绿盟远程安全评估系统产品白皮书

绿 盟 远 程 安 全 评 估 系 统 产 品 白 皮 书

版 权 声 明 本 文 中 出 现 的 任 何 文 字 叙 述 文 档 格 式 插 图 照 片 方 法 过 程 等 内 容, 除 另 有 特 别 注 明, 版 权 均 属 绿 盟 科 技 所 有, 受 到 有 关 产 权 及 版 权 法 保 护 任 何 个 人 机 构 未 经 绿 盟 科 技 的 书 面 授 权 许 可, 不 得 以 任 何 方 式 复 制 或 引 用 本 文 的 任 何 片 断

目 录 一. 漏 洞 的 危 害 和 发 展 趋 势... 1 1.1 漏 洞 的 危 害... 1 1.2 漏 洞 的 发 展 趋 势... 2 二. 漏 洞 管 理 的 必 要 性 与 重 要 性... 3 三. 漏 洞 管 理 产 品 评 价 指 标... 4 四. 绿 盟 远 程 安 全 评 估 系 统... 4 4.1 产 品 体 系 结 构... 5 4.2 漏 洞 管 理... 7 4.2.1 漏 洞 预 警... 8 4.2.2 漏 洞 检 测... 8 4.2.3 风 险 管 理... 9 4.2.4 漏 洞 修 复... 9 4.2.5 漏 洞 审 计... 9 4.3 产 品 特 色... 9 4.3.1 基 于 用 户 行 为 模 式 的 管 理 架 构... 9 4.3.2 权 威 完 备 的 漏 洞 知 识 库... 10 4.3.3 高 效 智 能 的 漏 洞 识 别 技 术... 10 4.3.4 集 成 专 业 的 Web 应 用 扫 描 模 块... 10 4.3.5 基 于 实 践 的 风 险 管 理 及 展 示... 11 4.3.6 多 维 细 粒 度 的 统 计 分 析... 12 4.4 典 型 应 用 方 式... 13 4.4.1 独 立 式 部 署... 13 4.4.2 分 布 式 部 署... 14 五. 结 论... 15 - I -

表 格 索 引 表 1.1 1995-1999 CERT/CC 漏 洞 统 计 数 据 表... 2 表 1.2 2000-2006 CERT/CC 漏 洞 统 计 数 据 表... 2 - II -

插 图 索 引 图 4.1 NSFOCUS RSAS 整 体 架 构 图... 5 图 4.2 绿 盟 科 技 开 放 漏 洞 管 理 OPEN VM 过 程 图... 8 图 4.3 NSFOCUS RSAS WEB 扫 描 模 块 展 示 图... 11 图 4.4 NSFOCUS RSAS 管 理 图... 12 图 4.5 NSFOCUS RSAS 综 述 信 息 图... 13 图 4.6 NSFOCUS RSAS 独 立 式 部 署 结 构 图... 14 图 4.7 NSFOCUS RSAS 分 布 式 部 署 结 构 图... 14 - III -

一. 漏 洞 的 危 害 和 发 展 趋 势 从 互 联 网 兴 起 至 今, 利 用 漏 洞 攻 击 的 网 络 安 全 事 件 不 断, 并 且 呈 日 趋 严 重 的 态 势 每 年 全 球 因 漏 洞 导 致 的 经 济 损 失 巨 大 并 且 在 逐 年 增 加, 漏 洞 已 经 成 为 危 害 互 联 网 的 罪 魁 祸 首 之 一, 也 成 了 万 众 瞩 目 的 焦 点 人 们 也 在 一 次 次 承 受 蠕 虫 爆 发 病 毒 木 马 以 及 恶 意 代 码 的 危 害 之 后, 在 不 断 地 寻 求 着 漏 洞 的 解 决 之 道, 不 断 尝 试 将 由 漏 洞 带 来 的 风 险 降 到 最 低, 虽 然 也 取 得 了 一 定 成 效, 但 是 利 用 漏 洞 的 攻 击 也 在 逐 渐 表 现 为 多 种 不 同 的 危 害 形 式 并 且 出 现 了 新 的 攻 击 趋 势 1.1 漏 洞 的 危 害 漏 洞 是 在 硬 件 软 件 协 议 的 具 体 实 现 或 系 统 安 全 策 略 上 存 在 的 缺 陷, 可 以 使 攻 击 者 在 未 授 权 的 情 况 下 访 问 或 破 坏 系 统 安 全 漏 洞 有 很 多 种 分 类 方 式, 按 照 漏 洞 宿 主 不 同, 可 以 分 为 三 大 类 : 第 一 类 是 由 于 操 作 系 统 本 身 设 计 缺 陷 带 来 的 安 全 漏 洞, 这 类 漏 洞 将 被 运 行 在 该 系 统 上 的 应 用 程 序 所 继 承 ; 第 二 类 是 应 用 软 件 程 序 的 安 全 漏 洞 ; 第 三 类 是 应 用 服 务 协 议 的 安 全 漏 洞 近 年 来, 针 对 应 用 软 件 程 序 和 应 用 服 务 协 议 安 全 漏 洞 的 攻 击 越 来 越 多, 同 时 利 用 病 毒 木 马 技 术 进 行 网 络 盗 窃 和 诈 骗 的 网 络 犯 罪 活 动 呈 快 速 上 升 趋 势, 产 生 了 大 范 围 的 危 害, 由 此 造 成 的 经 济 损 失 也 是 越 发 巨 大 针 对 Web 应 用 安 全 漏 洞 的 攻 击 也 在 逐 渐 成 为 主 流 的 攻 击 方 式 利 用 网 站 操 作 系 统 的 漏 洞 和 Web 服 务 程 序 的 SQL 注 入 漏 洞 等, 黑 客 能 够 得 到 Web 服 务 器 的 控 制 权 限, 从 而 轻 易 篡 改 网 页 内 容 或 者 窃 取 重 要 内 部 数 据, 甚 至 在 网 页 中 植 入 恶 意 代 码 ( 俗 称 网 页 挂 马 ), 使 得 更 多 网 站 访 问 者 受 到 侵 害 近 年 来 层 出 不 穷 的 应 用 软 件 安 全 漏 洞 的 危 害 性 已 经 与 操 作 系 统 的 安 全 漏 洞 平 分 秋 色 不 断 发 展 和 广 泛 应 用 的 各 种 应 用 程 序 ( 如 IE 浏 览 器 MSN Yahoo Messenger MS Office 多 媒 体 播 放 器 VMware 虚 拟 机 和 各 种 P2P 下 载 软 件 ) 中 存 在 的 安 全 漏 洞 也 越 来 越 多 的 被 披 露 出 来 安 全 漏 洞 问 题 日 益 复 杂 和 严 重 2005-2007 年 间 的 主 要 攻 击 是 针 对 Web 应 用 安 全 漏 洞 和 客 户 端 程 序 的 攻 击 来 自 google Yahoo Microsoft 以 及 ebay 等 著 名 互 联 网 公 司 或 者 提 供 Web 服 务 的 软 件 公 司 都 出 现 了 不 同 程 度 的 漏 洞, 且 都 被 攻 击 者 成 功 的 加 以 利 用 2006 年 2 月, 微 软 公 司 的 Hotmail 邮 件 服 务 被 曝 存 在 一 个 中 风 险 级 别 的 允 许 进 行 跨 站 脚 本 攻 击 的 漏 洞 ; 同 期,eBay 也 出 现 类 似 漏 洞 ; - 1 - 密 级 : 完 全 公 开

2006 年 4 月,Yahoo 公 司 邮 件 服 务 中 出 现 一 个 可 以 被 利 用 进 行 钓 鱼 攻 击 的 漏 洞 ; 同 期 微 软 MSN Space 以 及 Myspace 均 出 现 可 以 被 利 用 在 站 点 中 增 加 并 执 行 恶 意 脚 本 的 漏 洞 ; 2009 年 5 月, 法 国 电 信 旗 下 的 Orange 公 司 门 户 网 站 日 前 遭 到 黑 客 攻 击, 数 据 库 中 25 万 用 户 的 名 字 地 址 密 码 等 全 部 被 盗 从 上 可 以 看 出, 安 全 漏 洞 的 危 害 范 围 在 逐 渐 扩 大, 由 系 统 层 扩 展 到 应 用 层, 由 服 务 器 端 扩 展 到 客 户 端, 由 少 数 操 作 系 统 扩 展 到 绝 大 多 数 操 作 系 统 ; 由 此 造 成 的 经 济 损 失 也 越 来 越 大, 尤 其 是 用 户 不 易 察 觉 的 隐 性 攻 击 造 成 的 损 失 是 无 法 衡 量 的 1.2 漏 洞 的 发 展 趋 势 随 着 技 术 的 不 断 进 步, 漏 洞 的 发 现 漏 洞 利 用 技 术 也 发 展 到 一 个 较 高 水 平, 从 总 体 上 来 看, 漏 洞 的 发 展 趋 势 主 要 表 现 为 以 下 几 个 方 面 : 漏 洞 的 发 现 技 术 更 加 自 动 化 和 智 能 化, 漏 洞 发 现 技 术 的 革 新 导 致 了 发 现 的 漏 洞 数 量 剧 增, 下 面 是 国 际 组 织 CERT/CC 从 1995 年 到 2007 年 的 漏 洞 统 计 数 据 该 组 织 2007 年 全 年 收 到 信 息 系 统 安 全 漏 洞 报 告 7236 个, 自 1995 年 以 来, 漏 洞 报 告 总 数 已 达 38016 个 表 1.1 1995-1999 CERT/CC 漏 洞 统 计 数 据 表 Year 1995 1996 1997 1998 1999 Vulnerabilities 171 345 311 262 417 表 1.2 2000-2006 CERT/CC 漏 洞 统 计 数 据 表 Year 2000 2001 2002 2003 2004 2005 2006 2007 Vulnerabilities 1,090 2,437 4,129 3,784 3,780 5,990 8064 7236 2007 年 微 软 公 司 正 式 公 布 了 69 个 具 有 编 号 的 安 全 漏 洞 其 中, 除 Windows 操 作 系 统 漏 洞 外, 安 全 漏 洞 更 多 的 集 中 出 现 在 了 IE 浏 览 器 和 MS Office 等 应 用 软 件 上 国 际 上 出 现 大 量 的 专 业 漏 洞 研 究 组 织, 漏 洞 的 出 现 到 漏 洞 被 利 用 的 时 间 在 不 断 的 缩 短, 同 时 0-day 攻 击 的 数 量 在 逐 渐 增 加 利 用 漏 洞 攻 击 的 重 心 由 服 务 器 端 向 客 户 端 过 渡, 由 系 统 层 和 网 络 层 逐 渐 向 应 用 层 扩 展 ; Web 应 用 安 全 漏 洞 造 成 危 害 日 益 凸 显 漏 洞 的 发 现 利 用 不 仅 仅 局 限 于 常 见 的 网 络 设 备 操 作 系 统, 而 且 不 断 的 向 新 的 应 用 领 域 扩 散 利 用 漏 洞 的 蠕 虫 逐 渐 减 少, 利 用 漏 洞 攻 击 的 手 法 越 来 越 诡 异, 越 来 越 隐 蔽 - 2 - 密 级 : 完 全 公 开

二. 漏 洞 管 理 的 必 要 性 与 重 要 性 漏 洞 的 危 害 越 来 越 严 重, 发 展 的 趋 势 也 日 益 严 峻 归 根 结 底, 产 生 这 些 问 题 的 原 因 是 系 统 漏 洞 的 存 在 并 被 攻 击 者 恶 意 利 用 软 件 由 于 在 设 计 初 期 考 虑 不 周 导 致 的 问 题 仍 然 没 有 得 到 很 好 的 解 决, 人 们 依 然 用 着 亡 羊 补 牢 的 方 法 来 度 过 每 一 次 攻 击, 利 用 漏 洞 的 攻 击 成 为 人 们 心 中 永 远 的 痛 统 计 表 明,19.4% 的 攻 击 来 自 于 利 用 管 理 配 置 错 误, 而 利 用 已 知 的 一 个 系 统 漏 洞 入 侵 成 功 的 占 到 了 15.3% 事 实 证 明, 绝 大 多 数 的 网 络 攻 击 事 件 都 是 利 用 厂 商 已 经 公 布 而 用 户 未 及 时 修 补 的 漏 洞 已 经 公 布 的 漏 洞 未 得 到 及 时 的 修 补 和 用 户 的 安 全 意 识 有 很 大 的 关 系, 一 个 漏 洞 从 厂 商 公 布 到 漏 洞 被 大 规 模 利 用 之 间 的 时 间 虽 然 在 逐 渐 的 缩 短, 但 是 最 短 的 也 有 18 天 之 久, 18 天 对 于 一 些 安 全 意 识 高 的 用 户 来 说, 修 补 一 个 安 全 漏 洞 应 该 没 有 任 何 问 题 目 前 大 多 数 用 户 的 安 全 意 识 也 提 高 了, 但 是 冲 击 波 蠕 虫 和 震 荡 波 蠕 虫 的 爆 发 还 造 成 如 此 之 大 的 损 失, 病 毒 特 洛 伊 木 马 及 恶 意 代 码 逐 渐 成 为 严 重 的 安 全 问 题, 这 说 明 仅 仅 提 高 用 户 的 安 全 意 识 是 完 全 不 够 的 同 时 由 于 客 户 端 第 三 方 软 件 安 全 漏 洞 危 害 日 益 增 大, 传 统 的 远 程 扫 描 已 经 不 能 满 足 日 益 变 化 的 安 全 漏 洞 形 式, 需 要 一 套 有 效 的 管 理 机 制 并 通 过 一 定 安 全 技 术 手 段 辅 助 自 动 完 成 整 个 过 程, 才 能 有 效 地 对 漏 洞 进 行 动 态 地 管 理 目 前, 从 技 术 和 管 理 两 个 角 度 来 看, 漏 洞 问 题 已 经 有 了 较 为 成 熟 的 解 决 方 案 漏 洞 管 理 就 是 这 样 一 套 能 够 有 效 避 免 由 漏 洞 攻 击 导 致 的 安 全 问 题 的 解 决 方 案, 它 从 漏 洞 的 整 个 生 命 周 期 着 手, 在 周 期 的 不 同 阶 段 采 取 不 同 的 措 施, 是 一 个 循 环 周 期 执 行 的 工 作 流 程 一 个 相 对 完 整 的 漏 洞 管 理 过 程 包 含 以 下 步 骤 : 1. 对 用 户 网 络 中 的 资 产 进 行 自 动 发 现 并 按 照 资 产 重 要 性 进 行 分 类 ; 2. 自 动 周 期 对 网 络 资 产 的 漏 洞 进 行 评 估 并 将 结 果 自 动 发 送 和 保 存 ; 3. 采 用 业 界 权 威 的 分 析 模 型 对 漏 洞 评 估 的 结 果 进 行 定 性 和 定 量 的 风 险 分 析, 并 根 据 资 产 重 要 性 给 出 可 操 作 性 强 的 漏 洞 修 复 方 案 ; 4. 根 据 漏 洞 修 复 方 案, 对 网 络 资 产 中 存 在 的 漏 洞 进 行 合 理 的 修 复 或 者 调 整 网 络 的 整 体 安 全 策 略 进 行 规 避 ; 5. 对 修 复 完 毕 的 漏 洞 进 行 修 复 确 认 ; 6. 定 期 重 复 上 述 步 骤 1-5 漏 洞 管 理 能 够 对 预 防 已 知 安 全 漏 洞 的 攻 击 起 到 很 好 的 作 用, 做 到 真 正 的 未 雨 绸 缪 相 对 于 传 统 的 漏 洞 扫 描 产 品 而 言, 漏 洞 管 理 产 品 能 够 为 用 户 带 来 更 多 的 价 值 漏 洞 管 理 产 品 从 漏 洞 生 命 周 期 出 发, 提 供 一 套 有 效 的 漏 洞 管 理 工 作 流 程, 实 现 了 由 漏 洞 扫 描 到 漏 洞 管 理 的 转 变, 实 现 了 治 标 到 治 本 的 飞 跃 - 3 - 密 级 : 完 全 公 开

通 过 漏 洞 管 理 产 品, 集 中 及 时 找 出 漏 洞 并 详 细 了 解 漏 洞 相 关 信 息, 不 需 要 用 户 每 天 去 关 注 不 同 厂 商 的 漏 洞 公 告, 因 为 各 个 厂 商 的 漏 洞 公 告 不 会 定 期 发 布, 即 使 发 布 了 漏 洞 公 告 绝 大 多 数 用 户 也 不 能 够 及 时 地 获 得 相 关 信 息 通 过 漏 洞 管 理 产 品 将 网 络 资 产 按 照 重 要 性 进 行 分 类, 自 动 周 期 升 级 并 对 网 络 资 产 进 行 评 估, 最 后 自 动 将 风 险 评 估 结 果 自 动 发 送 给 相 关 责 任 人, 大 大 降 低 人 工 维 护 成 本 漏 洞 管 理 产 品 根 据 评 估 结 果 定 性 定 量 分 析 网 络 资 产 风 险, 反 映 用 户 网 络 安 全 问 题, 并 把 问 题 的 重 要 性 和 优 先 级 进 行 分 类, 方 便 用 户 有 效 地 落 实 漏 洞 修 补 和 风 险 规 避 的 工 作 流 程, 并 为 补 丁 管 理 产 品 提 供 相 应 的 接 口 漏 洞 管 理 产 品 能 够 提 供 完 整 的 漏 洞 管 理 机 制, 方 便 管 理 者 跟 踪 记 录 和 验 证 评 估 的 成 效 三. 漏 洞 管 理 产 品 评 价 指 标 由 于 漏 洞 管 理 和 漏 洞 扫 描 产 品 之 间 具 有 较 大 的 差 异 性, 用 户 在 购 买 一 款 漏 洞 管 理 类 产 品 时 需 要 考 虑 以 下 因 素 : 厂 商 是 否 具 备 漏 洞 跟 踪 和 漏 洞 前 瞻 性 研 究 能 力, 具 体 可 考 察 漏 洞 知 识 库 的 完 备 性 权 威 性 和 更 新 及 时 性 ; 产 品 是 否 支 持 漏 洞 管 理 工 作 流 程, 包 括 是 否 支 持 相 应 的 开 放 接 口 ; 漏 洞 评 估 的 性 能, 主 要 考 察 漏 洞 检 测 的 速 度 准 确 性 和 覆 盖, 其 中 覆 盖 的 漏 洞 是 否 包 含 常 见 的 本 地 及 远 程 安 全 漏 洞 ; 产 品 是 否 具 备 资 产 管 理 能 力, 是 否 具 备 对 资 产 风 险 的 定 性 定 量 分 析 能 力 ; 产 品 是 否 具 备 针 对 复 杂 大 型 网 络 的 分 布 式 部 署 和 集 中 管 理 能 力 ; 产 品 的 报 告 内 容 形 式 是 否 灵 活, 报 告 是 否 具 备 多 角 度 统 计 分 析 的 能 力 ; 是 否 获 得 国 际 上 第 三 方 权 威 测 试 机 构 的 认 证 四. 绿 盟 远 程 安 全 评 估 系 统 基 于 多 年 的 安 全 服 务 实 践 经 验, 同 时 结 合 用 户 对 安 全 评 估 产 品 的 实 际 应 用 需 求, 绿 盟 科 技 自 主 研 发 了 绿 盟 远 程 安 全 评 估 系 统 (NSFOCUS Remote Security Assessment 简 称 : NSFOCUS RSAS), 它 采 用 高 效 智 能 的 漏 洞 识 别 技 术, 第 一 时 间 主 动 对 网 络 中 的 资 产 进 行 细 致 深 入 的 漏 洞 检 测 分 析, 并 给 用 户 提 供 专 业 有 效 的 漏 洞 防 护 建 议, 让 攻 击 者 无 机 可 乘, 是 您 身 边 专 业 的 漏 洞 管 理 专 家 - 4 - 密 级 : 完 全 公 开

依 托 专 业 的 NSFOCUS 安 全 小 组, 综 合 运 用 信 息 重 整 化 (NSIP) 等 多 种 领 先 技 术, 自 动 高 效 及 时 准 确 地 发 现 网 络 资 产 存 在 的 安 全 漏 洞 ; 提 供 Open VM(Open Vulnerability Management 开 放 漏 洞 管 理 ) 工 作 流 程 平 台, 将 先 进 的 漏 洞 管 理 理 念 贯 穿 整 个 产 品 实 现 过 程 中 ; 专 业 的 Web 应 用 扫 描 模 块, 可 以 自 动 化 进 行 Web 应 用 Web 服 务 及 支 撑 系 统 等 多 层 次 全 方 位 的 安 全 漏 洞 扫 描, 简 化 安 全 管 理 员 发 现 和 修 复 Web 应 用 安 全 隐 患 的 过 程 ; 对 发 现 的 网 络 资 产 的 安 全 漏 洞 进 行 详 细 分 析 并 采 用 权 威 的 风 险 评 估 模 型 将 风 险 量 化, 给 出 专 业 的 解 决 方 案, 方 便 的 资 产 风 险 管 理 功 能, 帮 助 安 全 管 理 员 全 面 快 速 定 位 企 业 信 息 资 产 中 的 风 险 情 况 4.1 产 品 体 系 结 构 NSFOCUS RSAS 是 基 于 Web 的 管 理 方 式, 用 户 使 用 浏 览 器 通 过 SSL 加 密 通 道 和 系 统 Web 界 面 模 块 进 行 交 互, 方 便 用 户 管 理 NSFOCUS RSAS 采 用 模 块 化 设 计, 内 部 整 体 工 作 架 构 如 图 4.1 所 示 图 4.1 NSFOCUS RSAS 整 体 架 构 图 专 用 平 台 专 用 平 台 是 经 过 优 化 的 专 用 安 全 系 统 平 台, 具 有 很 高 的 安 全 性 和 稳 定 性 扫 描 核 心 模 块 - 5 - 密 级 : 完 全 公 开

扫 描 核 心 模 块 是 系 统 最 重 要 的 模 块 之 一, 它 负 责 完 成 目 标 的 探 测 评 估 工 作, 包 括 判 定 主 机 存 活 状 态 操 作 系 统 识 别 规 则 解 析 匹 配 等 漏 洞 知 识 库 漏 洞 知 识 库 包 含 漏 洞 相 关 信 息, 是 系 统 运 行 的 基 础, 扫 描 调 度 模 块 和 Web 管 理 模 块 都 依 赖 它 进 行 工 作 扫 描 结 果 库 扫 描 结 果 库 包 含 了 扫 描 任 务 的 结 果 信 息, 是 扫 描 结 果 报 告 生 成 的 基 础, 也 是 查 询 和 分 析 结 果 的 数 据 来 源 数 据 分 析 模 块 数 据 分 析 模 块 是 综 合 分 析 趋 势 分 析 和 报 表 合 并 的 统 计 信 息 的 数 据 来 源, 是 任 务 合 并 分 布 式 数 据 汇 总 之 后 的 结 果 风 险 管 理 模 块 管 理 员 通 过 此 模 块 可 以 对 网 络 风 险 进 行 全 方 位 管 理 定 位 和 分 析, 并 进 行 漏 洞 审 计, 自 动 验 证 漏 洞 是 否 修 复 另 外, 通 过 资 产 管 理, 能 够 方 便 用 户 掌 握 风 险 分 布 情 况 定 位 风 险 和 高 效 实 施 风 险 降 低 或 规 避 措 施 Web 界 面 模 块 Web 界 面 模 块 负 责 和 用 户 进 行 交 互, 配 合 用 户 的 请 求 完 成 管 理 工 作 Web 管 理 模 块 包 含 多 个 子 模 块 共 同 完 成 用 户 的 请 求, 其 主 要 子 模 块 有 : 任 务 管 理 子 模 块 完 成 用 户 评 估 任 务 的 管 理 工 作 报 表 子 模 块 读 取 扫 描 结 果 库, 并 根 据 漏 洞 描 述 信 息 和 解 决 方 案 生 成 扫 描 报 表 策 略 参 数 模 块 完 成 评 估 任 务 需 要 扫 描 的 具 体 漏 洞 模 板 的 添 加 具 体 漏 洞 的 选 取 模 板 修 改 和 删 除 ; 口 令 字 典 管 理 ; 报 表 输 出 模 板 管 理 ; 智 能 端 口 挖 掘 漏 洞 管 理 模 块 漏 洞 管 理 模 块 主 要 实 现 了 Open VM 漏 洞 管 理 工 作 流 程 支 持, 提 供 与 其 他 安 全 产 品 网 络 管 理 平 台 和 安 全 管 理 平 台 的 接 口 用 户 管 理 子 模 块 审 计 管 理 子 模 块 系 统 配 置 子 模 块 系 统 升 级 模 块 NSFOCUS RSAS 有 网 络 自 动 升 级 和 用 户 手 动 升 级 的 策 略, 系 统 的 各 个 模 块 都 可 以 通 过 升 级 模 块 进 行 升 级 辅 助 模 块 分 布 式 模 块 - 6 - 密 级 : 完 全 公 开

NSFOCUS RSAS 支 持 分 布 式 部 署 功 能 在 下 级 设 备 完 成 扫 描 得 到 结 果 数 据 后, 会 向 上 级 管 理 系 统 上 传 数 据, 数 据 传 输 过 程 中 使 用 SSL 加 密 传 输 通 道, 保 证 了 数 据 的 保 密 性 汇 总 的 数 据 可 以 进 行 集 中 统 一 的 分 析 WSUS 服 务 器 联 动 功 能 NSFOCUS RSAS 能 与 WSUS 服 务 器 进 行 联 动, 管 理 员 可 以 通 过 部 署 WSUS 服 务 器, 在 评 估 任 务 完 成 后, 自 动 修 复 发 现 的 风 险 漏 洞 扩 展 模 块 Web 应 用 扫 描 模 块 Web 应 用 扫 描 模 块, 是 专 门 面 向 Web 应 用 安 全 管 理 员 进 行 专 业 安 全 评 估 及 检 测 的 自 动 化 工 具 可 以 进 行 Web 应 用 Web 服 务 及 支 撑 系 统 等 多 层 次 全 方 位 的 安 全 漏 洞 扫 描 审 计 渗 透 测 试 和 辅 助 逻 辑 分 析, 全 面 发 现 各 类 安 全 隐 患, 提 出 针 对 性 的 修 复 建 议, 以 及 形 成 多 种 符 合 法 规 行 业 标 准 的 报 告 二 次 开 发 接 口 模 块 通 过 此 接 口 NSFOCUS RSAS 可 以 与 其 他 安 全 产 品 和 管 理 平 台 进 行 联 动, 以 便 于 统 一 的 平 台 管 理 4.2 漏 洞 管 理 绿 盟 科 技 基 于 最 新 漏 洞 管 理 工 作 流 程, 把 漏 洞 管 理 的 循 环 过 程 划 分 为 漏 洞 预 警 漏 洞 检 测 风 险 管 理 漏 洞 修 复 漏 洞 审 计 五 个 阶 段, 在 国 内 首 创 了 Open VM 工 作 流 程 平 台 基 于 这 个 开 放 平 台,NSFOCUS RSAS 产 品 将 漏 洞 管 理 理 念 贯 穿 于 整 个 产 品 实 现 过 程, 实 现 了 Open VM 的 绝 大 部 分 过 程 ; 同 时,NSFOCUS RSAS 通 过 多 种 二 次 开 发 接 口 与 其 他 安 全 产 品 协 作 来 完 全 实 现 Open VM 的 整 个 工 作 流 程 - 7 - 密 级 : 完 全 公 开

图 4.2 绿 盟 科 技 开 放 漏 洞 管 理 Open VM 过 程 图 4.2.1 漏 洞 预 警 绿 盟 科 技 有 一 支 专 业 的 安 全 研 究 团 队 (NSFOCUS 安 全 小 组 ), 从 公 司 成 立 之 初 到 现 在, 一 直 从 事 信 息 安 全 服 务 和 信 息 安 全 技 术 的 研 究, 在 信 息 安 全 领 域 有 着 丰 富 的 理 论 和 实 践 经 验 NSFOCUS 安 全 小 组 致 力 于 安 全 前 沿 技 术 的 研 究, 其 中 包 含 了 对 系 统 漏 洞 发 现 验 证 和 提 供 应 急 响 应 服 务 的 能 力, 目 前 在 国 际 上 已 经 有 相 当 的 知 名 度 NSFOCUS 安 全 小 组 能 够 对 重 要 漏 洞 进 行 及 时 预 警, 重 大 漏 洞 的 升 级 在 全 球 首 次 发 现 后 两 天 内 完 成 4.2.2 漏 洞 检 测 依 靠 业 界 强 劲 的 底 层 扫 描 引 擎 NSSE(NSFOCUS Scanning Engine), 通 过 信 息 重 整 化 (NSFOCUS Intelligent Profile, 简 称 NSIP) 技 术 开 放 端 口 服 务 的 智 能 识 别 检 测 规 则 依 赖 关 系 的 自 动 扫 描 等 技 术 的 运 用, 再 加 上 由 NSFOCUS 安 全 小 组 精 心 编 写 的 准 确 漏 洞 检 测 规 则,NSFOCUS RSAS 产 品 拥 有 近 乎 完 美 的 准 确 性 扫 描 速 度 和 覆 盖 度 - 8 - 密 级 : 完 全 公 开

4.2.3 风 险 管 理 NSFOCUS RSAS 产 品 采 用 风 险 管 理 模 块 对 网 络 风 险 进 行 全 方 位 管 理 和 分 析, 管 理 员 通 过 此 模 块 可 以 对 所 有 信 息 资 产 设 备 进 行 资 产 风 险 管 理 对 大 规 模 网 络 用 户, 网 络 资 产 繁 多,IP 地 址 记 忆 非 常 繁 琐, 通 过 资 产 管 理 与 用 户 组 织 结 构 或 网 络 拓 扑 结 构 的 紧 密 结 合, 以 规 范 的 命 名 方 式 统 一 对 网 络 资 产 进 行 管 理 风 险 管 理 模 块 的 使 用, 方 便 用 户 掌 握 风 险 分 布 情 况 定 位 风 险 和 高 效 实 施 风 险 降 低 或 规 避 措 施 4.2.4 漏 洞 修 复 NSFOCUS RSAS 在 产 品 设 计 初 期 就 考 虑 到 漏 洞 修 复 问 题, 在 产 品 实 现 中 提 供 了 多 种 二 次 开 发 接 口 供 漏 洞 修 复 产 品 或 补 丁 管 理 产 品 使 用, 方 便 用 户 及 时 集 中 对 资 产 漏 洞 进 行 修 复 NSFOCUS RSAS 已 经 实 现 了 与 微 软 WSUS 服 务 器 的 联 动 功 能 4.2.5 漏 洞 审 计 用 户 在 实 际 的 漏 洞 修 复 过 程 中 往 往 很 难 确 认 自 己 的 漏 洞 是 否 真 正 修 复 针 对 这 种 情 况, NSFOCUS RSAS 提 供 了 漏 洞 审 计 功 能, 能 够 通 过 发 送 监 督 邮 件 的 方 式 来 督 促 相 应 的 资 产 管 理 员 对 漏 洞 进 行 修 复, 同 时 启 动 自 动 的 定 时 任 务 对 漏 洞 进 行 审 计, 提 高 了 管 理 人 员 手 工 验 证 漏 洞 是 否 修 复 的 效 率 4.3 产 品 特 色 4.3.1 基 于 用 户 行 为 模 式 的 管 理 架 构 作 为 用 户 体 验 性 很 强 的 产 品,NSFOCUS RSAS 始 终 秉 承 以 人 为 本 的 理 念, 在 产 品 设 计 过 程 充 分 考 虑 了 实 际 用 户 需 求 和 使 用 习 惯, 从 用 户 角 度 完 善 了 很 多 管 理 功 能 一 键 式 智 能 任 务 模 式 快 速 结 果 报 表 智 能 摘 要 技 术 等, 最 大 限 度 的 满 足 了 易 用 性 和 高 效 性 的 需 求 NSFOCUS RSAS 采 用 B/S 管 理 架 构, 能 够 以 SSL 加 密 通 讯 方 式 通 过 浏 览 器 来 远 程 进 行 管 理 NSFOCUS RSAS 的 专 用 硬 件 能 够 长 期 稳 定 地 运 行, 很 好 地 保 证 了 任 务 的 周 期 性 自 动 处 理 能 够 自 动 处 理 的 任 务 包 括 : 评 估 任 务 下 发 扫 描 结 果 自 动 分 析 处 理 和 发 送 系 统 检 测 插 件 的 自 动 升 级 等 同 时,NSFOCUS RSAS 支 持 多 用 户 管 理 模 式, 能 够 对 用 户 的 权 限 做 出 严 格 的 限 制, 通 过 权 限 的 划 分 可 以 实 现 一 台 设 备 多 人 的 虚 拟 多 机 管 理, 并 且 提 供 了 登 录 操 作 和 异 常 等 日 志 审 计 功 能, 方 便 用 户 对 系 统 的 审 计 和 控 制 - 9 - 密 级 : 完 全 公 开

4.3.2 权 威 完 备 的 漏 洞 知 识 库 绿 盟 科 技 NSFOCUS 安 全 小 组 的 安 全 研 究 能 力 在 国 内 首 屈 一 指, 在 国 际 上 也 有 相 当 的 影 响 力 在 这 个 部 门 中, 有 多 位 专 职 的 研 究 员 进 行 漏 洞 跟 踪 和 漏 洞 前 瞻 性 研 究, 到 目 前 为 止 已 经 独 立 发 现 了 40 余 个 关 于 常 见 操 作 系 统 数 据 库 和 网 络 设 备 的 漏 洞, 并 且 为 国 际 上 的 知 名 网 络 安 全 厂 商 提 供 相 关 漏 洞 的 规 则 支 持 NSFOCUS 安 全 小 组 负 责 NSFOCUS RSAS 的 漏 洞 知 识 库 和 检 测 规 则 的 维 护, 除 定 期 的 每 两 周 的 升 级 外, 重 大 漏 洞 的 升 级 在 全 球 首 次 发 现 后 两 天 内 完 成 依 靠 专 业 的 NSFOCUS 安 全 小 组 多 年 的 研 究, 绿 盟 科 技 中 文 漏 洞 知 识 库 已 包 含 13500 多 条 安 全 漏 洞 信 息, 每 条 漏 洞 都 有 详 尽 的 描 述 和 修 补 建 议, 其 完 备 性 和 权 威 性 在 国 内 厂 商 内 首 屈 一 指 NSFOCUS RSAS 产 品 的 漏 洞 信 息 (2800 余 条 ) 精 选 于 该 漏 洞 知 识 库, 涵 盖 了 常 见 操 作 系 统 数 据 库 网 络 设 备 和 应 用 程 序 的 绝 大 多 数 可 以 远 程 利 用 的 漏 洞 以 及 本 地 安 全 漏 洞, 已 获 得 国 际 权 威 的 CVE 兼 容 性 认 证 4.3.3 高 效 智 能 的 漏 洞 识 别 技 术 NSIP(NSFOCUS Intelligent Profile) 是 绿 盟 科 技 智 能 Profile 漏 洞 识 别 技 术 的 简 称, 该 技 术 在 国 内 甚 至 在 国 际 上 都 是 非 常 领 先 的 漏 洞 识 别 技 术, 它 在 提 高 NSFOCUS RSAS 的 评 估 速 度 和 准 确 率 方 面 都 起 到 了 很 大 的 促 进 作 用 NSIP 漏 洞 识 别 技 术 就 是 采 用 多 种 技 术 通 过 不 同 途 径 收 集 目 标 系 统 的 多 种 信 息, 这 些 信 息 就 是 目 标 系 统 的 Profile, 在 进 行 漏 洞 评 估 过 程 中,Profile 不 断 地 对 中 间 的 结 果 数 据 进 行 调 整, 保 障 了 最 后 评 估 结 果 的 准 确 性 NSFOCUS RSAS 产 品 具 备 业 界 强 劲 的 底 层 扫 描 引 擎 NSSE(NSFOCUS Scanning Engine) 通 过 NSIP 技 术 开 放 端 口 服 务 的 智 能 识 别 检 测 规 则 依 赖 关 系 的 自 动 扫 描 等 技 术 的 运 用, 再 加 上 由 NSFOCUS 安 全 小 组 研 究 员 精 心 编 写 的 准 确 的 漏 洞 检 测 规 则,NSFOCUS RSAS 在 检 测 速 度 和 检 测 准 确 性 之 间 找 到 了 最 佳 的 平 衡 点 NSFOCUS RSAS 加 载 全 部 检 测 规 则, 对 同 样 的 目 标 系 统 进 行 检 测 时, 扫 描 速 度 为 常 见 同 类 产 品 3-5 倍, 同 时 仍 能 保 证 误 报 率 低 于 1% 4.3.4 集 成 专 业 的 Web 应 用 扫 描 模 块 NSFOCUS RSAS Web 应 用 扫 描 模 块, 是 绿 盟 科 技 研 究 团 队 多 年 深 入 研 究 当 前 各 种 流 行 的 Web 攻 击 手 段 的 技 术 结 晶, 是 专 门 面 向 Web 应 用 安 全 管 理 员 进 行 专 业 安 全 评 估 及 检 测 的 自 动 化 工 具 通 过 传 统 系 统 扫 描 功 能 与 Web 应 用 扫 描 功 能 相 结 合, 实 现 了 一 机 多 用 的 方 式, 节 省 用 户 投 资, 相 关 特 性 简 述 如 下 : - 10 - 密 级 : 完 全 公 开

专 业 : 模 拟 点 击 智 能 爬 虫 技 术 (NSFOCUS Intelligent Crawling, 简 称 NSIC) 主 动 挂 马 检 测 技 术 等 多 种 先 进 技 术 手 段, 为 Web 应 用 安 全 管 理 员 提 供 专 业 的 应 用 安 全 检 测 工 具 ; 全 面 : 提 供 Web 应 用 Web 服 务 及 支 撑 系 统 等 多 层 次 全 方 位 的 各 种 类 型 安 全 漏 洞 扫 描 审 计 渗 透 测 试 和 辅 助 逻 辑 分 析, 全 面 发 现 各 类 安 全 隐 患, 提 出 针 对 性 的 修 复 建 议 ; 高 效 : 通 过 嵌 入 式 安 全 操 作 系 统 优 化 的 扫 描 引 擎 以 及 高 效 智 能 爬 虫 技 术, 能 够 快 速 的 对 目 标 Web 应 用 系 统 进 行 细 粒 度 分 析 图 4.3 NSFOCUS RSAS Web 扫 描 模 块 展 示 图 4.3.5 基 于 实 践 的 风 险 管 理 及 展 示 单 纯 的 漏 洞 扫 描 产 品 因 没 有 与 资 产 关 联, 只 能 扫 描 出 漏 洞 并 不 能 反 映 客 户 环 境 中 资 产 的 真 实 的 风 险 状 况 NSFOCUS RSAS 将 资 产 漏 洞 和 威 胁 紧 密 结 合, 提 供 了 图 形 化 的 资 产 管 理 方 式, 并 通 过 可 量 化 的 模 型 呈 现, 帮 助 用 户 对 网 络 中 存 在 的 风 险 有 一 个 整 体 直 观 的 认 识, 做 到 真 正 意 义 上 的 风 险 量 化 在 每 次 安 全 评 估 之 前, 用 户 需 要 根 据 自 己 的 业 务 系 统 确 定 需 要 进 行 评 估 的 资 产, 并 且 划 分 资 产 的 重 要 性 NSFOCUS RSAS 根 据 用 户 的 资 产 及 其 重 要 性 会 自 动 在 其 内 部 对 目 标 评 估 系 统 建 立 基 于 时 间 和 基 于 风 险 等 多 种 安 全 评 估 模 型 在 对 目 标 完 成 评 估 之 后, 模 型 输 出 的 结 果 数 据 不 但 有 定 性 的 趋 势 分 析, 而 且 有 定 量 的 风 险 分 析, 用 户 能 够 清 楚 地 看 到 单 个 资 产 整 个 网 络 的 资 产 存 在 的 风 险, 还 能 够 看 到 网 络 中 漏 洞 的 分 布 情 况 风 险 级 别 排 名 较 高 的 资 产 不 同 操 作 系 统 和 不 同 应 用 漏 洞 分 布 等 详 细 统 计 信 息, 用 户 能 够 很 直 观 地 了 解 自 己 网 络 安 全 状 况 - 11 - 密 级 : 完 全 公 开

图 4.4 NSFOCUS RSAS 管 理 图 4.3.6 多 维 细 粒 度 的 统 计 分 析 NSFOCUS RSAS 产 品 不 仅 提 供 了 常 见 的 离 线 报 表, 还 提 供 了 强 大 的 在 线 报 表 系 统 同 时,NSFOCUS RSAS 为 您 提 供 了 一 个 实 用 的 报 表 控 制 器, 它 能 够 帮 助 客 户 更 好 地 获 得 有 效 信 息, 生 成 基 于 不 同 角 色 不 同 内 容 和 不 同 格 式 的 报 表 NSFOCUS RSAS 不 仅 站 在 管 理 员 的 角 度 分 析 结 果, 也 站 在 公 司 决 策 层 和 网 络 部 门 管 理 人 员 的 角 度 考 虑 报 告 的 生 成 NSFOCUS RSAS 从 宏 观 和 微 观 两 个 角 度 对 风 险 进 行 了 透 彻 地 分 析 宏 观 上,NSFOCUS RSAS 从 多 个 视 角 深 刻 反 映 网 络 的 整 体 安 全 状 况, 对 漏 洞 分 布 危 害 主 机 信 息 等 多 视 角 信 息 进 行 了 细 粒 度 的 统 计 分 析, 并 通 过 柱 状 图 饼 图 等 形 式, 直 观 清 晰 的 从 总 体 上 反 映 了 网 络 资 产 的 漏 洞 分 布 情 况 ; 微 观 上,NSFOCUS RSAS 对 检 测 到 的 每 个 漏 洞 都 提 供 了 详 细 的 解 决 方 案, 使 得 管 理 员 可 以 快 速 准 确 地 解 决 各 种 安 全 问 题, 同 时 支 持 用 户 自 己 输 入 关 键 字 进 行 相 关 信 息 的 检 索, 以 便 用 户 能 够 具 体 了 解 某 台 主 机 或 者 某 个 漏 洞 的 详 细 信 息 NSFOCUS RSAS 从 多 个 视 角 深 刻 反 映 网 络 的 整 体 安 全 状 况, 还 提 供 历 史 数 据 搜 索 与 任 意 扫 描 任 务 之 间 的 汇 总 查 看 和 对 比 分 析 功 能, 不 仅 对 单 个 扫 描 任 务 的 漏 洞 分 布 危 害 等 进 行 了 统 计 分 析, 还 对 多 个 扫 描 过 程 进 行 综 合 的 风 险 变 化 和 安 全 对 比 评 定, 为 网 络 安 全 状 况 的 评 定 和 未 来 网 络 建 设 提 供 了 强 有 力 的 决 策 支 持 - 12 - 密 级 : 完 全 公 开

图 4.5 NSFOCUS RSAS 综 述 信 息 图 4.4 典 型 应 用 方 式 目 前 用 户 网 络 环 境 中 常 见 的 网 络 拓 扑 结 构 有 : 总 线 拓 扑 星 形 拓 扑 树 形 拓 扑 和 混 合 型 拓 扑 针 对 上 述 用 户 常 见 的 网 络 拓 扑,NSFOCUS RSAS 为 用 户 量 身 定 做 两 种 部 署 方 式 : 独 立 式 部 署 和 分 布 式 部 署 4.4.1 独 立 式 部 署 中 小 型 企 业 电 子 商 务 电 子 政 务 教 育 行 业 和 独 立 的 IDC 等 用 户, 由 于 其 数 据 相 对 集 中, 并 且 网 络 拓 扑 结 构 较 为 简 单, 大 多 数 采 用 总 线 拓 扑 或 者 星 形 拓 扑, 建 议 使 用 独 立 式 部 署 方 式 独 立 式 部 署 就 是 在 网 络 中 只 部 署 一 台 NSFOCUS RSAS 设 备 在 共 享 式 工 作 模 式 下, 只 要 将 NSFOCUS RSAS 接 入 网 络 并 进 行 正 确 的 配 置 即 可 正 常 使 用, 其 工 作 范 围 通 常 包 含 客 户 公 司 的 整 个 网 络 地 址 用 户 可 以 从 任 意 地 址 登 录 NSFOCUS RSAS 系 统 并 下 达 扫 描 任 务, 扫 描 的 地 址 必 须 在 产 品 和 分 配 给 此 用 户 的 授 权 范 围 内 下 图 就 是 NSFOCUS RSAS 的 独 立 式 部 署 模 式 从 图 中 可 以 看 出, 无 论 在 公 司 何 处 接 入 NSFOCUS RSAS 设 备, 公 司 网 络 都 能 正 常 工 作, 完 成 对 网 络 的 安 全 评 估 - 13 - 密 级 : 完 全 公 开

图 4.6 NSFOCUS RSAS 独 立 式 部 署 结 构 图 4.4.2 分 布 式 部 署 对 于 电 信 运 营 商 金 融 行 业 证 券 行 业 政 府 行 业 军 工 行 业 电 力 行 业 和 一 些 规 模 较 大 传 统 企 业, 由 于 其 组 织 结 构 复 杂 分 布 点 多 数 据 相 对 分 散 等 原 因, 采 用 的 网 络 拓 扑 结 构 大 多 为 树 形 拓 扑 或 者 混 合 型 拓 扑 对 于 一 些 大 规 模 和 分 布 式 网 络 用 户, 建 议 使 用 分 布 式 部 署 方 式 在 大 型 网 络 中 采 用 多 台 NSFOCUS RSAS 系 统 共 同 工 作, 可 对 各 系 统 间 的 数 据 共 享 并 汇 总, 方 便 用 户 对 分 布 式 网 络 进 行 集 中 管 理 NSFOCUS RSAS 支 持 用 户 进 行 两 级 和 两 级 上 的 分 布 式 分 层 部 署 两 级 分 布 式 部 署 结 构 拓 扑 如 下 图 所 示 图 4.7 NSFOCUS RSAS 分 布 式 部 署 结 构 图 - 14 - 密 级 : 完 全 公 开

五. 结 论 每 年 都 有 数 以 千 计 的 网 络 安 全 漏 洞 被 发 现 和 公 布, 再 加 上 攻 击 者 手 段 的 不 断 变 化, 用 户 的 网 络 安 全 状 况 也 随 着 被 公 布 安 全 漏 洞 的 增 加 而 日 益 严 峻 因 此, 安 全 评 估 对 于 绝 大 多 数 用 户 都 是 不 容 忽 视 的, 用 户 必 须 比 攻 击 者 更 早 掌 握 自 己 网 络 安 全 漏 洞 并 且 做 好 适 当 的 修 补, 才 能 够 有 效 地 预 防 入 侵 事 件 的 发 生 事 实 证 明,99% 的 攻 击 事 件 都 是 利 用 未 修 补 的 漏 洞 许 多 已 经 部 署 防 火 墙 入 侵 检 测 系 统 和 防 病 毒 软 件 的 企 业 仍 然 饱 受 漏 洞 入 侵 之 苦, 其 中 有 更 多 受 到 蠕 虫 及 其 变 种 的 破 坏, 造 成 巨 大 的 经 济 损 失 归 根 结 底, 其 原 因 是 用 户 缺 乏 一 套 完 整 的 漏 洞 管 理 体 系, 未 能 落 实 定 期 评 估 与 漏 洞 修 补 工 作, 忽 视 了 漏 洞 的 管 理, 最 终 漏 洞 成 为 攻 击 者 实 施 攻 击 的 有 效 途 径, 甚 至 成 为 蠕 虫 攻 击 的 目 标 依 托 国 内 权 威 中 文 漏 洞 知 识 库 和 已 在 国 际 上 享 有 盛 名 的 NSFOCUS 安 全 小 组, 绿 盟 远 程 安 全 评 估 系 统 已 经 是 国 际 领 先 的 漏 洞 管 理 产 品 之 一, 配 合 专 业 的 Web 扫 描 模 块, 它 能 够 定 期 和 持 续 地 给 用 户 提 供 全 面 可 靠 的 安 全 评 估 服 务, 满 足 多 种 应 用 需 求, 并 且 提 供 完 整 的 漏 洞 管 理 机 制, 有 效 降 低 用 户 网 络 和 主 机 风 险, 更 大 限 度 地 保 证 用 户 网 络 和 系 统 的 安 全 性 和 稳 定 性 - 15 - 密 级 : 完 全 公 开