《网御漏洞扫描系统技术白皮书》由会员分享,可在线阅读,更多相关《网御漏洞扫描系统技术白皮书(17页珍藏版)》请在金锄头文库上搜索。
1、网御漏洞扫描系统技术白皮书北京网御星云信息技术有限公司目录1概述1.1遭遇漏洞危机11.2面临的挑战32产品综述2.1产品客户价值52.2产品系统结构52.3产品主要特点63产品功能73.1资产发现与管理73.2脆弱性扫描与分析83.3脆弱性风险评估83.4弱点修复指导93.5安全策略审核93.6构建统一管理体系10.114产品特点4.1 全面114.1.1 丰富的漏洞知识资源储备114.1.2 覆盖面最广的漏洞库114.1.3 全方位的网络对象支持114.1.4 业界领先的数据库扫描114.1.5 多样化的结果报表呈现124.1.6 全行业的产品成功应用124.2准确124.2.1 对象信息
2、的准确识别124.2.2 漏洞信息的准确判断124.2.3 域管理模式下的准确扫描124.3快速124.3.1 强有力的扫描效率保证124.3.2 漏洞库的快速持续更新134.4 自主134.4.1 完全自主知识产权134.4.2 领先的自主研究能力134.4.3 广阔的自主选择空间135典型应用145.1 独立扫描145.2统一管理146总结15“漏洞”一词已经越来越为使用信息系统的人们所熟悉,这不仅仅是因为它本身的丑陋 面目,更重要的是,它的存在使得各种威胁从四面八方蜂拥而至,致使信息系统遭受前所未 有的灾难。先不提时间较远些的“尼姆达”、“冲击波”、“震荡波”,就拿最近爆发的 Confi
3、cker 蠕虫1来说,深受其害的人没有一个不对它们印象深刻。无一例外,这些大名鼎鼎 的蠕虫或者恶意代码,都是利用系统漏洞广泛传播,进而对信息系统造成严重危害。没有及 时识别并修补这些被利用的漏洞,是信息系统最终遭受危害的根本原因。如今,越来越多的安全漏洞被发现,使得利用这些漏洞的安全事件数量日益上升。CNCERT/CC2始终认为,信息系统的安全漏洞是各种安全事件发生的主要根源之一。因此,在 安全事件层出不穷的今天,漏洞问题更需要被特别关注。做好漏洞管理工作,也是用户在构 建信息安全体系时,需要重点考虑甚至优先考虑的问题。那么,如何做好漏洞管理工作呢?唯一有效的途径是:在漏洞被利用以及信息系统遭
4、受 危害之前,正确的识别并修复漏洞和错误的配置,预防安全事件的发生。但是,信息系统的 复杂性和安全漏洞的多样性给漏洞管理实践带来的更大挑战,我们将如何应对?1.1遭遇漏洞危机随着技术的不断进步,漏洞的发掘的水平和速度一直在提高,而漏洞的利用技术也在不 断发展。我们目前正在遭遇一场前所未有的漏洞危机,主要表现在以下几个方面:i最早出现在2008年11月,该蠕虫利用已公布的Windows操作系统漏洞(如:MS08-067漏洞)将自 己植入未打补丁的电脑,并以局域网、U盘等多种方式传播。该蠕虫能够阻止用户访问与安全相关的网站, 删除系统还原点,终止操作系统自身以及第三方安全软件的服务,并下载任意恶意
5、程序文件。2 国家计算机网络应急技术处理协调中心,隶属于信息产业部互联网应急处理协调办公室,是国家计算机 网络信息系统安全事件协调处理和信息发布的权威机构,网站: http:/www. 1、全球漏洞数量在持续快速增加根据中国国家信息安全漏洞库(CNNVD)统计,2012年2月份新增安全漏洞596个,日 平均新增漏洞数量约21个。与前5个月平均增长数量相比,安全漏洞增长速度有所上升。 近6个月来漏洞新增数量统计如下图所示:(数据及图片来源于CNNVD官方网站)2011年9月至斷吃年3月漏洞新増数罚统计图2、应用软件漏洞增势明显在所有发现的漏洞中,基于应用系统尤其是Web应用的漏洞所占的比重明显上
6、升,已 占到70%左右。另外,浏览器的漏洞也在不断增加,微软的IE和Mozilla Firefox浏览器 是用户常用的网页浏览器,其漏洞数量也位居所有浏览器之首。随着互联网的发展及经济利益的驱动,黑客正逐渐将攻击重点转在web应用服务器上,如利用网站漏洞获取网站数据,通过网页挂马等,危害服务器安全及客户端安全。3、从发现漏洞到攻击程序出现的时间在不断缩短据权威机构统计,从发现漏洞到发布相关攻击程序所需的平均时间越来越短,现在仅为 一周,“零日攻击”3现象(例如2008年12月的I E7 0da y漏洞)也显著增多。从另一方面 的统计来看,厂商在发现漏洞后,平均要50天发布相关的修补程序。一旦漏
7、洞公布但没有 被及时修补,用户系统遭受攻击的可能性会大大增加。4、漏洞可以被购买漏洞可以被购买的报道并不少见,甚至在有些网站上公开叫卖。这表明漏洞已经跟利 益集团联系到一起,作为获取非法收益的工具。一旦一个重要的业务系统漏洞被非法分子利 用,造成的损失是难以估量的。综上所述,漏洞数量在快速增加,漏洞种类越来越多(不仅是操作系统,还有各种应用 系统和软件),受到漏洞影响的信息系统也越来越容易遭受攻击我们正在遭受的漏洞危 机在日益加剧。1.2面临的挑战据一项“全球信息安全调查”的数据,当前企业面临的最大安全挑战是“预防安全漏洞 的出现”,在日益复杂的网络环境和层出不穷的安全威胁面前,手工的漏洞管理
8、工作几乎是 不可想象的,尤其是对于有一定规模的信息系统。信息系统管理员通常要借助漏洞管理工具 来识别和修补漏洞,但在漏洞危机日益严峻的形势下,使用漏洞管理工具能否应对如下挑战: 在漏洞数量每日剧增的情况下,如何全面、准确识别各种信息系统漏洞? 在分析漏洞信息进行时,是否能够保证内容的完整性和权威性,并能够有效指 导漏洞修复? 在面临种类繁多的各种漏洞时,如何对漏洞进行统一客观评级,合理安排修复工作的优先级,以保证最危险的漏洞最先被修复?3 是指漏洞公布当天就出现相应的攻击手段。 在企业进行风险监控的要求下,如何评估漏洞带来的脆弱性风险? 在阶段性漏洞修复工作完成后,如何对修复工作的成果进行检验
9、进而对漏洞管 理策略的调整提供依据? 在面对具有多个网络域、分布在不同地区的大规模的信息系统时,如何实现全 网扫描部署和统一管理,并实施有效监管?因此,在选用漏洞管理产品时,必须考虑以下方面:1、厂商是否具备持续性的漏洞跟踪及研究能力,以确保产品中漏洞知识库的全面性、 准确性和权威性,并且能够做到及时更新,甚至能够对重大的突发漏洞事件进行应 急;2、厂商是否在漏洞检测领域有长期的积累,以保证产品应用的成熟度;3、产品是否能够对不同软件、系统类别的漏洞进行统一评级,并保证评级的开放性和 客观性,为修复工作的优先级提供指导,为漏洞评级的交流提供方便;4、产品是否能够实现对扫描资产的管理,并能够结合
10、漏洞评价,计算主机和网络的脆弱性风险,为风险评估和风险监控提供必要支撑;5、产品是否能够对历次扫描结果中的漏洞情况、脆弱性风险的变化趋势进行分析,以 检验修复工作的有效性,并为漏洞管理策略合理化调整提供决策依据;6、产品的部署应用是否足够灵活,是否能够适合各种规模的网络,突破逻辑网络域的界限,形成统一的漏洞管理体系。网御漏洞扫描系统是网御星云自主研发的基于网络的脆弱性分析、评估与管理系统。2.1产品客户价值网御漏洞扫描系统遵循网御星云在总结多年市场经验和客户需求基础上提出的“发现 扫描定性修复审核”的安全体系构建法则,综合运用多种国际最新的漏洞扫描与检测 技术,能够快速发现网络资产,准确识别资
11、产属性、全面扫描安全漏洞,清晰定性安全风险, 给出修复建议和预防措施,并对风险控制策略进行有效审核,从而帮助用户在弱点全面评估 的基础上实现安全自主掌控。2.2产品系统结构网御漏洞扫描系统基于安全的Web方式(HTTPS: HTTP + SSL)进行管理和控制。网御 漏洞扫描系统的主要系统结构以及系统各模块与用户、硬件平台的交互关系如下图所示:IL1JK參策略丄管理任务管理.K用a/ 漏洞 户ff管知识库)管助理扫数据 1a引擎管理2.3产品主要特点1、以网御星云积极防御实验室为依托网御星云积极防御实验室专注于网络安全深层攻防技术和信息安全技术的研究,其漏洞 研究成果积累和前瞻性的漏洞跟踪能力
12、,为网御漏洞扫描系统产品的持续发展提供了核心动 力,保证了网御漏洞扫描系统产品漏洞库的全面性、准确性、权威性和更新的及时性,能够 对网络安全突发事件进行应急。2、对微软漏洞的持续跟进和检查能力网御星云是国内唯一的被授权查看微软原代码的漏洞扫描产品厂商;并与微软建立 MAPP (Microsoft Ac tive Pro tec tions Program )合作伙伴关系。3、保持与国际、国内标准的统一网御漏洞扫描系统网御漏洞扫描系统产品兼容中国国家信息安全漏洞库(CNNVD)及国 际漏洞库(CVE)。4、经过多年市场验证的成熟产品“网御漏洞扫描系统”漏洞扫描类产品自推出以来,已经在政府、金融、
13、电信、军队、 教育、企业、能源等各个行业得到了成功应用,获得了最广泛的用户认可。得益于网御漏洞 扫描系统广泛的用户群,网御漏洞扫描系统产品在不断接受用户反馈和需求研究的基础上, 得到了长足的发展,这种积累也使得网御漏洞扫描系统在同类产品中一直处于市场和技术的 领先位置。网御漏洞扫描系统能够通过综合运用多种手段(主机存活探测,智能端口检测,操作系 统指纹识别等)全面、快速、准确的发现被扫描网络中的存活主机,准确识别其属性,包括 主机名称、设备类型、端口情况、操作系统以及开放的服务等,为进一步脆弱性扫描做好准 备。同时,网御漏洞扫描系统的资产管理功能能够为用户管理被扫描的IT资产提供方便, 同时作
14、为脆弱性风险评估的基础部分,为评估主机和网络的脆弱性风险提供依据。网御漏洞 扫描系统资产管理的主要功能包括: 资产导入导出资产数据可以方便的从历史扫描结果中自动发现,也可以通过格式列表文件批量 导入,更可以灵活的手工添加资产。同时,资产数据也可以格式列表文件导出,应用 于其他系统。 部门管理资产条目以部门目录树的框架进行展现,方便用户将脆弱性评估工作与具体业务 规划相关联。对部门的操作包括新建、编辑、删除等,在部门中可以指定所属资产的 IP 范围和责任人,这样,自动搜索或者添加的资产即可划归到相应部门。 资产属性维护资产管理抽取了进行脆弱性风险评估所需的关键属性对资产进行描述和维护,其 中包括
15、资产的基本属性(IP,名称、编号以及分类等),资产价值以及保护等级。资 产价值和保护等级跟实际的网络应用环境密切相关,可使用户明确哪些是重要资产以 及那些资产保护程度如何。3.2脆弱性扫描与分析渐进式的扫描方法能够让网御漏洞扫描系统利用已经发现的资产信息进行针对性扫描, 以发现主机上不同应用对象(操作系统和应用软件)的弱点和漏洞,同时保证扫描过程的快 速和结果的准确。目前,网御漏洞扫描系统可检测的漏洞数量已经超过4500 种,扫描对象 涵盖各种常见的网络主机、操作系统、数据库系统、Web应用等。任务管理和策略管理功能,可以使用户的扫描操作变得更加方便和灵活。用户可以使用 默认扫描策略或者自定义扫描策略,创建特定
