網(wǎng)絡(luò )脆弱性?huà)呙柘到y|漏洞掃描系統
網(wǎng)絡(luò )脆弱性?huà)呙柘到y |
一、漏洞管理存在的問(wèn)題 漏洞指硬件、軟件、協(xié)議的具體實(shí)現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪(fǎng)問(wèn)或破壞系統。如在Intel Pentium芯片中存在的邏輯錯誤,在Sendmail早期版本中的編程錯誤,SSH協(xié)議上的緩沖區溢出攻擊,在NFS協(xié)議中認證方式上的弱點(diǎn),在Unix系統管理員設置匿名FTP服務(wù)時(shí)配置不當的問(wèn)題都可能被攻擊者使用,威脅到系統的安全。因而這些都可以認為是系統中存在的安全漏洞。 目前,攻擊者未必會(huì )利用零日漏洞,實(shí)際上,大多數攻擊都是利用的已知漏洞。對于攻擊者來(lái)說(shuō),IT系統的各方面都會(huì )存在脆弱性,這些方面包括常見(jiàn)的操作系統漏洞、數據庫漏洞、應用系統漏洞、弱口令等,也包括容易被忽視的錯誤安全配置問(wèn)題,以及違反最小化原則開(kāi)放的不必要的賬號、服務(wù)、端口等。二、傳統手段無(wú)法解決 而一般安全管理員不會(huì )經(jīng)常掃描所管理的系統或設備;另外,隨著(zhù)大量IT系統被廣泛使用,大、中型企業(yè)還存在為數眾多的下屬部門(mén),這對漏洞檢查的廣度和深度提出了更高的要求,而傳統的漏洞檢查系統無(wú)法滿(mǎn)足這些要求。簡(jiǎn)而言之,傳統的漏洞檢查工具或系統存在如下幾個(gè)方面的問(wèn)題: 1. 檢查漏洞缺乏一定的實(shí)時(shí)性,待發(fā)現系統有漏洞被利用而造成信息泄露或服務(wù)停止,方采取措施進(jìn)行防護; 2. 只能針對各類(lèi)系統開(kāi)放的端口進(jìn)行遠程檢查,無(wú)法進(jìn)行本地方式的漏洞掃描,故檢查結果十分有限; 3. 不能檢查系統的配置情況,如口令策略、日志設置、訪(fǎng)問(wèn)控制策略設置等; 4. 無(wú)法集中化地管理、分析和統計漏洞問(wèn)題; 5. 無(wú)法對存在漏洞的系統或設備進(jìn)行風(fēng)險評估; 6. 無(wú)法突出用戶(hù)需要關(guān)注的漏洞或安全配置上存在的問(wèn)題。 上述問(wèn)題所帶來(lái)的后果就是,用戶(hù)無(wú)法集中化地管理、評估、修補各種漏洞。三、產(chǎn)品介紹 漏洞掃描管理系統是安徽靈狐網(wǎng)絡(luò )科技自主研發(fā)的擁有自主知識產(chǎn)權的專(zhuān)業(yè)漏洞管理產(chǎn)品。它協(xié)助用戶(hù)實(shí)現企業(yè)內漏洞的集中采集、風(fēng)險分析、處理的工作,它提供分布式的部署和管理方式,它是企業(yè)日常信息安全工作的重要支撐。
漏洞問(wèn)題管理:全面集中掃描和分析用戶(hù)各類(lèi)信息系統或設備存在的安全漏洞問(wèn)題,以用戶(hù)業(yè)務(wù)為視角,自動(dòng)地完成以往需安全專(zhuān)家才能完成的風(fēng)險分析工作。 掃描報告管理:提供全面、詳盡、清晰的掃描報告管理功能,并能對不同的掃描結果進(jìn)行比對。 安全運維管理:建立日常運維工作的服務(wù)保障體系;包括各種資產(chǎn)配置庫、報表管理、安全知識管理等 它主要解決企業(yè)日益繁重的安全配置管理問(wèn)題。作為統一的安全配置核查和管理系統,能夠準確、快速、及時(shí)地發(fā)現、匯總企業(yè)中不同廠(chǎng)商不同種類(lèi)的網(wǎng)絡(luò )設備、主機、防火墻、數據庫、中間件的安全配置問(wèn)題,它主要包括如下主要功能: 任務(wù)制定:提供靈活的功能用于制定不同類(lèi)型或周期的檢查任務(wù),任務(wù)中可以方便地設置檢查對象和檢查策略。 采集分析:全面集中檢查和分析各類(lèi)系統存在的本地安全配置問(wèn)題,減輕用戶(hù)因對不同設備分散管理而帶來(lái)的冗余工作。 系統加固:提供詳盡的、可實(shí)際運用的系統加固方案,以指導用戶(hù)對產(chǎn)生的安全問(wèn)題進(jìn)行解決。四、產(chǎn)品功能 漏洞掃描管理系統是由綜合展現層、業(yè)務(wù)功能層、分析處理層、采集層等部分組成,如下圖所示:
在漏洞掃描管理系統中,Web主要由漏洞管理、整體概覽、個(gè)人工作臺、資產(chǎn)管理、告警管理、報表管理、知識庫管理、系統管理組成。 4.1 漏洞管理 所謂漏洞是脆弱性的一個(gè)子集,專(zhuān)指可通過(guò)掃描器發(fā)現的脆弱性,其中部分具有國際上標準的CVE編號;而如企業(yè)沒(méi)有安全管理負責人之類(lèi)的脆弱性則不被認為是漏洞。 系統支持分布式的漏洞掃描模式以及集中的漏洞分析、處理。 在漏洞管理中,能夠集中查看、統計系統存在的系統漏洞。還可以制定掃描策略及任務(wù),對系統內安全資產(chǎn)進(jìn)行一次或周期性的掃描。 系統支持設置IPv4地址段或選擇資產(chǎn)的方式掃描對象;也可以支持對單個(gè)IPv6地址對象掃描。 漏洞管理主要分以下模塊: 1. 漏洞查看:列表查看登錄用戶(hù)權限范圍存在的漏洞,顯示某漏洞在哪些資產(chǎn)上存在;可顯示相關(guān)漏洞的全部詳細情況; 2. 掃描任務(wù)管理:漏洞任務(wù)管理包括三個(gè)部分:任務(wù)列表、正在執行的任務(wù)以及已完成的任務(wù),報告可以導出為Word、PDF、HTML等格式;對于正在執行的任務(wù)用戶(hù)可以停止、暫?;蚶^續任務(wù)的執行; 3. 掃描策略管理:用戶(hù)可以自定義漏洞掃描策略(通過(guò)選擇系統內存在的插件)。 4. 系統提供定期的掃描插件升級服務(wù)。 4.2 安全儀表板 安全儀表板是系統風(fēng)險的集中展示區域,也是系統展現給用戶(hù)的第一個(gè)視覺(jué)界面;它支持以TAB頁(yè)及微件(Widget)形式展現,用戶(hù)也可對儀表的布局和內容進(jìn)行定義和調整。 系統支持如下類(lèi)型的儀表板: 1. 整體安全概況 2. 安全資產(chǎn)概況 3. 告警概況 4. 脆弱性概況 5. 任務(wù)概況4.3 個(gè)人工作臺 個(gè)人工作臺是登錄用戶(hù)用于便捷操作的窗口。它固定的放置于頁(yè)面的一個(gè)位置(通常是頂部),起到管理入口的作用。它主要包含了與登錄用戶(hù)相關(guān)的一些信息,但需對用戶(hù)的權限進(jìn)行過(guò)濾,其功能主要包括: 1. 對象快捷創(chuàng )建菜單,菜單中包含:資產(chǎn)、用戶(hù)、任務(wù) 2. 個(gè)人待辦事宜:告警 3. 通知功能:任務(wù)完成情況4.4 資產(chǎn)管理 安全資產(chǎn)是漏洞掃描管理系統管理對象。與ISO27001的關(guān)于資產(chǎn)的定義略有不同,漏洞掃描管理系統中的資產(chǎn)是特指具有IP地址的IT類(lèi)設備及其之上運行的、可管理的服務(wù)、應用。 一般而言,安全管理中的資產(chǎn)具備如下兩類(lèi)屬性: 1. 基本屬性:名稱(chēng)、編號、系統類(lèi)型(產(chǎn)品類(lèi)型、操作系統類(lèi)型、版本等)、IP地址(支持IPv4核IPv6格式)、響應人(出現安全問(wèn)題應由何人處理)、登錄憑證、上架信息等; 2. 安全屬性:完整性、可用性、保密性、風(fēng)險信息、開(kāi)放端口、漏洞信息題等。 系統的資產(chǎn)管理支持用戶(hù)錄入、導入或自動(dòng)發(fā)現資產(chǎn)。 為了處理不同網(wǎng)絡(luò )的資產(chǎn)同IP問(wèn)題,系統還支持對于網(wǎng)絡(luò )和IP地址段的管理。 為了用戶(hù)便于集中、靈活地管理所轄范圍內的資產(chǎn),系統支持用戶(hù)自定義資產(chǎn)管理視圖。4.5 告警管理 所謂告警是指用戶(hù)特別需要關(guān)注的安全問(wèn)題,這些問(wèn)題來(lái)源于高危漏洞。 告警管理中包括了如下功能: 1. 告警監控:監控系統內存在的各種告警;用戶(hù)可以通過(guò)定義過(guò)濾器以監控需要特別關(guān)注的告警信息;用戶(hù)也可以根據 個(gè)人需求,設置告警的提示音、界面顯示方式等; 2. 告警處理:處理監控列表中相關(guān)告警;針對告警,用戶(hù)可以清除、確認(不能確定是否需要處理); 3. 策略定義:用戶(hù)可以定義各類(lèi)告警產(chǎn)生的策略(系統內置了部分策略);在告警策略中可以設定對于安全數據的篩選條件、歸并字段、時(shí)長(cháng)和次數以及命中后產(chǎn)生何種響應;響應包括包含發(fā)送郵件、發(fā)送Syslog或SNMP Trap、執行外部程序或腳本等。4.6 報表管理 報表管理的作用為展示系統安全工作的結果。報表內容包含各種信息的統計情況,包括:告警報表、資產(chǎn)報表、漏洞報表等。 4.7 知識庫 知識庫管理為系統運行和維護提供了知識來(lái)源以及安全問(wèn)題的處理依據、方法或參考,目前支持如下幾類(lèi): 1. 漏洞類(lèi):通過(guò)掃描器發(fā)現的在硬件、軟件、協(xié)議的具體實(shí)現或系統安全策略上存在的缺陷的描述及解決方案; 2. 安全經(jīng)驗類(lèi):基于系統安全事件、漏洞、配置問(wèn)題等信息綜合生成的安全警示信息的描述、告警觸發(fā)建議及解決方案等。 用戶(hù)可以通過(guò)全文檢索功能對系統提供的安全知識進(jìn)行查詢(xún)。五、產(chǎn)品優(yōu)勢 5.1 簡(jiǎn)便易用的界面風(fēng)格 系統通過(guò)提供入門(mén)向導、個(gè)人工作臺、任務(wù)通知、快捷菜單等方式,為用戶(hù)提供了簡(jiǎn)單易用的界面,即使是初次使用系統,也完全能在較短的時(shí)間內掌握。 5.2 靈活通用的系統設計 1. 可擴展的漏洞掃描功能 2. 可配置的安全儀表板 3. 可配置的系統功能菜單 4. 支持用戶(hù)自定義的檢查策略和告警策略 5. 支持靈活的部署方式5.3 極度快速的處理性能 支持極高的漏洞掃描速度,而且網(wǎng)絡(luò )占用帶寬小 5.4 基于本地掃描的深度解決方案 能檢測本地應用程序、動(dòng)態(tài)庫及配置存在的問(wèn)題,從而極大地對漏洞問(wèn)題評估提供了手段。 |