数信安科技
芯片:龙芯/飞腾/海光 (麒麟软件)
企业安全管理问题
随着信息系统越来越复杂,导致系统脆弱性的种类及数量呈现爆炸性增长。
近年来,利用漏洞进行攻击的事件逐年增加,攻击形式从单一简单攻击,逐渐发展为组织复杂攻击。攻击手法多变,但攻击仍然会利用系统脆弱性。常见的脆弱性包含操作系统漏洞、应用漏洞、弱口令、网站漏洞、系统配置脆弱点等。
面对如此情况,网络安全管理人员,使用传统的漏洞扫描系统已经很难完成信息系统脆弱性的发现及修复。
随着信息化的发展,很多企业多建立了跨地域的办公网络,安全要求集中监控,那么要求脆弱性扫描类产品能够支持分布式部署,集中化监控。另外,虚拟化技术的发展,云平台的建设,IPV6网络的普及等各种新技术的发展,要求网络脆弱性扫描系统适应新的环境。
网络脆弱性扫描系统建设需求
? 设备或系统种类繁多
安全运维人员需要面对种类繁多的设备或应用,如何管理这些设备和应用的配置,是他们在安全运维过程中遇到的巨大问题和挑战。
而且,由于需管理的设备分布范围广、分属不同的业务系统,如何能快捷、方便的收集和分析这些脆弱性,则成为横亘在安全运维人员面前的一个巨大难题。
配置管理方面,日常运维人员需要收集和分析各种主机系统、网络设备、数据库系统以及其它中间件(如Weblogic、Websphere等)的配置;这些配置的收集和分析存在以下问题:
1. 部署位置多种多样
2. 配置的表现形式和存储样式不尽相同,如有的在配置文件中、有的在注册表中;有的配置文件是一般文本,而有的又是XML形式
3. 采集过程中可能还需要穿越网关设备或堡垒主机
4. 采集时还需要一些辅助的命令或设置,如采集Oracle时,需要知道实例名等
由于配置在形式上存在千差万别,如何准确地分析则成为困难的事情。
? 配置标准难于统一
目前,由于业界还没有形成统一的配置问题审计的行业标准,因此各厂商提出的标准也是不一而足,而且这些标准也是被频繁地修改,造成维护和定位困难;一般用户很难自己去跟踪和修订标准。
就当前而言,我们能接触到的标准就包括了CIS(来自美国)、中国石化、中国移动信息管理部、中国移动、中国电信以及行业积累标准;这些标准不仅在支持的设备类型和应用类型上存在差异,就是针对几乎相同的检查点(配置项)而言,做法也不尽相同。
上述的差异造成研究、开发、维护安全配置基线是一项工作量巨大的任务。
? 配置管理自动化程度低
以往,对于设备或应用的配置审计,一般都是通过人工方式进行,仅在上线前进行一次评估(安全加固),这样做的缺点是显而易见的:
1. 纯粹依赖手工方式,效率低下
2. 在设备或应用上线后,不能定时地或经常性地进行评估,从而无法反映现网设备或应用的配置情况,这导致系统存在巨大的安全隐患(如未能按口令复杂度设置管理员账号)结果比较零散,只能依赖于人工汇总。
? 网站漏洞
随着网络的不断发展,Web应用系统呈现出爆炸式的增长,由于WEB应用系统的易用性,越来越多的企业在电子办公上倾向于使用WEB应用系统。然而Web应用系统在被广泛应用的同时,因其互联、开放等特性,更容易遭受黑客的攻击,虽然企业网络安全基础设施的建设已经初具规模,但是仍然无法抵御针对WEB应用系统漏洞的攻击。据CNCERT统计,2016年,我国82072个网站存在被植入后门的情况,其中2361个为政府网站。Web应用被攻击可能给提供或接受服务者造成威胁如:泄漏客户敏感数据、web数据被篡改导致发布非法言论、web网站成为钓鱼平台导致用户资金账户被盗等,根据Gartner的数据分析,80%基于WEB的应用系统或多或少都存在安全问题,其中很大一部分是相当严重的问题。WEB应用系统的安全性越来越引起人们的高度关注。那么要求,网站漏洞扫描具有主流安全漏洞扫描的能力,包含CGI攻击、LFI、RFI、REDIRECT、敏感信息泄露、目录遍历、SQL注入、跨站攻击、暗链攻击等漏洞类型。通过任务的形式可以进行实时脆弱性扫描,也可以进行定时巡检,提供7*24小时网站脆弱性监控。并能够对网站进行脆弱性评估,对网站的安全性一目了然
? 系统漏洞及弱口令
1、系统种类繁多,漏洞隐藏较深
2、漏洞披露逐年上升,种类庞大
3、黑客常利用弱口令进行攻击,窃取企业机密
网络脆弱性扫描系统的目标和定位
为了解决以上安全配置和漏洞管理的问题,经过多年努力,研发了拥有自主知识产权的专业网络脆弱性扫描产品——脆弱性扫描系统。它协助用户实现企业内安全配置和漏洞的集中采集、风险分析、处理的工作,提供分布式的部署和管理方式,是企业日常信息安全工作的重要支撑。
目标
网络脆弱性扫描系统主要解决企业日益繁重的安全漏洞及安全配置管理问题,该系统的主要目标是实现各类配置脆弱性(安全漏洞、弱口令、网站漏洞、配置违规、配置变更)的智能发现、集中管理和有序运维。
? 智能发现
全面集中扫描和分析用户各类信息系统或设备存在的安全脆弱性问题,具备自动化的采集、分析、处理、报告能力。以用户业务为视角,自动地完成以往需安全专家才能完成的风险分析工作,提供全面、详尽、清晰的检查报告管理功能,并能对不同的检查结果进行比对
? 集中管理
以资产为视角,准确定位并呈现该资产的配置脆弱性问题,并可集中管理各类安全资产的配置基线。
? 有序运维
建立日常运维工作的服务保障体系;包括各种资产配置库、报表管理、安全知识管理、工单管理等。具备安全作业计划的制订和维护管理功能,通过技术手段提高日常安全运维管理的工作效率,提高安全运维作业计划的自动化程度,实现包括安全作业计划的自动调度、自动执行、自动核查、自动报告等功能,实现主动安全工作自动化。
产品定位
网络脆弱性扫描系统定位为企业配置脆弱性的集中检查和管理中心。作为统一集中的安全配置和安全漏洞的检查和管理系统,能够准确、快速、及时地发现、汇总企业中不同厂商不同种类的安全设备、网络设备、主机、操作系统、中间件的漏洞及安全配置问题
网络脆弱性扫描系统的总体架构
脆弱性扫描系统协助用户实现企业内安全配置和漏洞的集中采集、风险分析、处理的工作,它主要包括五大引擎:
网络脆弱性扫描系统的引擎组成
配置合规检查:全面集中检查和分析各类系统存在的本地安全配置问题,减轻用户因对不同设备分散管理而带来的冗余工作。
基线变更检查:计算机系统的文件、端口、进程等的变化信息,以监控系统的变更状况发现其中的异常,以便及时采取相应措施保护系统安全。
系统漏洞扫描:全面集中扫描和分析用户各类信息系统或设备存在的安全漏洞问题,以用户业务为视角,自动地完成以往需安全专家才能完成的风险分析工作。
弱口令扫描:扫描系统及应用存在的弱口令。
WEB漏洞扫描:全面集中扫描和分析站点的安全漏洞问题,以用户业务为视角,自动地完成以往需安全专家才能完成的风险分析工作。
网络脆弱性扫描系统功能架构
安全基线管理
在网络脆弱性扫描系统中,安全基线是指各类系统、设备的配置标准;而安全配置的违规问题是指实际的系统或设备的配置违反了基线的要求。例如是否存在不允许的用户账号、账号的口令策略存在一定问题(不满足复杂度、长度、更改时间的要求)等等。
安全基线管理的作用主要体现在如下几个方面:
1. 安全评估工作常态化;
2. 有利于提高设备自身防护的能力;
3. 为安全风险评估提供基础材料。
安全基线可被划分为账号类、口令类、授权类、日志配置类、路由配置类等等,例如:应删除或锁定与设备运行、维护等工作无关的账号等。
目前,支持的系统或设备主要包括:
1. 主流操作系统(Linux/Unix、Windows等)
2. 主流路由器/交换机
3. 主流防火墙
4. 主流数据库
5. 主流Web中间件
安全基线主要分以下模块:
安全基线违规问题查看:列表查看登录用户权限范围存在的安全基线违规问题,显示某违规问题在哪些资产上存在;
安全基线检查任务管理:任务管理包括三个部分:任务列表、正在执行的任务以及已完成的任务,检查报告可以导出为Word、PDF、HTML等格式;
策略管理:用户可以自定义基线检查策略。可通过选择系统内的基线项进行组合。另外可设定用户自定义基准值,例如口令长度要求等。
变更检查管理
变更管理检查计算机系统的文件、端口、进程等的变化信息,以监控系统的变更状况发现其中的异常,以便及时采取相应措施保护系统安全。
目前,支持的系统或设备主要包括:
1. 主流操作系统(Linux/Unix、Windows)
2. 主流路由器/交换机
3. 主流防火墙
变更管理主要分以下模块:
配置变更项问题查看:列表查看登录用户权限范围存在的配置项变更问题,显示资产上存在哪些配置项变更的情况;
任务管理:任务管理包括三个部分:任务列表、正在执行的任务以及已完成的任务,检查报告可以导出为Word、PDF、HTML等格式;
策略管理:用户可以自定义检查策略。可设定用户自定义配置检查项,例如文件、目录、端口、进程等。
漏洞管理
所谓漏洞是脆弱性的一个子集,专指可通过扫描器发现的脆弱性,具有国际上标准的CVE编号及CNVD、CNNVD、Bugtrag标准的支持。
系统支持分布式的漏洞扫描模式以及集中的漏洞分析、处理。
在漏洞管理中,能够集中查看、统计系统存在的系统漏洞。还可以制定扫描策略及任务,对系统内安全资产进行一次或周期性的扫描。
系统支持设置IPv4地址段或选择资产的方式扫描对象;也可以支持对单个IPv6地址对象扫描。
漏洞管理主要分以下模块:
漏洞查看:列表查看登录用户权限范围存在的漏洞,显示某漏洞在哪些资产上存在;可显示相关漏洞的全部详细情况;
扫描任务管理:漏洞任务管理包括三个部分:任务列表、正在执行的任务以及已完成的任务,报告可以导出为Word、PDF、HTML等格式;对于正在执行的任务用户可以停止、暂停或继续任务的执行;
扫描策略管理:用户可以自定义漏洞扫描策略(通过选择系统内存在的插件)。
系统提供定期的扫描插件升级服务。
弱口令扫描
通常认为,容易被猜测或者破解工具破解到的口令均为弱口令。假如信息系统中存在弱口令,就行家门钥匙放在家门口的垫子下面一样。目前脆弱性扫描系统具备弱口令扫描引擎,可以发现信息系统中存在的弱口令。具体引擎优势如下:
1、支持10中系统、服务弱口令扫描;
2、用户可以自定义用户名字典及密码字典;
3、支持用户名加通配符方式弱密码库扫描;
4、支持弱口令查询,输入相关查询字段进行查询弱密码支持。
另外对于扫描到的弱口令还可以应用的系统漏洞扫描中,发现弱口令设备上更多的脆弱点。
WEB漏扫
随着网络科技的不断变更发展,相对于C/S架构软件的高成本高维护性,脚位便捷的B/S架构WEB应用广泛应用于政府部门、网上购物、银行交易、虚拟货币等领域。伴随而来的则是突出的安全问题。据知名站点(EXPLOIT-DATABASE)数据统计,至2017年底已发现的WEB漏洞数量大搞22600多条,数量日渐增多。
常见的WEB漏洞为:
l 网站挂马:使访问该网站的用户感染木马,对网站信誉造成极大的不良影响。
l 数据泄露:泄露该网站所有用户信息,直接影响到用户的信息、财产安全问题。
l 数据篡改:篡改者在网站上留下虚假信息,对用户实施诈骗手段。
l 钓鱼网站:伪装成银行、购物网站等,获取用户信息。
l SQL注入:通过SQL注入恶意语句,导入数据库无法正常工作,以达到不法目的。
l … …
扫描方式:
通过深度探测端口与服务扫描网站站点信息遍历整个WEB框架目录结构,自动分析产品源代码,通过匹配插件库与测试验证来证明漏洞的存在,扫描结果漏报误报率接近零。
在WEB漏洞管理中,能够集中查看、统计站点存在的WEB漏洞,还可以指定扫描策略及任务,对域名内站点安全进行一次或周期性的扫描。
通过内置或指定的扫描任务,配置任务周期来执行扫描指定的站点、资产、URL等。
执行结果的任务产生任务报告,报告内指出发现哪些漏洞、次数,在某个设备某个URL上发现漏洞,并可导出报告文件。
可在漏洞列表中查询相关漏洞信息,并可查看该漏洞解决方案。
整体概览
安全仪表板是系统风险的集中展示区域,也是系统展现给用户的第一个视觉界面;系统支持如下类型的仪表板:
1. 整体安全概况:系统整体风险状况和受攻击的情况
2. 系统评分:漏洞、基线、变更、站点漏洞、弱口令五类评分情况
3. 告警分布:系统内告警的产生趋势
4. 脆弱性概况:各种脆弱性情况及趋势图。
5. 最近任务:各类任务的执行情况
6. 设备风险TOP10
个人工作台
个人工作台是登录用户用于便捷操作的窗口。它固定的放置于页面的一个位置(通常是顶部),起到管理入口的作用。它主要包含了与登录用户相关的一些信息,但需对用户的权限进行过滤,其功能主要包括:
1. 对象快捷创建菜单,菜单中包含:快速任务和专家模式任务
2. 个人待办事宜:工单、告警
3. 通知功能:任务完成情况
资产管理
安全资产是网络脆弱性扫描系统管理对象。与ISO27001的关于资产的定义略有不同,脆弱性扫描系统中的资产是特指具有IP地址的IT类设备及其之上运行的、可管理的服务、应用。
一般而言,安全管理中的资产具备如下两类属性:
1. 基本属性:名称、编号、系统类型(产品类型、操作系统类型、版本等)、IP地址(支持IPv4核IPv6格式)、响应人(出现安全问题应由何人处理)、登录凭证(获取配置、安全基线检查等使用)等;
2. 安全属性:完整性、可用性、保密性、风险信息、开放端口、安全事件、漏洞、安全基线违规问题等。
系统的资产管理支持用户录入、导入或自动发现资产。
为了处理不同网络的资产同IP问题,系统还支持对于网络和IP地址段的管理。
为了用户便于集中、灵活地管理所辖范围内的资产,系统支持用户自定义资产管理视图。
告警管理
所谓告警是指用户特别需要关注的安全问题,这些问题来源于高危漏洞、安全基线违规问题等。
告警管理中包括了如下功能:
1. 告警监控:监控系统内存在的各种告警;用户可以通过定义过滤器以监控需要特别关注的告警信息;用户也可以根据个人需求,设置告警的提示音、界面显示方式等;
2. 告警处理:处理监控列表中相关告警;针对告警,用户可以清除、确认(不能确定是否需要处理)或转工单;
3. 策略定义:用户可以定义各类告警产生的策略(系统内置了部分策略);在告警策略中可以设定对于安全数据的筛选条件、归并字段、时长和次数以及命中后产生何种响应;响应包括包含发送邮件、发送Syslog或SNMP Trap、执行外部程序或脚本、暂存数据(用户可以将数据保存在临时表中作为其它策略的输入)等。
报表管理
报表管理的作用为展示系统安全工作的结果。报表内容包含各种信息的统计情况,包括:告警报表、资产报表、安全基线报表、配置变更报表、漏洞报表、工单报表等。
用户可以定义相关条件以生成报表,它们均可以导出为PDF、Word、HTML等格式,如下图所示:
图3网络脆弱性扫描系统的报表管理
知识库管理
知识库管理为系统运行和维护提供了知识来源以及安全问题的处理依据、方法或参考,目前支持如下几类:
1. 安全基线类:各种操作系统、网络设备、防火墙、Web中间件及数据库等可被威胁所利用而导致安全性问题的标准描述及解决方案;
2. 漏洞类:通过扫描器发现的在操作系统、软件、协议的具体实现或系统安全策略上存在的缺陷的描述及解决方案;
3. 安全经验类:基于系统安全事件、漏洞、配置问题等信息综合生成的安全警示信息的描述、告警触发建议及解决方案等。
用户可以通过全文检索功能对系统提供的安全知识进行查询。
系统管理
系统管理的主要功用在于管理支撑平台正常运行的各种基础功能和参数配置。主要功能有:用户管理、系统参数管理、升级管理、许可证管理、日志管理、口令策略管理等、常用工具。
智能云端接入
网络脆弱性扫描系统提供云端服务功能,可以实时更新系统插件库,缩短脆弱性发现周期;另外,通过云端可以获得定制化的安全运维支撑服务。
一键脆弱性扫描
针对资产一键执行五合一任务,并提供用户资产整体脆弱性报告,包含安全基线违规报告、变更检查报告、系统漏洞报告、WEB漏洞报告、弱口令报告。
设备智能探测
自动针对接入的网络进行设备探测,构建安全设备列表;针对指定的设备进行智能网站发现,并主动探测网站上的资源。
脆弱性自动巡检
提供定时脆弱性巡检服务,省去用户人工参与环节,较少脆弱性发现周期。
脆弱性复查
针对严重的脆弱性,系统主动及时报出告警,提示用户修复,对于完成修复的告警,可以进行一键复查,检测脆弱性修复的效果。
网站登录录制
对于网站扫描提供登录扫描,创新的实现了零配置既可以完成网站登录所需信息的录制。
建设目标
通过安全建设项目,建立集中、智能化的网络脆弱性扫描系统,实现对全网资产脆弱性采集、分析和管理,实现安全问题的流程化处理,支持日常安全运维工作的开展。
预期效果
1) 用户能从系统中查看采集到的安全配置问题;
2) 用户能从系统中查看采集到的安全漏洞;
3) 用户能从系统中看到安全基线标准并可维护管理;
4) 用户可定制自动化的采集任务和运维任务,无需人工干预。通过对日常安全维护工作的信息化,实现自动化的安全维护,提高安全运维的效率;
5) 通过任务的报告分析,用户能看到需要处理的安全问题及处理建议;
6) 通过对安全问题的流程化处理,落实安全责任;
7) 通过辅以知识,将复杂的安全问题简单化,协助用户处理安全问题;
微信客服(09:00至21:00)
电话 : 400-040-9989
