天镜脆弱性扫描与管理系统解决方案北京启明星辰信息安全技术有限公司2014-07-20一.XX网络现状以及需求分析1.1XX网络现状XX公司网络结构为三级网络结构,连接全国其它各省XX公司的网络,下接XX省各地市县XX公司的网络。具体分为办公网络和生产网络,其中生产网络为XX公司最重要的网络。目前在办公网络和生产网络中有多台重要服务器、终端,在各个网络的边界部署有网络互联设备如交换机和路由器等等,同时还部署了边界保护设备防火墙以及网络区域保护设备入侵检测系统等安全防护设备。1.2XX网络安全风险分析虽然XX公司已经部署了诸如防火墙、入侵检测系统等安全防护工具,但网络系统存在安全漏洞(如安全配置不严密等)和操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。入侵者通常都是通过一些程序来探测网络中系统中存在的一些安全漏洞,然后通过发现的安全漏洞,采取相关技术进行攻击。1.3XX网络安全需求面对XX网络的复杂性和不断变化的情况,依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,制定符合XXXX网络应用的安全策略显然是不现实的。解决的方案是,寻找一种能寻找网络安全漏洞、评估并提出修改建议的网络安全分析评估系统。检测现有网络中的边界设备(如路由器交换机)、网络安全设备(防火墙、入侵检测系统)、服务器(包括内部网络系统的各种应用服务器)、主机、数据库等进行扫描,预先查找出存在的漏洞,从而进行及时的修补,对网络设备等存在的不安全配置重新进行安全配置。二.解决方案2.1系统选型漏洞扫描系统(扫描对象包括网络设备、主机、数据库系统)使企业有机会在故障出现之前将其修复,而不是对一项已经进行的入侵或误用情况作出反应。漏洞扫描可以让用户首先防止入侵。漏洞扫描也许对那些没有很好的事件响应能力的用户会有帮助。在XX网络系统中,我们建议部署一套天镜脆弱性扫描与管理系统,能同时对内、外网络的网络设备(如路由器、交换机、防火墙等)、小型机、PCSERVER和PC机操作系统(如Windows)和应用程序(如IIS)由于各种原因存在一些漏洞(包括系统漏洞、脆弱口令等),这些漏洞可能会给内部和外部不怀好意的人员有可趁之机,造成不应该有的损失。2.2扫描系统部署天镜连接网管交换机或者中心交换机上,进行网络安全评估,比如小型机、PCSERVER、网络设备(交换机、路由器等)、安全设备(如防火墙)及各工作站系统,进行周期性的安全扫描,得出评估分析报告,然后进行相应的漏洞修补或重新设计安全策略,以达到网络中硬件设备系统和应用平台的安全化。部署后网络拓扑(根据实际情况进行部署)2.3天镜主要功能2.3.1资产发现与管理天镜能够通过综合运用多种手段(主机存活探测,智能端口检测,操作系统指纹识别等)全面、快速、准确的发现被扫描网络中的存活主机,准确识别其属性,包括主机名称、设备类型、端口情况、操作系统以及开放的服务等,为进一步脆弱性扫描做好准备。同时,天镜的资产管理功能能够为用户管理被扫描的IT资产提供方便,同时作为脆弱性风险评估的基础部分,为评估主机和网络的脆弱性风险提供依据。天镜资产管理的主要功能包括:资产导入导出资产数据可以方便的从历史扫描结果中自动发现,也可以通过格式列表文件批量导入,更可以灵活的手工添加资产。同时,资产数据也可以格式列表文件导出,应用于其他系统。部门管理资产条目以部门目录树的框架进行展现,方便用户将脆弱性评估工作与具体业务规划相关联。对部门的操作包括新建、编辑、删除等,在部门中可以指定所属资产的IP范围和责任人,这样,自动搜索或者添加的资产即可划归到相应部门。资产属性维护资产管理抽取了进行脆弱性风险评估所需的关键属性对资产进行描述和维护,其中包括资产的基本属性(IP,名称、编号以及分类等),资产价值以及保护等级。资产价值和保护等级跟实际的网络应用环境密切相关,可使用户明确哪些是重要资产以及那些资产保护程度如何。2.3.2脆弱性扫描与分析渐进式的扫描方法能够让天镜利用已经发现的资产信息进行针对性扫描,以发现主机上不同应用对象(操作系统和应用软件)的弱点和漏洞,同时保证扫描过程的快速和结果的准确。目前,天镜可检测的漏洞数量已经超过9300+种,扫描对象涵盖各种常见的网络主机、操作系统、数据库系统、Web应用等。任务管理和策略管理功能,可以使用户的扫描操作变得更加方便和灵活。用户可以使用默认扫描策略或者自定义扫描策略,创建特定或者自动计划任务,调整扫描参数以提高扫描效率,甚至可以在同一个任务中对不同的对象采用不同的策略进行扫描,从而方便的实现更具针对性的脆弱性扫描。在扫描任务执行的过程中,天镜就可以将扫描的过程信息、阶段性的扫描结果实时显示出来,并且可以生成在线报表。在扫描任务结束后,使用天镜的报表管理功能可以对扫描结果进行细致全面的分析,生成面向不同安全管理角色诸如主管领导、管理人员、技术人员的客户化报表。天镜的报表分漏洞扫描、资产统计和弱点评估3大类20多种,以统计、比较、交叉、评估、详述等多种方法对扫描结果进行分析,支持以XML、HTML、WORD、Excel、PDF、RTF等多种常用格式导出,方便用户使用。2.3.3脆弱性风险评估天镜能够对漏洞、主机和网络的脆弱性风险进行评估和定性。天镜采用最新的CVSSv2标准来对所有漏洞进行统一评级,客观的展现其危险级别。在此基础上,天镜利用漏洞的CVSS评分,综合被扫描资产的保护等级和资产价值,采用参考国家标准制定的风险评估算法,能够对主机、网络的脆弱性风险做出定量和定性的综合评价,帮助用户明确主机和网络的脆弱性风险等级,制定出合理的脆弱性风险管理策略。漏洞信息的描述中包含CVSS评分,主机和网络的脆弱性风险评估结论会在弱点评估报表中直接体现,并且对风险控制措施做出建议。2.3.4弱点修复指导通过CVSS评分,天镜能够直接给修复工作提供优先级的指导,以确保最危险的漏洞被先修复。下表显示了CVSS评分和修复工作优先级的关系,并给出推荐的修复工作时限:CVSS分值优先级别修补时间0~1P4可以自由决定1~4P33-6个月4~7P2最多4周7~10P1最多2周表1.漏洞修复工作的优先级别天镜的每个漏洞都有详细的描述,包括漏洞的说明、影响的系统、平台、危险级别以及标准的CNCVE、CVE、CNNVD、BUGTRAQ等对应关系以及链接信息,并提供修补方案,如系统加固建议、安全配置步骤、以及补丁下载链接等,这些信息可以帮助用户建立对漏洞的全面认识,正确完成弱点修复工作。2.3.5安全策略审核用户可以通过计划任务的定期执行,进行基于主机、网络和弱点的趋势对比分析,对风险控制策略和以往修复工作进行审核,以评价风险控制策略和脆弱性管理工作的有效性,为安全策略的调整提供决策支持。另外,漏洞验证功能允许检查类用户对扫描到的漏洞进行审核,天镜提供部分常见漏洞的自动验证工具和手动验证方法,可以从过程和结果两方面保证漏洞验证的有效性。2.3.6构建统一管理体系天镜能够帮助大规模信息系统用户构建完善的统一脆弱性管理体系。用户可以在不同网络域内部署独立的天镜扫描单元,分别负责各自网络域内的脆弱性扫描,避免因单一扫描单元难以逾越网络域间的访问控制障碍而造成的扫描缺失。与此同时,通过天镜的管理控制中心,用户能够实现对多个独立扫描单元的统一管理和监控,在扫描单元数量众多的时候,也可以采取分级管理的方式来分担管理压力,形成统一的分级管理体系。借助统一的脆弱性管理体系,用户能够实施完善的脆弱性扫描管理控制功能,包括:采用加密协议实施安全管理以图形界面显示统一管理体系的拓扑结构实时监控各级管理控制中心和扫描引擎的工作状态向下级管理控制中心下发统一扫描策略向本级或者下级独立扫描单元下发产品授权和升级文件,控制启动扫描任务并自动收集扫描结果,实现有效监管独立扫描单元可不借助多级管理中心完成脆弱性扫描和管理工作2.4产品技术特点天镜产品特点鲜明,总结起来可以从“全面、准确、快速、自主”四个方面进行展现。2.4.1全面丰富的漏洞知识资源储备天镜以启明星辰积极防御实验室为依托,以国内最权威、最全面的中文漏洞知识库为支撑,蕴含着丰富的研究经验和深厚的知识积累,能够为客户提持续的、高品质的产品应用价值。覆盖面最广的漏洞库天镜可扫描的漏洞数量超过9300种,覆盖了当前网络环境中重要的,流行的系统和数据库漏洞,并且能够根据网络环境的变化及时调整更新,确保漏洞识别的全面性和时效性。全方位的网络对象支持网络主机:服务器、客户机、网络打印机等操作系统:MicrosoftWindows9X/NT/2000/XP/2003/2008/Vista/win7/win8、SunSolaris、HPUnix、IBMAIX、IRIX、Linux、BSD等网络设备:Cisco、3Com、Checkpoint、华为、Alcatel等主流厂商网络设备应用系统:数据库、Web应用、FTP、电子邮件等常用软件:Office、Symantec、360安全卫士等虚拟化扫描:支持对vmware等虚拟化平台的扫描业界领先的数据库扫描天镜具备对SQLServer、Oracle、Sybase、DB2、MySQL等多种主流数据库系统的扫描功能,可扫描的数据库系统漏洞总数超过820条,包含了弱口令、用户权限漏洞、访问认证漏洞、系统完整性检查、存储过程漏洞以及与数据库相关的应用程序漏洞等,基本上覆盖了数据库常被用做后门进行攻击的漏洞,并提出相应的修补建议。多样化的结果报表呈现天镜能够生成面向多个用户角色的客户化报表,并以图、表、文字说明等多种形式进行展现,同时支持以XML、HTML、WORD、Excel、PDF、RTF等多种格式导出结果报表。全行业的产品成功应用天镜已经在政府、金融、电信、军队、教育、企业、能源等各种行业得到了成功应用,获得了最广泛的用户认可。2.4.2准确对象信息的准确识别天镜采用渐进式扫描分析方法,融合最新的操作系统指纹识别、智能端口服务识别等技术,能够准确识别被扫描对象的各种信息,如操作系统、网络名、用户信息、非常规端口上开放的服务等;漏洞信息的准确判断除了使用常规方法扫描外,天镜还可以对于同一漏洞采用多种不同类型的扫描方法进行关联校验,以达到准确判断效果。域管理模式下的准确扫描天镜独有的Windows域扫描技术,可以使得天镜在Windows域管理模式下能够借助域管理员的权限,在域内进行相当于基于主机的扫描,确保扫描结果的准确性。2.4.3快速强有力的扫描效率保证天镜综合运用预探测、渐进式、多线程的扫描技术,能够快速发现目标网络中的存活主机,然后根据渐进式探测结果选择适合的扫描策略,启动多个任务、多个线程进行并发扫描。对于扫描对象分布在多个互不相通的网段中的扫描任务,天镜提供多网口并发扫描,无需移动扫描器设备或更改网络配置,大大简化用户操作复杂度的同时保证了扫描任务可以迅速完成。漏洞库的快速持续更新通过对漏洞发布信息的实时跟踪和分析,天镜能够及时更新漏洞的补丁信息和修补建议,保持每两周一次的漏洞库更新,并在遇到紧急、重大的漏洞时即时更新。2.4.4自主完全自主知识产权天镜是具备完全的国内自主知识产权的网络安全产品,获得国家保密部门的评测和认可,其安全性和保密性可自主掌控。领先的自主研究能力启明星辰技术团队具备顶尖的安全漏洞自主发掘和验证能力。广阔的自主选择空间针对不同的客户需求,天镜有丰富的产品型号可供选择,同时能够实现灵活的应用部署,既可以在独立网络中单独使用,又可以实现分布式多级部署下的统一管理,能够最大限度的满足用户的各种部署要求。另外,天镜提供了丰富的默认扫描策略和客户化报表模版,并且在此基础上提供了强大的自定义功能,用户在产品使用上可以按需选择,自由调整,最大限度的发挥产品效用。三.选型建议根据XX网络的情况,建议选型为:序号产品名称产品型号数量报价1天镜脆弱性扫描与管理系统