綠盟遠程安全評估系統(tǒng)產品白皮書■NSF-PROD-RSAS-V6.0-書-V1.0■密級■V1.0■日期2015-10-19■尹航■批準人李晨NSFOCUS■版權聲明本文中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明，版權均屬綠盟科技所有，受到有關產權及版權法保護。任何個人、機構未經(jīng)綠盟科技的書面授權許可，不得以任何方式復制或引用本文的任何片斷。目錄TOC\o"1-5"\h\z.攻防威脅的變化1.環(huán)境變化帶來的問題1.新一代漏洞管理產品必備特性2.綠盟遠程安全評估系統(tǒng)2產品體系結構3基礎平臺層功能3系統(tǒng)服務層功能4系統(tǒng)核心層功能4系統(tǒng)接入層功能4產品特色5多種檢查能力合一，全面系統(tǒng)脆弱性發(fā)現(xiàn)5風險統(tǒng)一分析6靈活的部署方案7獨創(chuàng)便攜工控設備，隨時監(jiān)督檢查7結合資產從海量數(shù)據(jù)快速定位風險7融入并促進安全管理流程8識別非標準端口，準確掃描服務漏洞8豐富的漏洞、配置知識庫9典型應用方式9監(jiān)督檢查或小規(guī)模網(wǎng)絡安全運維9中小規(guī)模多子網(wǎng)安全運維10網(wǎng)絡訪問受限的子網(wǎng)安全運維錯誤！未定義書簽。大規(guī)模跨地區(qū)網(wǎng)絡安全運維10五.結論11插圖索引TOC\o"1-5"\h\z圖4.1NSFOCUSRSA整體架構圖3圖4.2NSFOCUSRSA第機部署9圖4.3NSFOCUSRSA第機多網(wǎng)口多子網(wǎng)接入10圖4.4NSFOCUSRSA玳理掃描錯誤！未定義書簽。圖4.5NSFOCUSRSA歌規(guī)模部署11攻防威脅的變化利用安全漏洞進行網(wǎng)絡攻擊的互聯(lián)網(wǎng)安全問題，好像陽光下的陰影，始終伴隨著互聯(lián)網(wǎng)行業(yè)的應用發(fā)展。近些年，網(wǎng)絡安全威脅的形式也出現(xiàn)了不同的變化，攻擊方式從單個興趣愛好者隨意下載的簡單工具攻擊，向有組織的專業(yè)技術人員專門編寫的攻擊程序轉變，攻擊目的從證明個人技術實力向商業(yè)或國家信息竊取轉變。新攻擊方式的變化，仍然會利用各種漏洞，比如：Google極光攻擊事件中被利用的IE瀏覽器溢出漏洞，ShadyRAT攻擊事件中被利用的EXCEL程序的FEATHEADER遠程代碼執(zhí)行漏洞。其實攻擊者攻擊過程并非都會利用0day漏洞，比如FEATHEADER遠程代碼執(zhí)行漏洞，實際上，大多數(shù)攻擊都是利用的已知漏洞。對于攻擊者來說，IT系統(tǒng)的方方面面都存在脆弱性，這些方面包括常見的操作系統(tǒng)漏洞、應用系統(tǒng)漏洞、弱口令，也包括容易被忽略的錯誤安全配置問題，以及違反最小化原則開放的不必要的賬號、服務、端口等。在新攻擊威脅已經(jīng)轉變的情況下，網(wǎng)絡安全管理人員仍然在用傳統(tǒng)的漏洞掃描工具，每季度或半年，僅僅進行網(wǎng)絡系統(tǒng)漏洞檢查，無法真正達到通過安全檢查事先修補網(wǎng)絡安全脆弱性的目的。網(wǎng)絡安全管理人員需要對網(wǎng)絡安全脆弱性進行全方位的檢查，對存在的安全脆弱性問題一一修補，并保證修補的正確完成。這個過程的工作極為繁瑣，傳統(tǒng)的漏洞掃描產品從脆弱性檢查覆蓋程度，到分析報告對管理人員幫助的有效性方面，已經(jīng)無法勝任。環(huán)境變化帶來的問題隨著IT建設的發(fā)展，很多政府機構及大中型企業(yè)，都建立了跨地區(qū)的辦公或業(yè)務網(wǎng)絡，系統(tǒng)安全管理工作由不同地區(qū)的安全運維人員承擔，總部集中監(jiān)管。按照安全掃描原則，漏洞掃描產品一般被部署到離掃描目標最近的位置，這就形成了漏洞掃描產品分布式部署的要求。對IT系統(tǒng)來說，網(wǎng)絡中每個點的安全情況都會對整個IT系統(tǒng)造成威脅，運維人員不但要關注某個地區(qū)的安全情況，還需要關注整個IT系統(tǒng)的安全風險情況。這要求有相應的漏洞管理平臺對整個網(wǎng)絡中的漏洞掃描產品進行集中管理，收集信息，匯總分析，讓運維人員掌握整體網(wǎng)絡安全狀況。另外，虛擬化系統(tǒng)也已經(jīng)在各個行業(yè)得到了廣泛應用，IPv6網(wǎng)絡也將在今年實現(xiàn)商業(yè)化,新技術的應用帶來了新的安全威脅，要求漏洞掃描產品能夠適應新的的環(huán)境，實現(xiàn)完整的系統(tǒng)脆弱性掃描。三.新一代漏洞管理產品必備特性攻防威脅的轉變和系統(tǒng)環(huán)境的變化，要求漏洞掃描產品能夠及時應對這些變化，為系統(tǒng)安全脆弱性評估提供有力手段，新一代的漏洞管理產品應該具備以下特性：能夠全面發(fā)現(xiàn)信息系統(tǒng)存在的各種脆弱性問題，包括安全漏洞、安全配置問題、應用系統(tǒng)安全漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不必要開放的賬號、服務、端口，形成整體安全風險報告能夠快速定位風險類型、區(qū)域、嚴重程度，直觀展示安全風險能夠結合安全管理制度，支持安全風險預警、檢查、分級管理、修復、審計流程，并監(jiān)督流程的執(zhí)行能夠提供多種靈活部署方式，適應復雜的網(wǎng)絡環(huán)境下的部署，并盡量控制降低安全建設成本能夠在虛擬化環(huán)境、IPv6環(huán)境中部署和檢測其脆弱性四.綠盟遠程安全評估系統(tǒng)綠盟遠程安全評估系統(tǒng)(NSFOCUSRemoteSecurityAssessment簡稱：NSFOCUSRSAS)是綠盟科技結合多年的漏洞挖掘和安全服務實踐經(jīng)驗，自主研發(fā)的新一代漏洞管理產品，它高效、全方位的檢測網(wǎng)絡中的各類脆弱性風險，提供專業(yè)、有效的安全分析和修補建議，并貼合安全管理流程對修補效果進行審計，最大程度減小受攻擊面，是您身邊專業(yè)的“漏洞管理專家”。全方位系統(tǒng)脆弱性發(fā)現(xiàn)：全面發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞、安全配置問題、應用系統(tǒng)安全漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不必要開放的賬號、服務、端口，形成整體安全風險報告。

從海量數(shù)據(jù)中快速定位風險：提供儀表盤報告和分析方式，在大規(guī)模安全檢查后，快速定位風險類型、區(qū)域、嚴重程度，根據(jù)資產重要性進行排序，可以從儀表盤報告直接定位到具體主機具體漏洞。融入并促進安全管理流程：安全管理不只是技術，更重要的是通過流程制度對安全脆弱性風險進行控制，產品結合安全管理制度，支持安全風險預警、檢查、分級管理、修復、審計流程，并監(jiān)督流程的執(zhí)行。靈活的部署方案：支持單機單網(wǎng)絡、單機多網(wǎng)絡、分布式部署、掃描代理等多種接入方式，靈活適應各種網(wǎng)絡拓撲環(huán)境，降低成本，便于擴展。支持通過虛擬化鏡像方式在虛擬化環(huán)境下直接部署，支持IPv6網(wǎng)絡環(huán)境下的部署和漏洞掃描。產品體系結構NSFOCUSRSASV6.0采用模塊化設計，內部分為基礎平臺層、系統(tǒng)服務層、系統(tǒng)核心層、系統(tǒng)接入層，每層內部劃分不同的功能模塊，整體工作架構如圖4.1所示。系統(tǒng)核心層W研管理界面報表引擎服務識別

主機發(fā)現(xiàn)控制臺數(shù)據(jù)接口調度引擎撼作系統(tǒng)識別弱口令檢測數(shù)據(jù)處理引服務引擎漏洞掃描引擎升級系統(tǒng)證書系統(tǒng)系統(tǒng)核心層W研管理界面報表引擎服務識別

主機發(fā)現(xiàn)控制臺數(shù)據(jù)接口調度引擎撼作系統(tǒng)識別弱口令檢測數(shù)據(jù)處理引服務引擎漏洞掃描引擎升級系統(tǒng)證書系統(tǒng)基礎軟件平臺專用硬件平臺圖4.1NSFOCUSRSAS整體架構圖基礎平臺層功能基礎平臺包含專用硬件平臺和基礎軟件平臺。專用硬件平臺包含四款綠盟科技基礎硬件平臺，分別對應便攜型號RSASNX3-P,精簡型號RSASNX3-X,標準型號RSASNX3-S,企業(yè)版型號RSASNX3-E。基礎軟件平臺包含了綠盟科技定制操作系統(tǒng)、文件系統(tǒng)、硬盤加密解密、應用程序加密解密、輸入輸出加密解密、IPv4/IPv6網(wǎng)絡服務、內置數(shù)據(jù)庫、Web服務、程序運行環(huán)境等功能。系統(tǒng)服務層功能系統(tǒng)服務層包含數(shù)據(jù)處理引擎和系統(tǒng)服務引擎。數(shù)據(jù)處理引擎是系統(tǒng)內部的數(shù)據(jù)接口，提供了數(shù)據(jù)庫訪問、數(shù)據(jù)緩存、數(shù)據(jù)同步等功能。數(shù)據(jù)處理引擎屏蔽了數(shù)據(jù)庫系統(tǒng)操作的細節(jié)，減少數(shù)據(jù)庫的連接，優(yōu)化數(shù)據(jù)庫的訪問，緩存常用和計算復雜的數(shù)據(jù)，集中處理數(shù)據(jù)的邏輯，降低了其他功能模塊的維護工作量。系統(tǒng)服務引擎是系統(tǒng)內部的功能接口，提供了系統(tǒng)還原點備份與恢復、任務數(shù)據(jù)導入導出等功能。系統(tǒng)服務引擎解耦了前臺操作和后臺操作，后臺功能以特定的權限運行，增加了系統(tǒng)的安全性。系統(tǒng)核心層功能系統(tǒng)核心層是產品的核心，提供最具競爭力的功能，包含主機發(fā)現(xiàn)、操作系統(tǒng)識別、服務識別、弱口令檢測、漏洞掃描、配置核查、漏洞驗證等，有較多可擴展的模塊和插件。報表引擎是報表展示的核心處理模塊，能夠提供HTML、WORD、EXCEL、PDF等多種報表格式。調度引擎是掃描工作的協(xié)調中心，根據(jù)用戶操作的不同可能有立即執(zhí)行的任務、定時執(zhí)行的任務、周期執(zhí)行的任務等，檢測出任務的類型和優(yōu)先級，進行漏洞掃描或者配置檢查、口令猜測。狀態(tài)引擎是系統(tǒng)狀態(tài)的協(xié)調中心，主要包含系統(tǒng)資源狀態(tài)信息、系統(tǒng)的授權證書信息、BDB配置項、任務執(zhí)行進度信息、升級進度信息等。證書系統(tǒng)提供了產品可授權使用的信息，包含購買用戶、設備HASH值、授權IP數(shù)、授權使用模塊、授權起止信息等。升級系統(tǒng)提供了產品更新的能力，為掃描插件更新、產品功能更新、產品反饋修改等提供了可能。系統(tǒng)接入層功能系統(tǒng)接入層包含了用戶通過瀏覽器訪問Web頁面、通過串口訪問控制臺、通過數(shù)據(jù)接口進行數(shù)據(jù)交互等方式，其中數(shù)據(jù)接口包含第三方平臺管理數(shù)據(jù)接口、SNMPTrap。

產品特色便攜工拄謾崔r隨時融酎會多種第罟方式r便攜工拄謾崔r隨時融酎會多種第罟方式r應對各關網(wǎng)港環(huán)境劉跚計儀表矗，快速定位磁配合管遛流程監(jiān)囂過放軍三而際口識執(zhí)，不錯過或錯判任何風險超過1QUM堡混同的儂？庫會過3由常見設蟄附配音吟香全皿口曲r芋忤唉能力合一胸翳性統(tǒng)T析,風險直觀可見多種檢查能力合一，全面系統(tǒng)脆弱性發(fā)現(xiàn)對于攻擊者來說，IT系統(tǒng)的方方面面都存在脆弱性，這些方面包括常見的操作系統(tǒng)漏洞、應用系統(tǒng)漏洞、弱口令，也包括容易被忽略的錯誤安全配置問題，以及違反最小化原則開放的不必要的賬號、服務、端口等。綠盟遠程安全評估系統(tǒng)能夠全方位檢測IT系統(tǒng)存在的脆弱性，發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞、安全配置問題、應用系統(tǒng)安全漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不必要開放的賬號、服務、端口，形成整體安全風險報告，幫助安全管理人員先于攻擊者發(fā)現(xiàn)安全問題，及時進行修補。風險統(tǒng)一分析目前市場上有很多獨立的漏洞掃描、配置檢查、Web應用掃描產品，對信息系統(tǒng)進行安全檢查后，分別得到不同的檢查報告，互相之間沒有聯(lián)系，實際上不同脆弱性的掃描結果都從不同方面反映網(wǎng)絡系統(tǒng)的安全風險狀態(tài)，要了解信息系統(tǒng)總體安全風險狀況，需要對脆弱性的所有方面統(tǒng)一進行分析和評估。綠盟遠程安全評估系統(tǒng)支持全方位的安全漏洞、安全配置、應用系統(tǒng)安全漏洞掃描，通過綠盟科技專利安全風險計算方法，對網(wǎng)絡系統(tǒng)中多個方面的安全脆弱性統(tǒng)一進行分析和風險評估，給出總體安全狀態(tài)評價，全面掌握信息系統(tǒng)安全風險。靈活的部署方案業(yè)務系統(tǒng)的多樣性，決定了IT網(wǎng)絡建設環(huán)境不盡相同，對于脆弱性管理產品來講，沒有靈活的部署方案適應多種網(wǎng)絡環(huán)境，就意味著有些網(wǎng)絡無法接入或者建設成本極大增加。綠盟遠程安全評估系統(tǒng)提供了多種靈活的部署方式，能夠滿足復雜的網(wǎng)絡環(huán)境下的部署，并且優(yōu)先應用輕量級部署方案，最大程度降低安全建設成本。綠盟遠程安全評估系統(tǒng)支持單機單網(wǎng)絡、單機多網(wǎng)絡、分布式部署、掃描代理等多種接入方式，靈活適應各種網(wǎng)絡拓撲環(huán)境，便于擴展。另外，考慮到虛擬化和IPv6網(wǎng)絡的逐步應用，綠盟遠程安全評估系統(tǒng)也支持通過虛擬化鏡像方式在虛擬化環(huán)境下直接部署，支持IPv6網(wǎng)絡環(huán)境下的部署和漏洞掃描。獨創(chuàng)便攜工控設備，隨時監(jiān)督檢查安全管理體系中，定期或不定期的現(xiàn)場安全監(jiān)督檢查是必不可少的重要環(huán)節(jié)，安全檢查工具是否便攜，成為監(jiān)督檢查人員除了性能之外的重要考慮因素。綠盟遠程安全評估系統(tǒng)獨創(chuàng)便攜式工控設備，小巧輕便，普通筆記本包即可攜帶，在保證快速安全脆弱性掃描的基礎上，方便攜帶進行現(xiàn)場監(jiān)督檢查，實現(xiàn)了性能和便攜要求的和諧統(tǒng)一。結合資產從海量數(shù)據(jù)快速定位風險IT系統(tǒng)規(guī)模越來越大，資產數(shù)量、漏洞數(shù)量、更多的脆弱性問題越來越多，匯總成大量的風險數(shù)據(jù)，傳統(tǒng)的關注掃描漏洞、補丁修補的安全管理工作方式會使安全管理人員疲于應付，又不能保證對重要資產的及時修補。綠盟遠程安全評估系統(tǒng)在上線后，首先盡量收集IT系統(tǒng)環(huán)境信息，建立起IT資產關系列表。準備工作完成后，系統(tǒng)基于資產信息進行脆弱性掃描和分析報告。綠盟遠程安全評估系統(tǒng)脆弱性掃描分析結果以儀表盤方式展示，從風險發(fā)生區(qū)域、類型、嚴重程度進行不同維度的分類分析報告，用戶可以全局掌握安全風險，關注重點區(qū)域、重點資產，對嚴重問題優(yōu)先修補。對于需要定位主機安全脆弱性的安全維護人員，通過直接點擊儀表盤風險數(shù)據(jù)，可以逐級定位風險，直至定位到具體主機具體漏洞。綠盟遠程安全評估系統(tǒng)也提供了強大的搜索功能，可以根據(jù)資產范圍、風險程度等條件搜索定位風險。融入弁促進安全管理流程安全管理不只是技術，更重要的是通過流程制度對安全脆弱性風險進行控制，很多公司制定了安全流程制度，但仍然有安全事故發(fā)生，人員對流程制度的執(zhí)行起到關鍵作用，如何融入管理流程，并促進流程的執(zhí)行是安全脆弱性管理產品需要解決的問題。安全管理流程制度一般包括預警、檢測、分析管理、修補、審計等幾個環(huán)節(jié)，結合綠盟科技NSFOCUS安全研究團隊的工作，綠盟遠程安全評估系統(tǒng)能夠參與安全流程中的預警、檢測、分析管理、審計環(huán)節(jié)，并通過事件告警督促安全管理人員進行風險修補。識別非標準端口，準確掃描服務漏洞在IT系統(tǒng)安全管理中，經(jīng)常會遇到由于業(yè)務需要而改變默認應用服務端口的情況，改變協(xié)議默認端口能夠規(guī)避業(yè)務沖突、減少設備投入、充分利用資源，但某種協(xié)議在非標準端口上如何識別和掃描也成為安全管理產品需要解決的問題。綠盟遠程安全評估系統(tǒng)應用先進的非標準端口識別技術、以及豐富的協(xié)議指紋庫，能夠快速準確的識別非標準端口上的應用服務類型，并進一步進行漏洞檢測，極大的避免了掃描過程中的漏報和誤報。豐富的漏洞、配置知識庫綠盟科技NSFOCUS安全小組，有多位專職的研究員進行漏洞跟蹤和漏洞前瞻性研究，到目前為止已經(jīng)獨立發(fā)現(xiàn)了40余個關于常見操作系統(tǒng)、數(shù)據(jù)庫和網(wǎng)絡設備的漏洞，并且為國際上的知名網(wǎng)絡安全廠商提供相關漏洞的規(guī)則支持。NSFOCUS安全小組負責NSFOCUSRSAS的漏洞知識庫和檢測規(guī)則的維護，除定期的每兩周的升級外，重大漏洞的升級在全球首次發(fā)現(xiàn)后兩天內完成。依靠專業(yè)的NSFOCUS安全小組的研究積累，NSFOCUSRSAS產品知識庫已經(jīng)有超過10000條系統(tǒng)漏洞信息，涵蓋所有主流基礎系統(tǒng)、應用系統(tǒng)、網(wǎng)絡設備等網(wǎng)元對象；知識庫中還提供7大類30多種產品上百個版本的系統(tǒng)的配置檢查庫，提供綠盟科技作為專業(yè)安全廠商的加固修補建議，以及多個行業(yè)的安全配置檢查標準。典型應用方式監(jiān)督檢查或小規(guī)模網(wǎng)絡安全運維小規(guī)模網(wǎng)絡下單獨部署漏洞掃描產品，完成全部網(wǎng)絡的安全檢查，是傳統(tǒng)使用方法。綠盟遠程安全評估系統(tǒng)可以部署應用在小規(guī)模網(wǎng)絡安全運維環(huán)境中，另外，針對需要攜帶設備到現(xiàn)場的監(jiān)督檢查使用要求，提供了便攜式工業(yè)硬件的RSASNX3-P型號。使用一套綠盟遠程安全評估系統(tǒng)，通過簡單部署即可全面檢查業(yè)務系統(tǒng)的各種安全脆弱性問題。圖4.2NSFOCUSRSAS單機音B署

中小規(guī)模多子網(wǎng)安全運維對于中小企業(yè)，網(wǎng)絡規(guī)模不大，但一般會劃分為多個業(yè)務子網(wǎng)，每個子網(wǎng)都分別部署漏洞管理系統(tǒng)成本過高，而要求子網(wǎng)防火墻開放漏洞管理設備的訪問權限，又帶來安全風險。綠盟遠程安全評估系統(tǒng)提供多條鏈路掃描方式,系統(tǒng)提供多個掃描口，每個掃描口可以通過綠盟遠程安全評估系