等保2.0之漏洞扫描系统技术方案建议书

等保2.0之漏洞扫描系统技术
方案建议
目录
1 概述 (3)
2 ××企业网络分析 (3)
2.1 ××企业网络现状 (3)
2.2 ××企业网络主机及应用调研 (3)
2.3 ××企业网络安全风险问题与分析 (3)
3 ××企业漏洞扫描系统需求 (4)
3.1 ××企业漏洞扫描系统设计原则 (4)
3.2 ××企业漏洞扫描系统需求 (4)
4 XX漏洞扫描器解决方案 (5)
4.1 XX漏洞扫描系统简介 (5)
4.2 ××企业漏洞扫描器部署模式 (6)
4.2.1 单机部署 (6)
4.2.2 分布式部署 (7)
4.3 应用场景 (7)
4.3.1 金融行业互联网风险管理 (8)
4.3.2 政府信息中心漏洞扫描器 (8)
4.3.3 能源行业漏洞扫描器 (9)
4.3.4 中小企业和分支机构漏洞扫描器 (9)
4.3.5 大型企业漏洞扫描器 (10)
4.3.6 教育行业漏洞扫描器 (11)
4.4 ××企业网络安全解决方案优点总结 (11)
5 XX漏洞扫描系统给用户带来的价值 (12)
5.1 快速部署 (12)
5.2 一体化策略管理 (12)
5.3 多功能综合评估 (12)
6 XX服务 (13)
6.1 服务理念 (13)
6.2 服务内容 (13)
6.3 服务保障 (13)
1 概述
在Internet飞速发展的今天，网络已成为企业的重要生产工具，员工可以通过网络进行办公、公司的核心数据也利用网络设备进行存储，但由于组网设备及开发人员的安全能力参差不齐，会使网络存在逻辑设计上的缺陷或错误，而产生安全隐患。

面对愈加恶劣的网络环境，单纯的网络防护产品已经不能够为企业带来足够的安全，越来越多的客户开始关注网络环境自身的安全性。

XX漏洞扫描系统，集系统扫描、Web扫描、数据库扫描、安全基线及弱口令于一身，可对网络环境的各个环节进行全方位的安全评估。

2 ××企业网络分析
通过与××企业进行深入的交流，我们对其网络进行了充分的了解与分析。

2.1 ××企业网络现状
此部分主要包括两个部分：
1．××企业内部网络拓扑图，明确各个区域分布及连通情况。

2．××企业内部业务承载及分布情况
2.2 ××企业网络主机及应用调研
给出企业现网的主机及业务系统列表，可以根据主机及应用类型来制定扫描计划
2.3 ××企业网络安全风险问题与分析
此部分主要包括以下几个部分(主要根据与客户的沟通以及我们自己的分析给出：
1．××企业内部没有进行风险评估能力建设，无法有效感知到网内的安全风险；
2．××企业内部有重要业务系统，应用及数据库可能存在漏洞，存在信息泄露风险；
3．××企业员工电脑可以连接互联网，可能存在被利用漏洞植入木马的风险；
3 ××企业漏洞扫描系统需求
针对××企业漏洞扫描系统问题与分析给出简要的描述，例如：通过深入的交流与分析，××企业漏洞扫描系统需求分为四个部分：发现网内主机风险、发现应用系统漏洞、发现数据库漏洞，提升整体网络环境安全。

3.1 ××企业漏洞扫描系统设计原则
根据××企业对网络安全的需求以及XX公司对网络安全的积累，我们提出××企业漏洞扫描系统设计必须满足以下原则：
1．安全性原则：充分保证系统的安全性。

使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。

2．可靠性原则：保证产品质量和可靠性，对项目实施过程实现严格的技术管理和设备的冗余配置，保证系统的可靠性。

3．先进性原则：具体技术和技术方案应保证整个系统具有技术领先性和持续发展性。

4．可扩展性原则：IT技术的发展和变化非常迅速，方案采用的技术具有良好的可扩展性，充分保护当前的投资和利益。

5．可管理性原则：所有安全系统都应具备在线式的安全监控和管理模式。

3.2 ××企业漏洞扫描系统需求
新增漏洞扫描系统，用以满足××企业以下需求(根据××企业漏洞扫描系统问题与分析
给出需求)：
企业漏洞扫描系统需求：
1．员工上网行为不规范，使主机漏洞被利用。

2．公司机密信息被窃取，遭受损失。

3．公司网络设备遭到攻击，办公网络无法使用。

4．公司业务系统遭受攻击，使得业务中断。

政府漏洞扫描系统需求
1.政府网站被篡改，遭受政治风险。

2.在线政务系统被攻击，影响政府形象和办事效率。

3.办公电脑被攻击，导致敏感信息被窃取。

4.政府网站数据库被攻击，散布非法言论。

教育行业漏洞扫描系统需求
1.学校网站被篡改，影响学校形象。

2.学籍、学分系统数据被篡改
3.线上教学系统被攻击
4.……
4 XX漏洞扫描器解决方案
4.1 XX漏洞扫描系统简介
XX漏洞扫描系统是XX在充分了解客户和市场需求的基础上，通过成熟的系统设计推出的漏洞扫描器，具有准确的漏洞识别、全面的资产覆盖、高效的扫描速率等特点。

XX漏洞扫描系统是国内业界漏洞收录最丰富的漏洞扫描器。

该系列产品提供系统扫
描、Web扫描、数据库扫描、基线扫描及弱口令等多项功能，为企业运维人员提供安全自查能力、营造安全可靠的网络环境、以及法规遵从提供了一体化的解决方案。

4.2 ××企业漏洞扫描器部署模式
根据对××企业的需求分析选择以下的一个方案或者进行方案综合
4.2.1单机部署
传统的组网中，根据扫描目标的不同，可以把漏洞扫描器部署在某一个区域进行单区域扫描，或者是核心交换机旁边进行全网扫描。

●适用于小型企业用户，网络设备集中，XX漏洞扫描器可以对网内各个主机
及应用可达。

●扫描主机和Web网站数量较少，单台设备能够完成扫描任务。

Internet用户
图1.单机部署
4.2.2分布式部署
每一个网络节点部署一个引擎，完成单个节点的扫描任务。

网络可达处部署一台管控中心，有扫描任务的配置、调度、统计、展示等管理功能。

整个网络框架中，扫描引擎和管控中心都可以根据系统规模进行扩展，从而达到不同数量级别的扫描。

●适用于中大型企业用户，网络设备分散或是有多个分支机构，XX漏洞扫描
器可以在各个节点部署分布式扫描引擎，由管控中心进行统一的调度、统
计；
●扫描主机和Web网站数量较多，需要多台分布式引擎性能支撑能够完成扫
描任务。

图2.路由模式
4.3 应用场景
请根据具体项目场景选择
4.3.1金融行业互联网风险管理
在总部和分支机构内网分别部署漏洞扫描器可以有效降低内网环境风险。

在总部和分支机构分别部署漏洞扫描器，通过漏洞扫描器分布式管理中心对漏洞扫描器分布式引擎进行集中统一管理。

通过对集团总部及分支漏洞的统一发现、管理，可以宏观的感知集团内网环境的安全风险，防患于未然。

该应用场景主要实现如下目的：
●运维投入集中，减少分支运维压力
集团内运维资源往往集中于总部，分支机构运维能力薄弱，漏洞扫描器分布式部署，可以由总部对分支引擎进行统一调度、管理，减少分支运维人员的投入。

●减少远程扫描误差
分布式部署模式，可以将扫描引擎部署与各个分支机构内网进行本地扫描，之后将结果统一汇总至分布式管理中心，避免了探测流量在传输过程中的误拦截而产生误差。

●集团网内环境风险的宏观感知
通过集中管理的优势，可以实时的掌握整个集团内网的安全风险及风险变化趋势，通过对风险态势的判断，及时的采取相应的处置措施，在攻击到来之前排除隐患。

4.3.2政府信息中心漏洞扫描器
政府机关网络一般包括政务外网和政务内网，电子政务规划，政务内网网内互联互通，与互联网物理隔离，既可以由政务内网运营单位对网内所有资产进行统一探测，也可以在各个单位分别部署分布式探针进行探测。

该应用场景主要实现如下目的：
●有效发现网内薄弱环节
作为政务内网运营单位，有对网络的连通性、可用性和安全性进行保障的指责，
定期的对网内风险进行探测可以有效的定位和排除风险，防止个别单位的安全意
识不足而成为整个政务网的薄弱环节。

●避免政务信息窃取
政务内网是各个政府单位办公和存放重要政务，对漏洞及时的发现和修补可以有
效地避免攻击者通过漏洞而非法获取到内网数据。

●避免产生政治风险
防止应用服务器上存在漏洞被攻击者利用，获得网站修改权限而对网站页面进行
篡改，引发政治风险。

●合规性
定期制定漏洞扫描工作，以符合国家等级保护及等级保护2.0的管理要求。

4.3.3能源行业漏洞扫描器
在网内核心交换机除部署漏洞扫描器，通过对网内终端、网络设备及应用的风险发现和修补，打造安全可靠的上网、办公环境。

该应用场景主要实现如下目的：
●保护员工办公安全
保证员工的办公电脑不存在高危漏洞，而被黑客利用，进行木马、病毒植入或是
窃取员工电脑数据。

●保护内网服务器的数据安全
避免攻击者利用服务器漏洞，达到越权的目的，而访问或是下载权限外的数据。

●防止用户访问用户服务网站被挂马
在线自服务网站，是现在能源企业销售资源的重要途径，及时的对在线网站进行
漏洞排查修补，可以有效防止攻击者利用漏洞进行挂马的行为，从而保护客户不
会在自服务时被下载木马。

4.3.4中小企业和分支机构漏洞扫描器
旁路部署在内网交换机是漏洞扫描器产品在中小企业和分支机构中常见的应用场景。

主要用于安全自检、风险自查，及时发现和修补内网的安全风险。

将漏洞扫描器旁路部署在公司核心交换机，确保设备与内网各区域网络可达，通过对员工主机、网络设备、服务器以及应用风险的有效发现，可以帮助运维人员及时的修补，
为企业打造安全可靠的网络环境。

该应用场景主要实现如下目的：
●保护员工办公安全
保证员工的办公电脑不存在高危漏洞，而被黑客利用，进行木马、病毒植入或是
窃取员工电脑数据。

●保障办公网络高可用
及时排查、整改网内网络设备的自身风险，防止攻击者利用网络设备漏洞造成企
业网络中断。

●保证办公应用安全性
对企业日常办公使用的OA、ERP、CRM及财务等服务器、应用进行漏洞发现和
修补，可以有效地防止企业内薪资泄密、客户数据泄露等事件的发生。

4.3.5大型企业漏洞扫描器
大型企业在网络设计之初，往往会注重区域隔离设计，将不同密级、职能部门的网络进行区分和隔离，导致内网各个区域无法互联互通，此时便需要在多个区域同时部署漏洞扫描器，以达到漏洞发现能力能全网覆盖的目的。

该应用场景主要实现如下目的：
●保护员工办公安全
保证员工的办公电脑不存在高危漏洞，而被黑客利用，进行木马、病毒植入或是
窃取员工电脑数据。

●保障办公网络高可用
及时排查、整改网内网络设备的自身风险，防止攻击者利用网络设备漏洞造成企
业网络中断。

●保证办公应用安全性
对企业日常办公使用的OA、ERP、CRM及财务等服务器、应用进行漏洞发现和
修补，可以有效地防止企业内薪资泄密、客户数据泄露等事件的发生。

●保证高密级办公区域的网络安全
对于高密级办公区域的网络环境，需要提出更高的安全要求，利用XX漏洞扫描
器，不仅可以对办公电脑及区域网络设备进行风险评估，还可以通过基线扫描能
力和弱口令检测能力，发现更多的人为操作带来的风险。

4.3.6教育行业漏洞扫描器
教育网部署漏洞扫描器产品可以实现师生绿色上网，保障师生健康的上网环境。

目前，越来越多的高效和中小学都开办了自己的门户网站，学籍、招生等重要业务也都在向线上转移，在线运营的站点安全显得尤为重要。

该应用场景主要实现如下目的：
●保障教学质量
通过对教学资源的漏洞发现和整改，防止不法分子对学生教学资源进行攻击和恶
意篡改，而影响学校的教学质量。

●保障校园形象
门户网站作为学校形象宣传的重要媒介，被攻击者篡改会损害学校形象，甚至造
成不良的社会影响。

●保证在线系统的可用性
在学校招生旺季，许多家长会通过学校的招生网站进行查询或是报名，攻击者利
用漏洞导致系统的不可用，会造成家长的不满情绪。

4.4 ××企业网络安全解决方案优点总结
●最丰富漏洞发现能力
☐数量最大，系统漏洞库60000+万，。

☐稳定更新，每周五更新，及时收录最新漏洞；严重漏洞爆发时，24小时内进行响应。

●最全面的漏洞发现能力
☐功能覆盖全，集合系统扫描、Web扫描、数据库扫描、基线扫描、弱口令扫描五合一扫描能力。

☐资产覆盖全，可以对操作系统、网络设备、安全设备、中间件、Web应用等进行准确识别，全面覆盖网内资产。

●最准确的漏洞发现能力
☐登陆扫描，对系统、数据库及Web应用均可执行登陆扫描，发现更深层次的安全问题。

☐漏洞验证，可以对扫描出来的漏洞进行验证，排除误报。

5 XX漏洞扫描系统给用户带来的价值
漏洞扫描系统是XX在充分了解客户和市场需求的基础上，通过成熟的系统设计推出的漏洞扫描器，具有丰富的漏洞库、资产覆盖全面、漏洞发现准确、五大功能合一等特点。

5.1 快速部署
配合客户的配置向导，可实现快速部署，无需专业人员到场，大幅节约部署成本。

5.2 一体化策略管理
XX产品的策略配置集成系统扫描、Web扫描、数据库扫描、基线扫描、弱口令扫描于一体，同一界面下可以实现多功能的配置，灵活方便，维护简单。

5.3 多功能综合评估
凭借漏洞扫描系统的多功能合一的特点，可以对网内设备进行全面覆盖，通过多个维度的深入检测，帮助客户对网络风险进行全方位掌握。

6 XX服务
6.1 服务理念
1) 实现客户满意
树立以客户为中心的工作作风，强化服务意识和服务技能，以优质服务切实保障网络安全运行质量，赢得客户满意。

2) 追求服务领先
不断完善服务内容，追求服务的专业化、标准化和多元化。

注重主动服务和个性化服务，塑造优质服务品牌，实现业界领先。

6.2服务内容
6.3 服务保障
XX公司项目实施保障分为三级保障体系：办事处、公司技术支持部、研发体系。