立哥先进技术-大集群金融系统安全防护
设计目标
基于金融云资源池面向客户提供云计算服务实际情况,综合考虑金融云资源池的云安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心和安全管理等层面的网络安全需求,设计合规、正确、有效的云网络安全等级保护方案,满足《网络安全等级保护定级指南(GB/T22240)》、《网络安全等级保护基本要求(GB/T22239-2019)》、《网络安全等级保护设计技术要求(GB/T25070-2019)》标准中四级安全要求,并为通过等级保护测评和密码应用安全性评估奠定基础。
总体设计路线
- 体系化设计方法
以等级保护安全框架为依据和参考,在满足国家法律法规和标准体系的前提下通过“一个中心,三重防护”的安全设计,形成网络安全等级保护综合防护体系。体系化的进行安全方案设计,全面满足等级保护安全需求及网络安全战略目标。网络安全等级保护安全框架如下:
- 等级化设计方法
等级保护政策、标准、指南等文件要求,对保护对象进行区域划分和定级,对不同的保护对象从安全物理环境、安全通信网络、安全区域边界、安全计算环境等方面进行不同级别的安全防护设计。同时统一的安全管理中心保障了安全管理措施和防护的有效协同及一体化管理,保障了安全措施及管理的有效运行和落地。
总体框架设计
根据网络安全法、等级保护基本要求等相关法规标准的要求,结合总体设计路线,金融云资源池网络安全等级保护体系构建将紧密围绕未来所服务的客户业务系统安全需求,形成1+1+3网络安全架构体系,即安全管理中心、云安全管理平台、安全管理体系、安全技术体系、安全运营体系三个体系,落实三同步全面保障基础设施及业务安全整体框架。
(一)安全管理体系
通过金融云资源池安全管理机构设计,建立行之有效和及时响应的管理机制,建立确保网络安全总体方针和安全策略实施的安全管理制度,不断强化金融云资源池网络安全管理,健全完善的网络安全管理体系。
(二)安全技术体系
基于金融云资源池业务安全需求,等级保护安全技术体系要求的防护能力,建设包含安全物理环境、安全通信网络、安全区域边界、安全计算环境等安全防护能力,覆盖物理安全、网络安全、云平台安全、组件安全、数据安全、应用安全等技术能力的多层防护体系。规划建设安全基础设施,包括:环境感知、身份认证、动态授权、行为分析、动态控制、安全审计等安全保障能力,全面对实现 访问人员到设备之间的“零信任”。
(三)安全运营体系
落实网络安全法三同步要求,借鉴先进的自适应安全体系架构和模型思路,贯彻“同步规划、同步建设、同步运营”的安全运营理念,结合金融云资源池云业务实际情况和需求,构建同步规划机制,形成需求调研、差距分析、系统定级、规划设计、规划评审的安全规划机制;构建同步建设机制,形成系统开发、系统测试、上线评估、安全验收、系统备案的安全建设机制;构建同步运营机制,形成预测、防御、检测、响应的闭环安全运营机制,打造三步一体的安全运营机制,支撑金融云资源池云业务持续性安全保障工作,确保安全稳定运行。
(四)安全管理中心
基于安全管理体系、安全技术体系、安全运营体系能力的建设,安全工作流程、制度、工作交付开展,统一实现资产风险展示、应用系统安全监测、云安全监测、终端安全监测、网络安全监测,实现整体安全管理、审计管理、系统管理、集中管控,为安全管理、风险管控提供有效的决策支撑。
(五)云安全管理平台
云安全资源管理:结合新建云资源池以外的安全资源池、云资源池内的虚拟安全产品以及主机安全软件等,形成可弹性共享的云安全资源平台;云安全管理:从资源管理、配置管理、组件编排和运行监控四个方面入手,针对新业务上线,按需自动实现安全资源实例创建、网络部署以及生成相应的安全防护策略,提升云安全资源利用率和运营效率;云安全运营:从风险管理、事件管理、运营组织和流程组件等方面入手,借助大数据分析技术、人工智能技术和威胁情报,实现云安全风险提前发现、以及云安全威胁快速响应处置和溯源。
等级保护方案
安全技术体系设计
根据金融云资源池定级为等级保护第四级的实际情况,在进行安全技术体系详细设计时,严格遵循《网络安全等级保护安全设计技术要求》(GB/T 25070-2019),通过对安全计算环境、安全区域边界、安全通信网络中各种防护措施的详细设计,形成“信息安全技术体系三重防护”的信息安全技术防护体,达到《网络安全等级保护基本要求》(GB/T 22239-2019)中对安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等方面技术要求,切实达到金融云资源池等级保护的标准。
安全管理体系设计
1)安全管理制度
按照《信息系统安全管理要求》(GB/T 20269-2006)对于确定的安全保护等级、安全策略制度设计要求,进行安全策略和管理制度的设计,建立信息安全方针、安全策略、安全管理制度、安全技术规范以及流程的一套信息安全策略体系,并定期对管理制度和管理措施进行评审修订,确保管理制度和管理措施持续符合审计机关安全要求。
项目组制定安全管理制度,在整个项目实施过程中严格实施制度。防范社会工程学攻击,并落实以下工作:
1、严禁设置弱口令。
2、严禁使用非办公邮箱代收工作邮件。
3、严禁点击来路不明邮件中的链接过打开附件。
4、严禁将账号与口令明文保存与终端上。
5、严禁将系统涉及文档、网络拓扑等敏感信息存放于服务器上。
6、严禁将本人使用账号口令告知他人。
7、严禁未经允许远程控制甲方公司内各类设备或执行各项指令。
8、严禁将网站或系统源代码上传至互联网。
9、严禁将甲方业务系统设置为自动登录。
10、严禁私自在甲方办公网络及其他网络中搭建无线热点。
11、严禁将终端跨接内外网。
12、严禁未经甲方同意开通内部系统的互联网出口。
13、严禁在互联网上的外部网站或应用上使用甲方设备、系统上相同的账号或口令。
2)安全管理机构
按照《信息系统安全管理要求》(GB/T 20269-2006)对于确定的安全保护等级安全管理机构设计要求,进行金融云资源池安全管理机构的设计。建立符合金融云资源池机构设置和人员分工特点信息安全管理组织体系,成立信息安全领导小组等信息安全管理机构,明确信息安全管理机构的组织形式和运作方式,建立高效的安全管理机构,设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责,并从人员配备、授权和审批、沟通和合作、审核和检查各方面进行管理落地。
3)安全管理人员
在人员安全管理方面,主要通过对于人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理几个方面,落实网络安全等级保护四级安全要求安全管理人员要求的内容。
4)安全建设管理
严格落实同步规划、同步建设的要求,在金融云资源池建设的工程中,要实现对定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等过程的安全管理。
5)安全支撑与服务管理
按照《信息系统安全管理要求》(GB/T 20269-2006)对于确定的安全保护等级设计安全支撑与服务管理体系,对环境、资产、介质和设备进行综合监控管理,具体包括:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络与系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理及外包支撑与服务管理等内容,确保系统安全稳定运行。
云安全扩展设计
1)安全物理环境
基础设施位置
云计算数据中心及物理设施、云计算平台的支撑与服务和运营系统建设位置,根据等级保护相关要求,位于中国境内;
2)安全通信网络
网络架构
金融云资源池平台通过独立的资源池部署,采用软件定义网络的技术,构建不同的网络安全区域,实现不同云服务客户虚拟网络之间及同一云服务客户不同虚拟网络之间的隔离;建立安全资源池,根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。
3)安全区域边界
访问控制
金融云资源池平台禁止应用系统用户访问云平台的宿主服务器和管理系统。
云平台中创建的虚拟应用服务器和虚拟数据库服务器,其业务流量分别汇聚至应用处理区和数据存储区,同物理服务器一样,跨区域的虚拟服务器间的互访需要经过区域边界防火墙。
入侵防范
部署入侵检测系统,对云平台的宿主服务器和虚拟服务器的网络流量进行检查,发现网络攻击行为,或宿主机与虚拟机、虚拟机与虚拟机之间的异常流量,及时通过资源与安全管理中心进行告警。
安全审计
云平台开启安全审计功能,对虚拟资源的创建、删除、关闭、重启等关键操作进行审计。云平台宿主服务器开启日志审计功能,对系统root用户执行的操作,或其他用户执行的特权命令进行审计。
4)安全计算环境
身份鉴别
身份鉴别需要考虑云服务客户操作系统及其承载的重要业务系统、云平台自身管理及云平台中网络设备的身份认证与授权等几个层面。
首先,在云服务客户操作系统及其承载的重要业务系统层面,需要采用两种或两种以上组合的鉴别技术对用户进行身份鉴别;在网络策略控制器和网络设备(或设备代理)之间则应建立双向身份验证机制。可通过支撑与服务堡垒机实现,且支撑与服务堡垒机应能够具备VMware、KVM、Hyper-V等主流虚拟化平台的适配能力。
其次,在云平台自身管理层面,其管理用户权限须采取分离机制,为网络管理员、系统管理员建立不同账户并分配相应的权限,且远程管理终端与云计算平台边界设备之间应建立双向身份验证机制。该需求应由云平台自身的认证管理和授权机制实现。
访问控制
建立云平台管理用户权限分离机制,为网络管理员、系统管理员和安全审计员建立不同账户并分配相应的权限。
入侵防范
对虚拟服务器内部署入侵防范软件防止外部和内部的攻击,同时对操作系统、数据库和应用进行审计,对管理员对虚拟资源执行的操作进行记录。
恶意代码防范
金融云资源池支持云服务客户自行安装防恶意代码软件,并支持更新防恶意代码软件版本和恶意代码库。
镜像和快照保护
云平台提供镜像、快照完整性校验功能,具备发现虚拟机镜像、快照损坏或篡改功能。云平台提供国产密码技术或其他技术手段,防止虚拟机镜像、快照中的敏感资源被非法访问。对云平台中的物理服务器和重要的虚拟服务器实施安全加固,调整包括账户策略、日志审计、防火墙等方面的安全设置。
数据完整性和保密性
云平台应使用校验技术或国产密码技术,同时支持云服务客户选择第三方密钥加解密数据,保证虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施。
数据备份恢复
云服务客户应在本地保存其业务数据的备份;要求提供查询云服务客户数据及备份存储位置的能力;云服务商的云存储服务保证云服务客户数据存在若干个可用的副本,各副本之间的内容应保持一致;要求为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段,并协助完成迁移过程。
剩余信息保护
云平台应保证虚拟机所使用的内存和存储空间回收时得到完全清除。
5)安全管理中心
集中管控
通过资源与安全管理中心,对云平台中的各种物理、虚拟资源进行集中监测,对运行在云平台下的各个虚拟应用的日志进行集中审计。
6)
(7)安全支撑与服务管理
1)云计算环境管理
云平台安全支撑与服务过程中产生的配置数据、日志信息等存储在金融云资源池中,如需存放至其他位置,必须经主管部门批准。
2)网络和系统安全管理
制定相关策略,持续监控设备、资源、服务以及安全措施的有效性,并将安全措施有效性的监控结果定期提供给云服务客户。
3)应急预案管理
将应急预案提前告知云服务客户。
安全运营体系设计
1)防御
安全策略优化
策略信息收集后,结合实际业务安全需求,对现有安全策略进行差距分析,发现策略缺失、策略冗余、策略未废止等问题,并制定相应工作方案开展策略优化工作,内容包括:访问控制策略优化、安全防护策略优化、行为审计策略优化等,通过安全策略优化完善策略可用性,提升防护能力。针对所有需要安全策略优化的安全设备输出安全策略优化报告,该报告内容是记录了优化前和优化后的策略变化情况。
安全基线评估
通过“自动化工具配合人工检查”方式参考安全配置基线进行检查,主要包括网络设备安全配置基线、安全设备安全配置基线、操作系统安全配置基线、数据库安全配置基线、中间件安全配置基线等,采用主流的安全配置核查系统或检查脚本工具,以远程登录检查的方式工作,完成设备的检查,针对物理隔离或网络隔离的设备使用检查脚本工具来补充完成检查工作。
依据安全技术标准对网络设备、安全设备、操作系统、数据库以及中间件的安全配置基线要求或结合安全评估结果,按照安全整改建议,由安全服务人员协助客户支撑与服务人员实施安全加固。最终符合安全标准保障安全运行。
上线安全评估
各业务应用系统随着业务发展及应用更新的需要,存在新业务系统上线及应用系统版本变更的需求,为了避免系统带病上线影响全局安全,在业务系统上线及应用变更时应按照合规要求进行全面安全检测分析。
开展代码安全检测对软件源代码及架构的安全性、可靠性进行全面的安全检查,充分挖掘当前源代码中存在的安全缺陷以及规范性缺陷;
开展应用渗透测试,以人工渗透为主,辅助以攻击工具的使用,模拟真实的安全攻击,发现黑客入侵信息系统的潜在可能途径;
开展APP安全评估,通过对网络通讯、服务器端、客户端(IOS、安卓)、数据和业务逻辑等多个层面进行细致的梳理、测试和分析,发现APP面临的安全风险。
安全设备支撑与服务
安全设备运行维护针对金融云资源池安全防护体系中构建的安全产品,在运行过程中所进行的一系列常态化维护工作,包括设备运行安全监测、设备运行安全审计、设备及策略备份更新等工作。通过安全产品运行维护工作的开展保障安全产品最优化运行。针对所有需要安全产品支撑与服务的安全设备输出安全产品支撑与服务记录单,该记录单内容是记录了安全产品运行过程中变化情况、出现的问题、问题的解决等。
2)预测
威胁情报预警
威胁情报预警是基于网络安全威胁情报来监测和管理金融云资源池资产的安全健康状态,主动提供安全事件预警、分析以及处置,利用第三方安全大数据进行关联分析和行为分析,精确地标签出威胁情报,提供安全预警,可帮助金融云资源池保持其IT基础设施的更新,更好地积极阻止安全漏洞,并采取行动来防止数据丢失或系统故障,从而有效地抵御攻击者。威胁情报预警根据不同时期发生的如安全漏洞、安全事件等提供有针对性的威胁情报分析报告。
网络暴露面分析
基于网络扫描、搜索引擎、互联网基础数据引擎主动探测金融云资源池业务应用系统在互联网上暴露的资产,可以形成明确的资产清单,发现金融云资源池各业务应用系统的未知资产。通过大数据挖掘和调研的方式确定资产范围,进行主动精准探测深度发现暴露在外的IT设备、端口以及应用服务,发现活跃资产及“僵尸”资产,由安全专家对每个业务梳理分析,结合用户反馈的业务特点对资产重要程度、业务安全需求进行归纳,最终形成金融云资源池资产清单。
安全风险评估
利用威胁情报数据,利用采集到的安全大数据并采用专业攻防思路构建分析模型,提供内部失陷主机、外部攻击、内部违规和内部风险等关键信息安全问题的周期性的检测、发现和响应服务。提升主动应对安全威胁能力,在信息安全方面构建最后一道“防火墙”。主要包括内部失陷主机检测、外部攻击检测、内部攻击检测、内部违规检测和事件分析研判溯源四大类服务。全流量风险分析服务结合金融云资源池实际情况,周期性的开展工作,提供交付成果全流量风险分析报告。
3)检测
系统渗透测试
采用各种手段模拟真实的安全攻击,从而发现黑客入侵信息系统的潜在可能途径。渗透测试工作以人工渗透为主,辅助以攻击工具的使用。主要的渗透测试方法包括:信息收集、端口扫描、远程溢出、口令猜测、本地溢出、客户端攻击、中间人攻击、web脚本渗透、B/S或C/S应用程序测试、社会工程等。针对所有渗透测试系统输出渗透测试报告描述其发现的问题并给出相应的解决方案。
高级威胁检测
由专业的攻防人员采用专用工具结合威胁情报数据,对应用系统的访问日志进行安全审计,找出日志中存留的攻击者痕迹,发现并复盘曾经发生过的入侵事件。可以获得:应用系统是否已被黑客成功入侵、应用系统安全事件复盘线路图、应用系统被成功利用的漏洞信息、安全事件可能造成的损失。
等级保护测评
依据国家等级保护要求选定具备等级保护测评资质的机构,对金融云资源池开展等级保护测评,验证安全防护能力和存在的安全风险,依据结果开展安全整改建设。
18.6.15.10.3 系统部署方案
安全产品部署
根据金融云资源池建设以及安全区域实际划分情况,主要分为互联网接入区、网络安全管理区、专线业务网区、核心交换区、云平台服务器区,依据一个中心三重防护设计思路,实现纵深防御由外到内从通信网络、区域边界、计算环境和安全管理中心部署相应安全产品和技术措施。
1.互联网接入区
互联网接入区是整个云最外层,购买DDOS服务实现抗流量攻击,部署下一代防火墙(含IPS),以HA的方式部署两台(可以是以虚拟化技术实现的虚拟防火墙),具体采用主备或双活方式,需要视业内产品的主流规格和采购的设备对网络设备虚拟化技术、跨设备链路聚合的支持情况而定,实现对外部网络攻击行为分析和检测,实时阻断外部攻击。
部署分光分流设备实现网络流量分发,部署安全基础设施(身份认证网关)实现用户入云的身份验证、访问控制、安全授权、安全审计同时结合动态环境监测实现客户端设备安全检测,实现安全接入。
2.网络安全管理区
部署杀毒软件系统管理端,云主机部署防病毒系统客户端,对金融云资源池全网范围内物理服务器、虚拟服务器和用户终端实施全面的病毒和恶意代码防护。
部署日志审计系统管理端,主机部署主机审计系统客户端,对金融云资源池全网范围内的物理服务器、虚拟服务器、网络设备、安全设备和用户终端操作行为进行审计。
部署数据库审计系统,对金融云资源池云自身数据库进行日志存储和审计管理。
部署堡垒机(支撑与服务管理系统),用于对网络中的设备和系统软件的维护操作进行审计。
部署数据备份系统,对金融云资源池中全网安全和设备策略定期进行备份,便于进行恢复。
部署时钟同步服务器,确保全网时钟一致性。
部署可信管理中心,对接金融云资源池各种硬件可信客户端软件系统管理,实现软件可信认证。
部署终端DLP,针对全网终端进行基本信息统计,基本控制,基本策略,系统报警,外发控制,应用及进程安全管控。
部署安全管理中心,对接金融云资源池各类设备和软件实现全面的系统管理、安全管理、审计管理、态势感知和集中管控。
3.专线网区
专线网区上联支撑与服务&运营区中间HA的方式部署两台全流量实现网络1-7层的安全检测能力,部署两台fw与支撑与服务&运营区域进行安全隔离实现防护。
4.核心交换区
在核心交换机上旁路部署威胁检测探针实现对高级持续威胁进行监测、发现。
在核心交换机上部署漏洞扫描补丁分发系统,对网络内的设备进行安全风险评估和扫描,对发现的漏洞及时安装补丁程序。
5.云平台服务器区
部署云安全资源池,实现多云租户数据库审计,应用交付,防火墙,入侵防御系统,Web应用防护,上网行为管理,终端检测响应等安全防护功能,保障云租户安全。实现多服务器资产梳理、风险评估、安全防御、行为审计和入侵行为检测等功能,有效防护服务器被攻击。
安全措施部署
金融云资源池安全措施的部署,包括对网络设备实施安全加固、对操作系统实施安全加固、对安全设备实施安全加固、对应用系统实施安全加固等内容。
1.网络设备安全加固
配置NTP;创建本地系统管理员账号和本地操作审计员账号;设置用户账号的口令加密存储,设置用户账户锁定策略,设置用户账号的登录超时时间;配置基于Windows AD或LDAP的用户登录认证方案,用于对远程登录用户的身份进行鉴别;配置ACL,限制只允许通过堡垒主机进行管理;配置网络设备仅允许通过SSH进行管理;配置Syslog和SNMP,将日志和操作记录传输至资源与安全管理中心;关闭交换机未使用的端口;对工作在VLAN Trunk模式的接口,设置仅允许已知的特定VLAN通过。对终端接入交换机,配置IP-MAC-VLAN-端口绑定。
2.操作系统安全加固
配置NTP;创建本地系统管理员账号和本地操作审计员账号;设置用户账号的口令加密存储;配置用户账户密码策略、账户锁定策略、登录超时时间;配置基于Windows AD或LDAP的用户登录认证方案,用于对远程登录用户的身份进行鉴别;对远程登录的IP地址进行限制,只允许通过堡垒主机进行管理;开启操作系统的审计功能,配置Syslog和SNMP,将日志和操作记录传输至资源与安全管理中心;关闭多余的服务端口,卸载多余的服务和应用程序;配置操作系统防火墙策略,设置访问控制规则。
3.安全设备安全加固
配置NTP;创建本地系统管理员、安全管理员和安全审计员账号;设置用户账号的口令加密存储;配置用户账户密码策略、账户锁定策略、登录超时时间;对远程登录的IP地址进行限制,只允许通过堡垒主机进行管理;配置安全设备仅允许通过SSH和HTTPS进行管理;配置Syslog和SNMP,将日志和操作记录传输至资源与安全管理中心。防火墙的安全策略细粒度到端口级。
4.应用系统安全加固
应用系统开发时,需要开发基于CA数字证书的身份鉴别和权限控制功能,需要开发安全审计功能,需要开发安全通信组件等。
网络系统安全建设
访问控制
访问控制是网络安全防范和保护最有效手段之一,据统计分析,完善的访问控制策略可把网络安全风险降低 90%。网络的访问控制技术可以针对网络协议、目标对象以及通讯端口等进行过滤和检验,符合条件才通过,不符合条件的则被丢弃。系统访问控制可以针对具体的一个文件或目录授权给指定的人员相应的权限,受派者在试图访问相应信息时,需要验证身份、判别权限后才能进行访问。访问控制的主要任务是保证网络资源不被非法使用和非法访问。访问控制技术是保证网络安全最重要的核心策略之一。
访问控制策略可以采用三层交换设备 VLAN 技术、ACL 技术、绑定技术等, 使得不同部门、不同组别、不同用户之间的网络访问达到有效的控制;也可以
通过在不同网络安全域之间加装防火墙等安全设备,利用防火墙的控制策略达到网络访问控制的目的。
防火墙实施方案
实施原则
- 整体性
安全防范体系的建立和多层保护的相互配合;
实现技术、产品选型、质量保证与技术服务的统一。
- 先进性
安全技术先进;
安全产品成熟;
安全系统技术生命的周期适度。
- 可用性
安全系统本身的可用性;
安全管理友好,并于其他系统管理的有效集成;
避免造成网络系统结构的复杂;
尽量降低对原有网络系统的性能影响和不影响应用业务的开展。
- 扩充性
安全系统能适应客户网络和业务应用需求的变化而变化;
安全系统遵循标准,系统的变化易实现、易修改、易扩充。
实施策略
- 采取核心保护策略,尽可能的以最小的投资达到最大的安全防护。
- 采用可以提供集中管理控制的产品,同时要求考虑产品适应性可扩展性,以适应网络扩展的需要。
- 产品在使用上应具有友好的用户界面,使用户在管理、使用、维护上尽量简单、直观。
- 建立层次化的防护体系和管理体系。
漏洞扫描系统实施方案
按照工信部“三同步”安全建设的统一要求,本项目的实施应具备符合等级保护要求的安全防护措施(主要为传输控制、防火墙隔离、入侵检测、安全审计等网络安全措施;操作系统安全、数据库安全、防病毒管理、安全审计等基础系统安全措施,密码安全、数据加密、会话安全、安全审计等应用安全措施),满足相关安全规范要求(如相关规范有更新则按最新文件为准)。在系统上线前,同步开展安全风险评估,并由第三方专业安全机构出具“三同步”安全验收报告。
系统扫描
主要用于分析和指出有关网络的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测到的网络安全隐患给出相应的修补措施和安全建议。全方位检测信息系统存在的主机、软件的安全漏洞,安全配置问题,弱口令,不必要开放的账户、服务、端口,独创的端口识别技术,结合丰富的协议指纹库,能自动快速准确的识别出非标准开放端口和应用服务类型,准确扫描端口对应的服务漏洞,极大避免扫描过程中的漏报和误报。
Web 扫描
全面支持 OWASP_TOP10 检测,可以帮助用户充分了解 Web 应用存在的安全隐患,建立安全可靠的 Web 应用服务,改善并提升应用系统抗各类 Web 应用攻击的能力(如:注入攻击、跨站脚本、文件包含、钓鱼攻击、信息泄漏、恶意编码、表单绕过等),协助用户满足等级保护、PCI、内控审计等规范要求。
数据库扫描
数据库扫描模块可帮助用户充分了解数据库存在的安全隐患,通过定期数据库系统安全自我检测与评估,提升用户各类数据库的抗风险能力。同时可以协助用户完成数据库建设成效评估,协助数据库安全事故的分析调查与追踪。
基线扫描
全面覆盖操作系统、数据库、中间件、防火墙、路由器、交换机等设备类型,支持Windows 下的离线检查,无需一台台设备建立任务,一键提取系统配置信息,并可导入远程安全评估系统出具修复加固建议报告。
配备一套漏洞扫描系统按要求就要以实现对内部计算机、网络设备、安全设备等进行安全性扫描、评估。为管理员、安全维护人员提供详细的脆弱性信息和安全建议。漏洞扫描器通过确定目标设备的系统状态,用于对网络设备和主机进行脆弱性分析。
实施目的
由于防火墙固有的局限性和目前对入侵检测系统的逃避技术,网络安全性的提高还需要有漏洞扫描系统,它是要实现对内部计算机、网络设备、安全设备等进行安全性扫描、评估。为管理员、安全维护人员提供详细的脆弱性信息和安全建议。
通过部署漏洞扫描系统主要为了达到如下的目的:
- 扫描分析网络系统,检测和发现网络系统中安全薄弱环节。
- 准确而全面地报告网络存在的脆弱性和漏洞。
- 检测并报告扫描目标的相关信息以及对外提供的服务。
- 根据用户需要生成各种分析报告。
实施策略
- 根据目前情况分析采取全网扫描策略;
- 当网络规模增大后,特别是分为多级网络结构后可以采用分布式部署策略,其功能组件可以部署在不同主机上,控制中心同时管理多个扫描引擎,不同的扫描引擎负责对不同网段的系统进行扫描检测,显示中心和报表中心可汇总显示各扫描引擎的扫描结果信息。
漏洞扫描系统功能特点
- 分布式管理分布管理、集中分析
各扫描引擎可以按不同的扫描策略同时进行多网络系统的漏洞检测,并将检测结果集中显示、集中分析。
- 多级管理
对于拥有不同地域、大规模网络的用户,各个地域的网络安全管理员管理着本地域的网络安全状况,其上层的安全管理员可以上传检测结果、下达检测策略、统一管理、统一分析、统一升级;实现大规模网络环境下的全局风险控制、降低管理成本。内蒙电信云资源池日后规模扩大可以采用此种方式。
- 策略管理
为用户提供多种扫描策略,用户可根据实际需求来选择合适的策略。同时, 灵活的策略自定义功能可以让用户根据特殊需要更改和编辑扫描策略。应用特 定配置的策略,用户能实现不同内容、不同级别、不同程度、不同层次的扫描。
- 扫描计划定制
产品应支持扫描计划任务,可根据用户自定义的扫描计划来完成扫描任务, 扫描任务可以按照不同时间类型(如每周、每月等)制定多个,分别自动执行, 系统还支持计划有效期的设定。
- 扫描功能
可识别的扫描对象
能够准确的识别各种操作系统和主机名称,如 Win95/98/Me、WindowNT、Windows 2000/XP、Windows2003、Linux、Solaris、SCO Unix、HP
Unix、IBM AIX、IRIX、BSD 等。
可以扫描的对象包括各种服务器、工作站、网络打印机以及相应的网络设备如:3Com 交换机、CISCO 路由器、Checkpoint Firewall、HP 打印机、Cisco PIX Firewall 等。
可以提供扫描对象的账户信息,便于检查是否异常账户出现。
- 扫描漏洞分类
Windows 系统漏洞、WEB 应用漏洞、CGI 应用漏洞、FTP 类漏洞、DNS、后门类、网络设备漏洞类、缓冲区溢出、信息泄漏、MAIL 类、RPC、 NFS、NIS、
SNMP、守护进程、PROXY、强力攻击等 1000 种以上。
- 数据库扫描
支持对 MS SQL Server、Oracle、Sybase、DB2 数据库的扫描功能。可以扫描数据库近二百多种漏洞,包含了有关空口令、弱口令、用户权限漏洞、用户访问认证漏洞、系统完整性检查、存储过程漏洞和与数据库相关的应用程序漏洞等方面的漏洞,基本上覆盖了数据库常被用做后门进行攻击的漏洞,并提出相应的修补建议。
- Web 扫描
可以扫描目标主机的 Web 服务,以发现 Web 服务器可能存在的漏洞。持常见的 IIS、Apache 等 Web 服务器的扫描,尤其对于 IIS 具有最多的漏洞检测能力。
- 报告功能
具备全面详细的分析报告能力,可根据安全管理的不同角色定位按照要求生成面向主管领导、管理人员、技术人员的不同类型的报告。这些报告包括: 分时间扫描任务执行报告、分时间扫描任务执行结果、报告不同时间的扫描结果趋势比较、管理性简报、技术报告、评估报告以及扫描采用策略报告。
报告中的内容包括漏洞信息、漏洞主机信息、危险级别、修补建议等,并提供安全补丁供应商的热连接,以保证快速及时的修补漏洞。
报告形式中采用图、表以及详细文字说明结合,报告的标题格式可以由用户自定义,可以输出多种格式的报告(如 PDF、XML、 HTML 、EXCEL、WORD 等常见格式)。