《天镜漏扫产品培训》由会员分享,可在线阅读,更多相关《天镜漏扫产品培训(50页珍藏版)》请在金锄头文库上搜索。
1、1天镜漏扫系列产品培训21 安全漏洞现状分析2 天镜漏扫系列产品介绍3 安装及使用4 常见问题3安全漏洞现状分析安全漏洞现状分析4当前漏洞数量剧增NVD =国家计算机漏洞数据库 CERT =专门处理计算机网络安全问题的组织 OSVDB =开放源码的漏洞数据库5病毒事件外部系统入侵敏感信息窃取拒绝服务攻击渗透测试来源:CSI/FBI 2007调查报告金融欺诈 Web攻击6l什么是安全漏洞?在计算机安全学中,存在于一个系统内的弱点或缺陷,系统对一个特定的威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。l为什么存在安全漏洞?客观上技术实现技术发展局限永远存在的编码失误环境变化带来的动态化主
2、观上未能避免的原因默认配置对漏洞的管理缺乏人员意识如何解决安全漏洞? 一些基本原则 服务最小化 严格访问权限控制 及时的安装补丁 安全的应用开发 可使用工具和技术 安全评估与扫描工具 补丁管理系统 代码审计有关安全漏洞的几个问题7漏洞的流行性和持续性l流行性:50%的最流行的高危漏洞的影响力会流行一年左右,一年后这 些漏洞将被一些新的流行高危漏洞所替代。 l持续性:4%的高危漏洞的寿命很长,其影响会持续很长一段时间;尤 其是对于企业的内部网络来说,某些漏洞的影响甚至是无限期的。绝大多数漏 洞的寿命少数漏洞的 寿命无限期8需要进行“未雨绸缪”的漏洞管理99% of security breach
3、es target known vulnerabilities for which there are existing countermeasures. CERT Coordination Center 事实证明,99%以上攻击都是利用已公布并有修补措施、但用户未修补的漏洞。l操作系统和应用漏洞能够直接威胁数据的完整性和机密性 。 l流行蠕虫的传播通常也依赖与严重的安全漏洞。 l黑客的主动攻击往往离不开对漏洞的利用。 信息系统越庞大,越需要对网络和系统中的漏洞进行 有效管理。 对于主机设备较多的网络,即使采用传统的漏洞扫描器 进行扫描,补丁修复工作量巨大,缺乏自动化的补丁修 复过程9安全漏洞
4、现状分析天镜漏扫系列产品介绍10主要作用 隐患扫描、安全评估、脆弱性分析; 发现网络设备和主机系统的漏洞或泄漏; 提供系统的安全分析和整改报告; 提供完善的主机加固服务危险危险危险危险危险危险高度高度 危险危险11l公安、保密、安全机关组织的安全性检查l网络建设前后的安全规划评估和成效检验l安装新软件、启动新服务后的安全性检查l定期的网络安全自我检测、评估l网络承担重要任务前的安全性评估l网络安全事故后的分析调查产品应用场合12发展历程发展历程 6032 修改了 任务参 数界面 中不合 理参数 增加了 功能选 项 6040 能修改 window sXP系 统最大 连接数 补充了 功能说 明 改
5、进界 面 6041 增加报表 导出格式 增加报表 实时导出 功能 支持新 系统 支持 SQL200 5 解决扫 描慢问 题 6042 增加对 Windows 7中文版 操作系统 的支持 切换了硬 件平台 增加了 WSUS功 能 增加了基 于Web service 的第三方 开发接口200920102009之前13产品介绍产品介绍 6041天镜硬件版设备标准配置带有两个网口:一个为扫描网口,一个为管 理网口 新硬件的扫描口数量从原来的1个扩展到6个,千兆光口工控机甚至可以提 供10个扫描口(6电4光),相比友商有明显优势。CPU、内存、硬盘等主 要元器件性能规格也大幅度提升;同时取消了键盘鼠标口
6、,USB口增加到了 2个。新硬件的操作系统也由原来的Windows XP升级到了Windows 7 Professional。新百兆工控机新千兆电口工控机新千兆光口工控机扫描端 口6个10/ 100M电口(其 中一个可同时做扫描端 口和管理端口)6个10/100/ 1000M电 口(其中一个可同时做 扫描端口和管理端口)6个10/100/ 1000M电 口(其中一个可同时做 扫描端口和管理端口) 4口SFP(不含SFP模块 )管理端 口1个10/100M电口(可 同时做扫描口)1个10/100/1000M电口 (可同时做扫描口)1个10/100/1000M电( 可同时做扫描口)14授权申请授权
7、申请15部署方式部署方式独立部署多级分布 多级分布 多级网络结构 本地扫描 数据汇总、集中管理 不增添新的安全隐患 独立部署 网络较为集中 部署一台天镜设备 分权管理和使用16与传统扫描产品区别与传统扫描产品区别 与传统扫描产品区别: 常见扫描器关注阶段(漏洞扫描治标),漏 洞管理关注全局(漏洞管理治本)。 常见扫描器关注漏洞,不关注风险;天镜从资产 、漏洞和威胁三个角度关注风险。 常见扫描器关注漏洞发现,不关注漏洞修复有效 性,只开方子,不管疗效;天镜关注漏洞发现和 漏洞修复有效性,既开方子,又复查疗效。17安全漏洞现状分析安装及使用18硬件版本登录使用硬件版本登录使用配置扫描网口IP:l天
8、镜扫描引擎的扫描网口IP地址在出厂时默认配置为一个固定IP,用户可以通过远程桌面连接的方式来修改:默认连接IP:10.0.0.1 默认连接端口号:20010l点击【连接】按钮,在随后弹出的登录窗口中,用户名输入scanner,密码输 入venus60,点击【确定】即可登录到引擎系统中19软件安装环境软件安 装硬件环境CPU:不低于2.4G的Pentium 处理器或其它兼容X86处理器 内存:不小于512M 硬盘:10G以上的硬盘空间 网卡:至少一块10/100Mbps以太网卡 操作系统环境支持中文版Windows 2003 Server with SP2 支持中文版Windows 2000 S
9、erver with SP4 支持中文版Windows 2000 Professional with SP4 支持中文版Windows XP Professional with SP2 支持中文版Windows Vista 支持中文版Windows 2008 数据库环境支持MSDE(自带) 支持中文版SQL Server 2000 支持中文版SQL Server 2005浏览器环境支持IE6.0及以上版本20软件安装双击安装程序中setup.exe开始安装天镜604121安装u天镜在扫描时必须绑定一个IP地址,如果本机存在多网卡、虚拟机等设置就 需要设定扫描引擎与IP的绑定关系,以确保扫描速度
10、和准确性。u安装时不设置,也可以后续在产品界面中设置。u设置IP绑定关系后,天镜每次启动都会检测,发现IP有变化再提示客户重新 绑定。22安装XP SP2/SP3,缺省的TCP/IP连 接数限制都是10,对于天镜扫 描来说太小了,所以在安装的 时候提供了一个小工具,用来 调整连接数。推荐更改为2048原因:扫描时产生大量连接导致连接占满而无法继续扫描23授权申请安装时提示申请授权,填好内容后会 生成一个*.vku文件,商会根据该文件 生成.vky授权文件,该授务权只能在授 权申请机器上使用安装时不申请也没问题,可以后 续在产品主界面中选择申请24授权导入与查看25用户管理u“三权分立”的用户角
11、色管理l用户管理员,只能用于创建、修改、删除其它帐号l管理员,只能用于登录天镜控制中心进行操作,不能 登录用户管理审计模块l审计员,只能用于修改其它帐号的操作权限u细粒度的管理员权限分配用户管理员:用户名Admin,密码venus60 审计员:用户名Audit, 密码venus60 管理用户:用户名venus, 密码venus6026登陆缺省用户名:venus 缺省口令:venus60如果本机正在运行一些杀毒软件,天镜登陆后 会提示建议关闭实施监控功能,以免影响扫描27创建任务28创建任务u先选择一个扫描策略,天镜 6041缺省提供17个扫描策略;u用户还可以通过新建、修改来编 辑策略u输入要
12、扫描的IP地址u支持IP1-IP2一段主机u支持掩码模式,192.168.1.1/24u支持通配符,192.168.1.*uIP地址还支持从已经设定好的资产导入u还支持从一个文件导入u也可以将输入的IP地址导出,另存成一个文 件,方便以后直接导入只用29创建任务u用于区分不同任务 的优先级u当引擎同时要执行 多个任务时,高优 先级的任务优先执 行u支持设定最大并行 扫描的主机数,最 大为50u支持设定每台主机 最大的线程数,最 大为50u两个的乘积不能超 过500,即任务的总 线程数为500u域扫描:当用户扫描主机在 Windows的域管理环境中, 可以采用“域扫描” 来加强 天镜的网络扫描能
13、力;u如果有必要,还可以设置天 镜在扫描主机的时候会向被 扫描主机发送message消息 来通知主机;30任务执行任务开始、停止、暂停扫描、继续扫描、断点 续扫其中,继续扫描是指对某个暂停任务继续执行 扫描;而断点续扫是指当引擎端有扫描任务在 执行,因为某些突发事件而不能正常工作(如 机器意外重启、主机意外断电等),扫描任务 会被意外中断 。天镜在上述情况下会保留扫描 任务的已完成部分的结果,当机器重启之后, 打开天镜,可以针对这些意外中断的扫描任务 使用断点续扫 。31任务执行任务查看区扫描结果查看区支持实时显示可按各字段自由排序扫描信息查看32扫描结果查看33扫描结果显示自定义可以选择一个
14、模板,对其进 行显示配置; 也可以新建一个模板。可详细定义需要显示的内容34报表分析_任务扫描报告任 务 扫 描 报 告主机扫描报告提供了每个主机的操作系统、开放端口、可用帐户,以及每个主机 上发现的所有漏洞的详细描述与修补建议。漏洞扫描报告统计总体漏洞数量、统计不同操作系统类型的主机数量、统计了所 有开发端口、可用帐户、列出每一个漏洞所存在的主机、详细描述 与修补建议。扫描全报告相当于“漏洞扫描报告”“主机扫描报告”。 其中针对每一个漏洞给出详细描述与修补建议,不包括每个主机上 所有漏洞的详细描述与修补建议。对比分析报告对于同一个网段对比分析可以获知下列信息:新增加的在线主机、 减少的在线主
15、机、同一主机新增加的漏洞/减少的漏洞/保持不变的 漏洞、同一主机新发现的端口/减少端口/保持不变的端口等。趋势分析报告对于同一个网段的多次扫描结果进行趋势分析可以获知下列信息: 各种级别漏洞数量的变化趋势、在线主机数量的变化趋势、不同安 全状态级别的主机数量变化趋势。35报表分析_部门扫描报告部 门 扫 描 报 告最新安全状态报 告可以查看到指定部门内所有主机最后一次被扫描获得的结果。 针对指定部门内所有IP,汇集了每个IP最后一次的扫描结果( 即便部门内所有IP分在多个扫描任务中被扫描)来提供部门内 所有IP的最新安全状态信息。历史安全状态报 告可以针对指定部门的某次扫描生成扫描报告。报告中
16、提供了部 门内每个在线主机的操作系统、开放端口、可用帐户,以及每 个主机上发现的所有漏洞的详细描述与修补建议。对比分析报告可以对同一部门前后不同的扫描结果进行对比分析,以获得同 一个部门的安全管理状况;也可以对不同部门的扫描结果进行 对比分析,以获得不同部门安全状态的差异。趋势分析报告可以对同一部门的最后若干次扫描结果进行趋势分析;也可以 对同一部门的指定多次扫描结果进行趋势分析。分析信息主要 包括:各种级别漏洞数量的变化趋势、在线主机数量的变化趋 势、不同安全状态级别的主机数量变化趋势。36报告自动发送设置37用户可以对历史扫描数据进 行导入、导出、删除等操作 数据维护_历史扫描数据备份与查看大范围扫描主机时,用户 可能考虑到扫描速度等因 素将一个大的扫描范围分 成若干部分通过多个扫描 任务来完成。扫描结束后 ,天镜提供了扫描结果合 并的功能可以帮助用户将 多个扫描任务的扫描
