相比友商有明顯優(yōu)勢(shì)。CPU、內(nèi)存、硬盤等主要元器件性能規(guī)格也大幅度提升；同時(shí)取消了鍵盤鼠標(biāo)口，USB口增加到了2個(gè)。新硬件的操作系統(tǒng)也由原來(lái)的Windows XP升級(jí)到了Windows 7

6、 Professional。,授權(quán)申請(qǐng),部署方式,獨(dú)立部署,多級(jí)分布,多級(jí)分布 多級(jí)網(wǎng)絡(luò)結(jié)構(gòu) 本地掃描 數(shù)據(jù)匯總、集中管理 不增添新的安全隱患,獨(dú)立部署 網(wǎng)絡(luò)較為集中 部署一臺(tái)天鏡設(shè)備 分權(quán)管理和使用,與傳統(tǒng)掃描產(chǎn)品區(qū)別,與傳統(tǒng)掃描產(chǎn)品區(qū)別：,常見掃描器關(guān)注階段（漏洞掃描治標(biāo)），漏洞管理關(guān)注全局（漏洞管理治本）。 常見掃描器關(guān)注漏洞，不關(guān)注風(fēng)險(xiǎn)；天鏡從資產(chǎn)、漏洞和威脅三個(gè)角度關(guān)注風(fēng)險(xiǎn)。 常見掃描器關(guān)注漏洞發(fā)現(xiàn)，不關(guān)注漏洞修復(fù)有效性，只開方子，不管療效；天鏡關(guān)注漏洞發(fā)現(xiàn)和漏洞修復(fù)有效性，既開方子，又復(fù)查療效。,安全漏洞現(xiàn)狀分析,安裝及使用,硬件版本登錄使用,配置掃描網(wǎng)口IP:,天鏡掃描引擎的掃描

7、網(wǎng)口IP地址在出廠時(shí)默認(rèn)配置為一個(gè)固定IP，用戶可以通過(guò)遠(yuǎn) 程桌面連接的方式來(lái)修改：,默認(rèn)連接IP:10.0.0.1 默認(rèn)連接端口號(hào)：20010,點(diǎn)擊【連接】按鈕，在隨后彈出的登錄窗口中，用戶名輸入scanner，密碼輸入venus60，點(diǎn)擊【確定】即可登錄到引擎系統(tǒng)中,軟件安裝環(huán)境,軟件安裝,雙擊安裝程序中setup.exe開始安裝天鏡6041,安裝,天鏡在掃描時(shí)必須綁定一個(gè)IP地址，如果本機(jī)存在多網(wǎng)卡、虛擬機(jī)等設(shè)置就需要設(shè)定掃描引擎與IP的綁定關(guān)系，以確保掃描速度和準(zhǔn)確性。 安裝時(shí)不設(shè)置，也可以后續(xù)在產(chǎn)品界面中設(shè)置。 設(shè)置IP綁定關(guān)系后，天鏡每次啟動(dòng)都會(huì)檢測(cè)，發(fā)現(xiàn)IP有變化再提示客戶重新綁

8、定。,安裝,XP SP2/SP3，缺省的TCP/IP連接數(shù)限制都是10，對(duì)于天鏡掃描來(lái)說(shuō)太小了，所以在安裝的時(shí)候提供了一個(gè)小工具，用來(lái)調(diào)整連接數(shù)。推薦更改為2048,原因：掃描時(shí)產(chǎn)生大量連接導(dǎo)致連接占滿而無(wú)法繼續(xù)掃描,授權(quán)申請(qǐng),安裝時(shí)提示申請(qǐng)授權(quán)，填好內(nèi)容后會(huì)生成一個(gè)*.vku文件，商會(huì)根據(jù)該文件生成.vky授權(quán)文件，該授務(wù)權(quán)只能在授權(quán)申請(qǐng)機(jī)器上使用,安裝時(shí)不申請(qǐng)也沒問題，可以后續(xù)在產(chǎn)品主界面中選擇申請(qǐng),授權(quán)導(dǎo)入與查看,用戶管理,“三權(quán)分立”的用戶角色管理 用戶管理員，只能用于創(chuàng)建、修改、刪除其它帳號(hào) 管理員，只能用于登錄天鏡控制中心進(jìn)行操作，不能登錄用戶管理審計(jì)模塊 審計(jì)員，只能用于修改其它

9、帳號(hào)的操作權(quán)限 細(xì)粒度的管理員權(quán)限分配,用戶管理員：用戶名Admin，密碼venus60 審計(jì)員：用戶名Audit， 密碼venus60 管理用戶：用戶名venus， 密碼venus60,登陸,缺省用戶名：venus 缺省口令：venus60,如果本機(jī)正在運(yùn)行一些殺毒軟件，天鏡登陸后會(huì)提示建議關(guān)閉實(shí)施監(jiān)控功能，以免影響掃描,創(chuàng)建任務(wù),創(chuàng)建任務(wù),先選擇一個(gè)掃描策略，天鏡6041缺省提供17個(gè)掃描策略； 用戶還可以通過(guò)新建、修改來(lái)編輯策略,輸入要掃描的IP地址 支持IP1-IP2一段主機(jī) 支持掩碼模式，192.168.1.1/24 支持通配符，192.168.1.*,IP地址還支持從已經(jīng)設(shè)定好的資

10、產(chǎn)導(dǎo)入 還支持從一個(gè)文件導(dǎo)入 也可以將輸入的IP地址導(dǎo)出，另存成一個(gè)文件，方便以后直接導(dǎo)入只用,創(chuàng)建任務(wù),用于區(qū)分不同任務(wù)的優(yōu)先級(jí) 當(dāng)引擎同時(shí)要執(zhí)行多個(gè)任務(wù)時(shí)，高優(yōu)先級(jí)的任務(wù)優(yōu)先執(zhí)行,支持設(shè)定最大并行掃描的主機(jī)數(shù)，最大為50 支持設(shè)定每臺(tái)主機(jī)最大的線程數(shù)，最大為50 兩個(gè)的乘積不能超過(guò)500，即任務(wù)的總線程數(shù)為500,域掃描：當(dāng)用戶掃描主機(jī)在Windows的域管理環(huán)境中，可以采用“域掃描”來(lái)加強(qiáng)天鏡的網(wǎng)絡(luò)掃描能力； 如果有必要，還可以設(shè)置天鏡在掃描主機(jī)的時(shí)候會(huì)向被掃描主機(jī)發(fā)送message消息來(lái)通知主機(jī)；,任務(wù)執(zhí)行,任務(wù)開始、停止、暫停掃描、繼續(xù)掃描、斷點(diǎn)續(xù)掃 其中，繼續(xù)掃描是指對(duì)某個(gè)暫停任務(wù)

11、繼續(xù)執(zhí)行掃描；而斷點(diǎn)續(xù)掃是指當(dāng)引擎端有掃描任務(wù)在執(zhí)行，因?yàn)槟承┩话l(fā)事件而不能正常工作（如機(jī)器意外重啟、主機(jī)意外斷電等），掃描任務(wù)會(huì)被意外中斷 。天鏡在上述情況下會(huì)保留掃描任務(wù)的已完成部分的結(jié)果，當(dāng)機(jī)器重啟之后，打開天鏡，可以針對(duì)這些意外中斷的掃描任務(wù)使用斷點(diǎn)續(xù)掃 。,任務(wù)執(zhí)行,任務(wù)查看區(qū),掃描結(jié)果查看區(qū) 支持實(shí)時(shí)顯示 可按各字段自由排序,掃描信息查看,掃描結(jié)果查看,掃描結(jié)果顯示自定義,可以選擇一個(gè)模板，對(duì)其進(jìn)行顯示配置； 也可以新建一個(gè)模板。,可詳細(xì)定義需要顯示的內(nèi)容,報(bào)表分析_任務(wù)掃描報(bào)告,報(bào)表分析_部門掃描報(bào)告,報(bào)告自動(dòng)發(fā)送設(shè)置,用戶可以對(duì)歷史掃描數(shù)據(jù)進(jìn)行導(dǎo)入、導(dǎo)出、刪除等操作,數(shù)據(jù)維護(hù)_

12、歷史掃描數(shù)據(jù)備份與查看,大范圍掃描主機(jī)時(shí)，用戶可能考慮到掃描速度等因素將一個(gè)大的掃描范圍分成若干部分通過(guò)多個(gè)掃描任務(wù)來(lái)完成。掃描結(jié)束后，天鏡提供了掃描結(jié)果合并的功能可以幫助用戶將多個(gè)掃描任務(wù)的掃描結(jié)果合并為一個(gè)掃描任務(wù)的掃描數(shù)據(jù)，之后，用戶可以利用報(bào)表系統(tǒng)來(lái)生成統(tǒng)一的報(bào)告,數(shù)據(jù)維護(hù)_數(shù)據(jù)庫(kù)切換,天鏡默認(rèn)帶的數(shù)據(jù)庫(kù)為MS Access數(shù)據(jù)庫(kù)，當(dāng)用戶已經(jīng)具有MS SQL Server 數(shù)據(jù)庫(kù)時(shí)，可以在安裝天鏡之后，利用此功能將天鏡切換到MS SQL Server 數(shù)據(jù)庫(kù)中運(yùn)行 注意：數(shù)據(jù)庫(kù)切換之后，原數(shù)據(jù)庫(kù)中的掃描數(shù)據(jù)會(huì)全部丟失，所以建議用戶如果需要切換數(shù)據(jù)庫(kù)，則最好在安裝之后立刻進(jìn)行數(shù)據(jù)庫(kù)的切換

13、。,策略管理,注：不能對(duì)當(dāng)前的17個(gè)模板本身做修改，可以改了另存,資產(chǎn)管理,從部門到所屬資產(chǎn)的管理 資產(chǎn)的快速發(fā)現(xiàn) 基于部門/資產(chǎn)的快速掃描啟動(dòng)、報(bào)表展現(xiàn),歷史任務(wù)導(dǎo)入,啟用新會(huì)話,資產(chǎn),部門,資產(chǎn),升級(jí),工具,提供了一系列輔助的探測(cè)工具和漏洞驗(yàn)證工具，探測(cè)工具可以方便用戶了解網(wǎng)絡(luò)的一些關(guān)鍵信息；漏洞驗(yàn)證工具用于驗(yàn)證天鏡掃描的漏洞 輔助的探測(cè)工具主要包括Arp探測(cè)、SNMP探測(cè)等工具，方便用戶了解網(wǎng)絡(luò)的一些關(guān)鍵信息 各工具用途： ARP主機(jī)探測(cè)工具：用來(lái)獲得同一子網(wǎng)內(nèi)已知IP地址主機(jī)的物理地址（物理地址即網(wǎng)卡的MAC地址）； SNMP服務(wù)探測(cè)工具：探測(cè)遠(yuǎn)程主機(jī)是否開啟了SNMP服務(wù)； MSSQ

14、L服務(wù)探測(cè)工具：可以獲取遠(yuǎn)程主機(jī)上的MSSQL服務(wù)信息 嗅探服務(wù)探測(cè)工具：用來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)上可能正在運(yùn)行的嗅探服務(wù)； SasserEx蠕蟲探測(cè)工具：用來(lái)探測(cè)遠(yuǎn)程主機(jī)是否感染“振蕩波”病毒。,WSUS互動(dòng)功能,選擇工具WSUS配置通知，啟動(dòng)WSUS配置工具界面，如下圖：,WSUS服務(wù)器：在內(nèi)網(wǎng)部署了一臺(tái)WSUS服務(wù)器，可以使用此服務(wù)器來(lái)提高主機(jī)windows系統(tǒng)升級(jí)補(bǔ)丁的效率。此處填寫該WSUS服務(wù)器地址； 工作方式：可以選擇“更新前提醒”和“自動(dòng)更新”兩種更新方式；,天鏡的開放接口模塊通過(guò)WebService對(duì)外提供接口服務(wù),SOAP：簡(jiǎn)單對(duì)象訪問協(xié)議，簡(jiǎn)單對(duì)象訪問協(xié)議（SOAP）是一種輕量的、簡(jiǎn)單的、基于 XML 的協(xié)議，它被設(shè)計(jì)成在 WEB 上交換結(jié)構(gòu)化的和固化的信息。 。,安全漏洞現(xiàn)狀分析,常見問題,注意事項(xiàng),1、天鏡現(xiàn)不支持在Windows XP Home版系統(tǒng)上運(yùn)行 2、天鏡6041需要winpcap4.0的支持，如有需卸載掉低版本的在安裝天鏡 3、數(shù)據(jù)庫(kù)切換，原數(shù)據(jù)庫(kù)中的掃描數(shù)據(jù)會(huì)全部丟失,安裝注意事項(xiàng),掃描注意事項(xiàng),1、天鏡系統(tǒng)不支持在一個(gè)會(huì)話中多個(gè)策