1 概述
互联网应用系统大量使用开源软件和应用组件,且系统迭代快,可能存在各种安全漏洞,通过建设自动化漏洞扫描系统,实现安全资产统一管理,漏洞自动化监测和安全漏洞生命周期管理,提升漏洞发现效率和能力,降低漏洞被利用风险。
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。
漏洞扫描技术是一类重要的网络安全技术。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置,在黑客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然。
2 场景
定期的网络安全自我检测、评估
配备漏洞扫描系统,网络管理人员可以定期的进行网络安全检测服务,安全检测可帮助客户最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,有效的利用已有系统,优化资源,提高网络的运行效率。
安装新软件、启动新服务后的检查
由于漏洞和安全隐患的形式多种多样,安装新软件和启动新服务都有可能使原来隐藏的漏洞暴露出来,因此进行这些操作之后应该重新扫描系统,才能使安全得到保障。
网络建设和网络改造前后的安全规划评估和成效检验
网络建设者必须建立整体安全规划,以统领全局,高屋建瓴。在可以容忍的风险级别和可以接受的成本之间,取得恰当的平衡,在多种多样的安全产品和技术之间做出取舍。配备网络漏洞扫描/网络评估系统可以让您很方便的进行安全规划评估和成效检验网络的安全系统建设方案和建设成效评估。
网络承担重要任务前的安全性测试
网络承担重要任务前应该多采取主动防止出现事故的安全措施,从技术上和管理上加强对网络安全和信息安全的重视,形成立体防护,由被动修补变成主动的防范,最终把出现事故的概率降到最低。配备网络漏洞扫描/网络评估系统可以让您很方便的进行安全性测试。
网络安全事故后的分析调查
网络安全事故后可以通过网络漏洞扫描/网络评估系统分析确定网络被攻击的漏洞所在,帮助弥补漏洞,尽可能多得提供资料方便调查攻击的来源。
重大网络安全事件前的准备
重大网络安全事件前网络漏洞扫描/网络评估系统能够帮助用户及时的找出网络中存在的隐患和漏洞,帮助用户及时的弥补漏洞。
公安、保密部门组织的安全性检查
互联网的安全主要分为网络运行安全和信息安全两部分。网络运行的安全主要包括以ChinaNet、ChinaGBN、CNCnet等10大计算机信息系统的运行安全和其它专网的运行安全;信息安全包括接入Internet的计算机、服务器、工作站等用来进行采集、加工、存储、传输、检索处理的人机系统的安全。网络漏洞扫描/网络评估系统能够积极的配合公安、保密部门组织的安全性检查。
3 分类
系统扫描器:网络扫描器,主机扫描器,数据库扫描器(如:激光,Nessus)。
web漏洞扫描:SQL注入漏洞,跨站脚本漏洞(如APPScan)。
基线配置扫描器:主机配置,防火墙配置。
基于网络扫描是结合ICMP和ARP以及SNMP,对指定的网络进行活动设备的检查,得到所有的活动设备,通过SNMP取得设备的基本信息,根据基本信息确定设备类型,再根据设备的类型取得相应设备的详细信息。而基于主机的扫描器则是在目标系统上安装了一个代理(Agent)或者是服务(Services),以便能够访问所有的文件与进程,这也使得基于主机的扫描器能够扫描到更多的漏洞。二者相比,基于网络的漏洞扫描器的价格相对来说比较便宜;在操作过程中,不需要涉及到目标系统的管理员,在检测过程中不需要在目标系统上安装任何东西;维护简便。主流数据库的自身漏洞逐步暴露,数量庞大;仅CVE公布的Oracle漏洞数已达1100多个;数据库漏扫可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。
①主机扫描:确定在目标网络上的主机是否在线。
②端口扫描:发现远程主机开放的端口以及服务。
③OS识别技术:根据信息和协议栈判别操作系统。
④漏洞检测数据采集技术:按照网络、系统、数据库进行扫描。。
⑤智能端口识别、多重服务检测、安全优化扫描、系统渗透扫描。
⑥多种数据库自动化检查技术,数据库实例发现技术。
⑦多种DBMS的密码生成技术,提供口令爆破库,实现快速的弱口令检测方法。
⑧除传统的漏洞扫描外,还有SCADA、现场总线、数字化设计制造软件等工控系统的漏洞扫描,对 Schneider、Siemens、VxWorks 等 DCS 控制器嵌入式软件(包括 PLC 等)的漏洞扫描,可以发现漏洞、评估漏洞、展示漏洞、跟踪漏洞等管理能力。
4 工控漏洞扫描产品
4.1 工控漏洞扫描
对在工业控制系统中使用的传统 IT 设备/系统,比如操作系统、交换机、路由器、弱口令、FTP 服务器、Web 服务器等,进行安全评估,还可以针对工业控制系统中所特有的设备/系统,比如 SCADA、DCS、PLC 等,以及处于上游的数字化设计制造软件进行漏洞扫描;同时,不仅可以对系统的漏洞进行评估,还可以对一些关键系统的配置进行安全性评估;同时,还可对主流的工控协议进行支持。
4.2 无损扫描技术
在工业控制系统中,业务的连续性、健康性是至关重要的,尤其是对一些核心监控、生产系统,因此,对其进行漏洞扫描时也需要做到“无害”、“无损”。把扫描融入到正常的业务中的思路,也就是说,扫描行为与正常的业务行为是一致的,这样就能避免非正常的操作而造成对系统的影响。
4.3 可视化的工控风险展示
风险“可视化”是进行风险管控必不可少的特性。科学的风险发现、风险跟踪技术可以很好的提高整体风险控制的水平,可为企业带来更高的效率,有的甚至可以提高效果。
如资产整体的风险值、资产分析趋势图;主机风险等级分布、资产风险分布趋势;当前资产的风险值及过去一段时间的变化趋势。
4.4 基于工控资产的漏洞跟踪
工控系统一般规模大,资产数量、漏洞数量、脆弱性问题也很多,汇总成大量的风险数据,会使安全管理人员疲于应付,又不能保证对重要资产的及时修补。因此在漏洞跟踪是需要尽量收集工控系统环境信息,建立起工控资产关系列表,系统基于资产信息进行脆弱性扫描和分析报告;需要从风险发生区域、类型、严重程度进行不同维度的分类分析报告,用户可以全局掌握安全风险,关注重点区域、重点资产,对严重问题优先修补。对于需要定位工控资产安全脆弱性的安全维护人员,通过直接点击仪表盘风险数据,可以逐级定位风险,直至定位到具体主机具体漏洞;同时需要提供了强大的搜索功能,可以根据资产范围、风险程度等条件搜索定位风险
4.5 完善的漏洞管理流程
安全管理不只是技术,更重要的是通过流程制度对安全脆弱性风险进行控制,很多公司制定了安全流程制度,但仍然有安全事故发生,人员对流程制度的执行起到关键作用,如何融入管理流程,并促进流程的执行是安全脆弱性管理产品需要解决的问题安全管理流程制度一般包括预警、检测、分析管理、修补、审计等几个环节,结合安全流程中的预警、检测、分析管理、审计环节,并通过事件告警督促安全管理人员进行风险修补。
4.6 持续快速漏洞响应机制
持续跟踪国内外最新发布的工控漏洞,并通过自建、合作等方式搭建工控漏洞实验环境,对工控漏洞进行分析和解剖,并把漏洞扫描的能力持续添加到产品中。这种严谨科学的漏洞规则添加方式,可以更加有效地保证检测的准确性,以及减少从漏洞发现到漏洞检测之间的时间窗口,达到持续快速的漏洞响应效果。