《榕基网络隐患扫描系统技术白皮书【规划管理与绩效】》由会员分享,可在线阅读,更多相关《榕基网络隐患扫描系统技术白皮书【规划管理与绩效】(36页珍藏版)》请在金锄头文库上搜索。
1、榕 基 网 络 隐 患 扫 描 系 统技 术 白 皮 书福建榕基软件开发有限公司说 明本白皮书中的信息是为方便用户了解我公司产品而编写和印刷的,福建榕基软件开发有限公司对本书中可能引起的理解错误、编辑错误或疏忽不承担责任;对于在安装、操作或使用本资料过程中发生的意外事故或间接损失也不承担赔偿责任。RJ-iTop及安拓榕基是注册的商品标志,未经所有人授权许可,任何组织和个人不得使用于任何商业目的。本资料包含的信息受版权法保护。未经授权,不得以任何方式影印或复制本文档的部分或全部。详情请访问产品网站http:/www.RJ-iT目 录第一章概述51.1网络安全现状分析51.2信息安全理念61.3网
2、络隐患扫描系统的必要性71.3.1防火墙的局限性71.3.2入侵检测系统的局限性81.3.3网络隐患扫描系统的必要性8第二章网络隐患扫描简介102.1网络隐患无处不在102.2扫描技术的发展11第三章榕基企业简介14第四章产品简介154.1产品概述154.1.1产品特性简介154.1.2产品外观164.2产品体系结构17第五章产品特性185.1863成果转化产品185.2领先的扫描产品线185.3领先的扫描技术195.3.1高扫描速度195.3.2高准确率195.3.3强大的漏洞库195.4分布式扫描205.5完善的检测报表205.5.1丰富的报表格式与样式215.5.2扫描目标的漏洞概要信息
3、215.5.3漏洞类别概要信息225.5.4详细的漏洞描述与解决方案225.6自身高安全性235.7完善的三级服务体系23第六章系列产品特色256.1手持式产品256.2机架式产品256.3软件版产品266.4增强型产品27第七章性能指标与产品规格287.1性能指标287.1.1漏洞检测类别287.1.2扫描速度287.1.3占用系统资源297.1.4占用带宽297.2硬件规格30第八章系统应用领域及场合318.1 应用领域318.2 应用场合和时宜328.3 产品典型应用33第九章技术支持35第一章 概述1.1 网络安全现状分析随着计算机网络技术的迅猛发展,计算机网络向世界各个角落延伸,人们
4、生活与计算机网络越来越密不可分。政府、企业等单位都纷纷建立网站,建立企业内部网Intranet与互联网Internet的连接。电子政务、电子商务、网络办公等已成为政府办公、企业发展的重要手段。但网络在给人们带来便利的同时,它的安全问题已成为信息时代人类共同面临的挑战,而国内的网络安全问题也日益突出。具体表现为:计算机系统受病毒感染和破坏的情况相当严重;电脑黑客活动已形成重要威胁;信息基础设施面临网络安全的挑战;信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节等。如何使人们在享受网络带来的便捷和机遇的同时确保网络安全,已是急需解决的问题。据国家计算机网络应急技术处理协调中心(简称CNCE
5、RT/CC)统计,2006 年除windows 漏洞和IE 浏览器漏洞外,微软公司Office 软件的安全漏洞也在不断增加。微软公司在2005 年正式公布了55 个具有编号的安全漏洞,2006 年则公布了78 个。两个,同比增长41.8%。漏洞的大量出现和不断快速增加是网络安全总体形势趋于严峻的重要原因之一。随着公共互联网继续快速发展,2006 年,我国用户数量已超过1.37 亿,各种互联网新业务如雨后春笋般涌现,电子政务、电子商务得到进一步推广,互联网的社会基础设施功能表现得越来越明显。与此同时,互联网作为一个运行系统和一个社会公共环境,其所面对的和所隐藏的安全威胁也越来越复杂,越来越严重。
6、计算机网络应急技术处理协中心调查显示,其中涉及国内政府机构和重要信息系统部门的网页篡改类事件、涉及国内外商业机构的网络仿冒类事件和针对互联网企业的拒绝服务攻击类事件的影响最为严重,僵尸网络和木马的威胁依然非常严重,攻击者谋求非法利益的目的更加明确,行为更加嚣张,黑客地下产业链基本形成,而信息系统安全漏洞是各种安全威胁的主要根源之一。1.2 信息安全理念随着网络攻击数量的增加、攻击技术的进步,为了防范从外、从内发起的攻击保证网络安全,网络单位需要建立综合立体的防护体系。下面是著名的网络安全P2DR模型:安全策略、防护、检测、响应涵盖了对现代信息系统保护的各个方面,构成了一个完整的体系,使信息安全
7、建筑在更坚实的基础之上。信息运行平台发展到今天已极为复杂,数据安全、平台安全、服务安全要求用完整的信息保障体系来保障。 安全策略(Policy):安全策略是安全管理的核心。要想实施动态网络安全循环过程,必须首先制定企业的安全策略,如制定系统的安全目标和安全范围等,所有的防护、检测、响应都是依据安全策略实施的,企业安全策略为安全管理提供管理方向和支持手段。对于一个策略体系的建立包括:安全策略的制订、安全策略的评估、安全策略的执行等。保护(Protection):保护包括传统安全概念的继承,用加解密技术、访问控制技术、数字签名等技术,从数据静态存储、授权使用、可验证的信息交换过程等方面到对数据及其
8、网上操作等加以保护。 检测(Detection):检测的含义是,对信息传输内容的可控性检测,对信息平台访问过程的甄别检测,对违规与恶意攻击的检测,对系统与网络漏洞的检测等。检测使信息安全环境从单纯的被动防护演进到在对整体安全状态认知基础上的有针对性的对策,并为进行及时有效的安全响应以及更加精确的安全评估奠定了基础。响应(Response):在复杂的信息环境中,保证在任何时候信息平台能高效正常运行,要求安全体系提供有力的响应机制。这包括在遇到攻击和紧急事件时及时采取措施,例如关闭受到攻击的服务器;反击进行攻击的网站;按系统的重要性加强和调整安全措施等等。P2DR安全模型在整体安全策略Policy
9、的控制和指导下,综合运用防护工具Protection(如防火墙、加密机、防病毒等手段)的同时,利用检测工具Detection(如隐患扫描、入侵检测等)了解和评估系统的安全状态,通过适当的安全响应Response将系统调整到“最安全”和“风险最低”的状态,构成一个动态自适应的综合防范体系。1.3 网络隐患扫描系统的必要性网络隐患扫描产品使用方便,简单高效,能够准确发现网络中各主机、设备存在的网络安全漏洞,并给出详细的描述和解决方案,从根本解决网络安全问题,起着评估整个系统安全的重要作用,是一个完整的安全解决方案中的一个关键部分。让我们来看看现阶段网络上使用最多的安全设备防火墙和入侵检测。为了确保
10、网络的安全使用,研究它们的局限性十分必要。1.3.1 防火墙的局限性防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据我们的安全政策控制(允许、拒绝、监测)出入网络的信息流。我们认为防火墙是必要的,因为它能挡住绝大部分来自外部网络的攻击,但是它也存在很大的局限性:(1)、防火墙不能防范不经过防火墙的攻击(如拨号上网等)。(2)、不能解决来自内部网络的攻击和安全问题。(3)、对服务器合法开放的端口的攻击大多无法阻止。(4)、无法解决TCP/IP等协议本身的漏洞。(5)、不能防止本身安全漏洞的威胁。防火墙也是一个操作系统,也有着其硬件系统和软件,因此依然有着漏洞。所以其本身也可能受到攻击。一
11、般防火墙都只是在网络层过滤,对应用层数据包的检测较少,特别指出防火墙对内网用户发起的连接基本不加检测,现在的黑客也专门针对这点开发了一系列渗透技术,如端口反弹和HTTP tunnel等技术。1.3.2 入侵检测系统的局限性入侵检测系统(IDS)好比网络中不间断的摄像机,通过旁路监听的方式不间断的收取网络数据,判断其中是否含有攻击的企图,通过各种手段向管理员报警、执行响应。不但可以发现从外部的攻击,也可以发现内部的恶意行为。所以说入侵检测是网络安全的第二道闸门,是防火墙的必要补充。但是它也存在一定的局限性:(1)、旁路在网络中,容易因网络流量太大和系统资源紧张造成丢包,而漏过检测。现在网络到桌面
12、已经基本上是百兆、甚至千兆,骨干交换机流量10G以上,而目前绝大部分入侵检测产品还只是百兆、千兆级别,而且千兆级别以上入侵检测价格昂贵。(2)、防御手段存在缺陷。对发现的攻击通常采用TCP重置和防火墙策略。TCP重置:当IDS判断出一个攻击发生和发送TCP重置有一时间段,而这时封包可能已经传送到目标地址,攻击可能已经完成;另外TCP重置只能针对TCP协议,对DNS等UDP协议无效。防火墙策略:可能影响正常业务使用,例如,攻击者用一个大的INTERNET服务提供商的代理服务器地址进行欺骗,IDS发现后,发信号到防火墙来阻止该IP地址,此时整个IP都被防火墙过滤了,其它正常访问也无法进行了。(3)
13、、对网管人员要求高。基于签名检测(模式匹配)和协议异常检测,检测精度可能不够,可能造成高误报率,每天可能发出成百上千的虚假报警信息。对警报的分析也对网管人员提出了更高的要求。1.3.3 网络隐患扫描系统的必要性目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,由于其开发厂商的各种原因(软件开发者设计不完善、编码错误等)存在安全漏洞,这些安全漏洞有可能存在重大安全隐患(例如在极端测试下造成程序溢出,进而让攻击者取得权限)。因此,建立一个完全安全的没有漏洞的系统是不可能的,一个最佳方法是,建立比较容易实现的安全系统,同时按照一定的安全策略建立相
14、应的安全辅助系统,漏洞扫描器就是这样一类系统。漏洞扫描系统是一种主动检测本地或远程主机系统安全性弱点的程序,采用模仿黑客入侵的手法对目标网络中的工作站、服务器、数据库等各种系统以及路由器、交换机、防火墙等网络设备可能存在的安全漏洞进行逐项检查,测试该系统上有没有安全漏洞存在,然后将扫描结果向系统管理员提供周密可靠的安全性分析报告,从而让管理人员从扫描出来的安全漏洞报告中了解网络中服务器提供的各种服务及这些服务呈现在网络上的安全漏洞,在系统安全防护中做到有的放矢,及时修补漏洞,从根本上解决网络安全问题,有效地阻止入侵事件的发生。漏洞扫描技术是网络安全防御中的一项重要技术,它的成功应用,在网络安全
15、体系的建设中可以大规模减少安全管理员的负担,有利于保持整个网络安全政策的统一和稳定。虽然亡羊补牢可贵,未雨绸缪才是理想境界。第二章 网络隐患扫描简介2.1 网络隐患无处不在信息的应用从军事、科技、文化和商业渗透到当今社会的各个领域,在社会生产、生活中的作用日益显著。因此在任何情况下,必须保证信息的安全和可靠。Internet通过网络共享资源。自Internet问世以来,资源共享和信息安全一直作为一对矛盾体存在着。计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出,各种计算机病毒和网上黑客(Hackers)对Internet的攻击越来越激烈,许多网站遭受破坏的事例不胜枚举。那么,黑客的攻击为什么屡屡得手呢?主要有以下几个原因:l 现有网络系统具有内在安全的脆弱性软件业巨头微软的Windows xp的sp2去年刚发布没多久,微软的“安全服务”还没喊响之际,就爆出10多个IE漏洞。因此不断出现的操作系统安全漏洞也给我们的安全
