漏洞扫描产品解决方案V6.0

天镜脆弱性扫描与管理系统

解决方案

@

北京启明星辰信息安全技术有限公司

2014-07-20

"

一. XX 网络现状以及需求分析

1.1 XX 网络现状

>

XX 公司网络结构为三级网络结构，连接全国其它各省XX 公司的网络，下接XX省各地市县XX 公司的网络。具体分为办公网络和生产网络，其中生产网络为XX公司最重要的网络。目前在办公网络和生产网络中有多台重要服务器、终端，在各个网络的边界部署有网络互联设备如交换机和路由器等等，同时还部署了边界保护设备防火墙以及网络区域保护设备入侵检测系统等安全防护设备。

1.2 XX网络安全风险分析

虽然XX 公司已经部署了诸如防火墙、入侵检测系统等安全防护工具，但网络系统存在安全漏洞（如安全配置不严密等）和操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。入侵者通常都是通过一些程序来探测网络中系统中存在的一些安全漏洞，然后通过发现的安全漏洞，采取相关技术进行攻击。

1.3 XX网络安全需求

面对XX 网络的复杂性和不断变化的情况，依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，制定符合XXXX 网络应用的安全策略显然是不现实的。解决的方案是，寻找一种能寻找网络安全漏洞、评估并提出修改建议的网络安全分析评估系统。检测现有网络中的边界设备（如路由器交换机）、网络安全设备（防火墙、入侵检测系统）、服务器（包括内部网络系统的各种应用服务器）、主机、数据库等进行扫描，预先查找出存在的漏洞，从而进行及时的

修补，对网络设备等存在的不安全配置重新进行安全配置。

二. 解决方案

2.1 系统选型

漏洞扫描系统（扫描对象包括网络设备、主机、数据库系统）使企业有机会在故障出现之前将其修复，而不是对一项已经进行的入侵或误用情况作出反应。

:

漏洞扫描可以让用户首先防止入侵。漏洞扫描也许对那些没有很好的事件响应能力的用户会有帮助。

在XX 网络系统中，我们建议部署一套天镜脆弱性扫描与管理系统，能同时对内、外网络的网络设备（如路由器、交换机、防火墙等）、小型机、PC SERVER 和PC 机操作系统（如Windows）和应用程序（如IIS）由于各种原因存在一些漏洞（包括系统漏洞、脆弱口令等），这些漏洞可能会给内部和外部不怀好意的人员有可趁之机，造成不应该有的损失。

2.2 扫描系统部署

天镜连接网管交换机或者中心交换机上，进行网络安全评估，比如小型机、PC SERVER、网络设备（交换机、路由器等）、安全设备（如防火墙）及各工作站系统，进行周期性的安全扫描，得出评估分析报告，然后进行相应的漏洞修补或重新设计安全策略，以达到网络中硬件设备系统和应用平台的安全化。

部署后网络拓扑(根据实际情况进行部署)

2.3 天镜主要功能

2.3.1 资产发现与管理

\

天镜能够通过综合运用多种手段（主机存活探测，智能端口检测，操作系统指纹识别等）全面、快速、准确的发现被扫描网络中的存活主机，准确识别其属性，包括主机名称、设备类型、端口情况、操作系统以及开放的服务等，为进一步脆弱性扫描做好准备。

同时，天镜的资产管理功能能够为用户管理被扫描的IT资产提供方便，同时作为脆弱性风险评估的基础部分，为评估主机和网络的脆弱性风险提供依据。天镜资产管理的主要功能包括：

资产导入导出

资产数据可以方便的从历史扫描结果中自动发现，也可以通过格式列表文件批量导入，更可以灵活的手工添加资产。同时，资产数据也可以格式列表文件导出，应用于其他系统。

部门管理

资产条目以部门目录树的框架进行展现，方便用户将脆弱性评估工作与具体业务规划相关联。对部门的操作包括新建、编辑、删除等，在部门中可以指定所属资产的IP范围和责任人，这样，自动搜索或者添加的资产即可划归到相应部门。

资产属性维护

资产管理抽取了进行脆弱性风险评估所需的关键属性对资产进行描述和维护，其中包括资产的基本属性（IP，名称、编号以及分类等），资产价值以及保护等级。资产价值和保护等级跟实际的网络应用环境密切相关，可使用户明确哪些是重要资产以及那些资产保护程度如何。

2.3.2 -

2.3.3 脆弱性扫描与分析

渐进式的扫描方法能够让天镜利用已经发现的资产信息进行针对性扫描，以发现主机上不同应用对象（操作系统和应用软件）的弱点和漏洞，同时保证扫描过程的快速和结果的准确。目前，天镜可检测的漏洞数量已经超过9300+种，扫描对象涵盖各种常见的网络主机、操作系统、数据库系统、Web应用等。

任务管理和策略管理功能，可以使用户的扫描操作变得更加方便和灵活。用户可以使用默认扫描策略或者自定义扫描策略，创建特定或者自动计划任务，调整扫描参数以提高扫描效率，甚至可以在同一个任务中对不同的对象采用不同的策略进行扫描，从而方便的实现更具针对性的脆弱性扫描。

在扫描任务执行的过程中，天镜就可以将扫描的过程信息、阶段性的扫描结果实时显示出来，并且可以生成在线报表。在扫描任务结束后，使用天镜的报表管理功能可以对扫描结果进行细致全面的分析，生成面向不同安全管理角色诸如主管领导、管理人员、技术人员的客户化报表。天镜的报表分漏洞扫描、资产统计和弱点评估3大类20多种，以统计、比较、交叉、评估、详述等多种方法对扫描结果进行分析，支持以XML、HTML、WORD、Excel、PDF、RTF等多种常用格式导出，方便用户使用。

2.3.4 脆弱性风险评估

天镜能够对漏洞、主机和网络的脆弱性风险进行评估和定性。

天镜采用最新的CVSS v2标准来对所有漏洞进行统一评级，客观的展现其危险级别。在此基础上，天镜利用漏洞的CVSS评分，综合被扫描资产的保护等级和资产价值，采用参考国家标准制定的风险评估算法，能够对主机、网络的脆弱性风险做出定量和定性的综合评价，帮助用户明确主机和网络的脆弱性风险等级，制定出合理的脆弱性风险管理策略。

漏洞信息的描述中包含CVSS评分，主机和网络的脆弱性风险评估结论会在弱点评估报表中直接体现，并且对风险控制措施做出建议。

2.3.5 《

2.3.6 弱点修复指导

通过CVSS评分，天镜能够直接给修复工作提供优先级的指导，以确保最危险的漏洞被先修复。下表显示了CVSS评分和修复工作优先级的关系，并给出推荐的修复工作时限：

表1.漏洞修复工作的优先级别

天镜的每个漏洞都有详细的描述，包括漏洞的说明、影响的系统、平台、