《榕基网络隐患扫描系统技术白皮书【规划管理与绩效】 .doc》由会员分享,可在线阅读,更多相关《榕基网络隐患扫描系统技术白皮书【规划管理与绩效】 .doc(35页珍藏版)》请在三一办公上搜索。
1、榕 基 网 络 隐 患 扫 描 系 统技 术 白 皮 书福建榕基软件开发有限公司说 明本白皮书中的信息是为方便用户了解我公司产品而编写和印刷的,福建榕基软件开发有限公司对本书中可能引起的理解错误、编辑错误或疏忽不承担责任;对于在安装、操作或使用本资料过程中发生的意外事故或间接损失也不承担赔偿责任。RJ-iTop及安拓榕基是注册的商品标志,未经所有人授权许可,任何组织和个人不得使用于任何商业目的。本资料包含的信息受版权法保护。未经授权,不得以任何方式影印或复制本文档的部分或全部。详情请访问产品网站http:/www.RJ-iT目 录第一章概述51.1网络安全现状分析51.2信息安全理念61.3网
2、络隐患扫描系统的必要性71.3.1防火墙的局限性71.3.2入侵检测系统的局限性81.3.3网络隐患扫描系统的必要性8第二章网络隐患扫描简介102.1网络隐患无处不在102.2扫描技术的发展11第三章榕基企业简介14第四章产品简介154.1产品概述154.1.1产品特性简介154.1.2产品外观164.2产品体系结构17第五章产品特性185.1863成果转化产品185.2领先的扫描产品线185.3领先的扫描技术195.3.1高扫描速度195.3.2高准确率195.3.3强大的漏洞库195.4分布式扫描205.5完善的检测报表205.5.1丰富的报表格式与样式215.5.2扫描目标的漏洞概要信息
3、215.5.3漏洞类别概要信息225.5.4详细的漏洞描述与解决方案225.6自身高安全性235.7完善的三级服务体系23第六章系列产品特色256.1手持式产品256.2机架式产品256.3软件版产品266.4增强型产品27第七章性能指标与产品规格287.1性能指标287.1.1漏洞检测类别287.1.2扫描速度287.1.3占用系统资源297.1.4占用带宽297.2硬件规格30第八章系统应用领域及场合318.1 应用领域318.2 应用场合和时宜328.3 产品典型应用33第九章技术支持35第一章 概述1.1 网络安全现状分析随着计算机网络技术的迅猛发展,计算机网络向世界各个角落延伸,人们
4、生活与计算机网络越来越密不可分。政府、企业等单位都纷纷建立网站,建立企业内部网Intranet与互联网Internet的连接。电子政务、电子商务、网络办公等已成为政府办公、企业发展的重要手段。但网络在给人们带来便利的同时,它的安全问题已成为信息时代人类共同面临的挑战,而国内的网络安全问题也日益突出。具体表现为:计算机系统受病毒感染和破坏的情况相当严重;电脑黑客活动已形成重要威胁;信息基础设施面临网络安全的挑战;信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节等。如何使人们在享受网络带来的便捷和机遇的同时确保网络安全,已是急需解决的问题。据国家计算机网络应急技术处理协调中心(简称CNCE
5、RT/CC)统计,2006 年除windows 漏洞和IE 浏览器漏洞外,微软公司Office 软件的安全漏洞也在不断增加。微软公司在2005 年正式公布了55 个具有编号的安全漏洞,2006 年则公布了78 个。两个,同比增长41.8%。漏洞的大量出现和不断快速增加是网络安全总体形势趋于严峻的重要原因之一。随着公共互联网继续快速发展,2006 年,我国用户数量已超过1.37 亿,各种互联网新业务如雨后春笋般涌现,电子政务、电子商务得到进一步推广,互联网的社会基础设施功能表现得越来越明显。与此同时,互联网作为一个运行系统和一个社会公共环境,其所面对的和所隐藏的安全威胁也越来越复杂,越来越严重。
6、计算机网络应急技术处理协中心调查显示,其中涉及国内政府机构和重要信息系统部门的网页篡改类事件、涉及国内外商业机构的网络仿冒类事件和针对互联网企业的拒绝服务攻击类事件的影响最为严重,僵尸网络和木马的威胁依然非常严重,攻击者谋求非法利益的目的更加明确,行为更加嚣张,黑客地下产业链基本形成,而信息系统安全漏洞是各种安全威胁的主要根源之一。1.2 信息安全理念随着网络攻击数量的增加、攻击技术的进步,为了防范从外、从内发起的攻击保证网络安全,网络单位需要建立综合立体的防护体系。下面是著名的网络安全P2DR模型:安全策略、防护、检测、响应涵盖了对现代信息系统保护的各个方面,构成了一个完整的体系,使信息安全
7、建筑在更坚实的基础之上。信息运行平台发展到今天已极为复杂,数据安全、平台安全、服务安全要求用完整的信息保障体系来保障。 安全策略(Policy):安全策略是安全管理的核心。要想实施动态网络安全循环过程,必须首先制定企业的安全策略,如制定系统的安全目标和安全范围等,所有的防护、检测、响应都是依据安全策略实施的,企业安全策略为安全管理提供管理方向和支持手段。对于一个策略体系的建立包括:安全策略的制订、安全策略的评估、安全策略的执行等。保护(Protection):保护包括传统安全概念的继承,用加解密技术、访问控制技术、数字签名等技术,从数据静态存储、授权使用、可验证的信息交换过程等方面到对数据及其
8、网上操作等加以保护。 检测(Detection):检测的含义是,对信息传输内容的可控性检测,对信息平台访问过程的甄别检测,对违规与恶意攻击的检测,对系统与网络漏洞的检测等。检测使信息安全环境从单纯的被动防护演进到在对整体安全状态认知基础上的有针对性的对策,并为进行及时有效的安全响应以及更加精确的安全评估奠定了基础。响应(Response):在复杂的信息环境中,保证在任何时候信息平台能高效正常运行,要求安全体系提供有力的响应机制。这包括在遇到攻击和紧急事件时及时采取措施,例如关闭受到攻击的服务器;反击进行攻击的网站;按系统的重要性加强和调整安全措施等等。P2DR安全模型在整体安全策略Policy
9、的控制和指导下,综合运用防护工具Protection(如防火墙、加密机、防病毒等手段)的同时,利用检测工具Detection(如隐患扫描、入侵检测等)了解和评估系统的安全状态,通过适当的安全响应Response将系统调整到“最安全”和“风险最低”的状态,构成一个动态自适应的综合防范体系。1.3 网络隐患扫描系统的必要性网络隐患扫描产品使用方便,简单高效,能够准确发现网络中各主机、设备存在的网络安全漏洞,并给出详细的描述和解决方案,从根本解决网络安全问题,起着评估整个系统安全的重要作用,是一个完整的安全解决方案中的一个关键部分。让我们来看看现阶段网络上使用最多的安全设备防火墙和入侵检测。为了确保
10、网络的安全使用,研究它们的局限性十分必要。1.3.1 防火墙的局限性防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据我们的安全政策控制(允许、拒绝、监测)出入网络的信息流。我们认为防火墙是必要的,因为它能挡住绝大部分来自外部网络的攻击,但是它也存在很大的局限性:(1)、防火墙不能防范不经过防火墙的攻击(如拨号上网等)。(2)、不能解决来自内部网络的攻击和安全问题。(3)、对服务器合法开放的端口的攻击大多无法阻止。(4)、无法解决TCP/IP等协议本身的漏洞。(5)、不能防止本身安全漏洞的威胁。防火墙也是一个操作系统,也有着其硬件系统和软件,因此依然有着漏洞。所以其本身也可能受到攻击。一
11、般防火墙都只是在网络层过滤,对应用层数据包的检测较少,特别指出防火墙对内网用户发起的连接基本不加检测,现在的黑客也专门针对这点开发了一系列渗透技术,如端口反弹和HTTP tunnel等技术。1.3.2 入侵检测系统的局限性入侵检测系统(IDS)好比网络中不间断的摄像机,通过旁路监听的方式不间断的收取网络数据,判断其中是否含有攻击的企图,通过各种手段向管理员报警、执行响应。不但可以发现从外部的攻击,也可以发现内部的恶意行为。所以说入侵检测是网络安全的第二道闸门,是防火墙的必要补充。但是它也存在一定的局限性:(1)、旁路在网络中,容易因网络流量太大和系统资源紧张造成丢包,而漏过检测。现在网络到桌面
12、已经基本上是百兆、甚至千兆,骨干交换机流量10G以上,而目前绝大部分入侵检测产品还只是百兆、千兆级别,而且千兆级别以上入侵检测价格昂贵。(2)、防御手段存在缺陷。对发现的攻击通常采用TCP重置和防火墙策略。TCP重置:当IDS判断出一个攻击发生和发送TCP重置有一时间段,而这时封包可能已经传送到目标地址,攻击可能已经完成;另外TCP重置只能针对TCP协议,对DNS等UDP协议无效。防火墙策略:可能影响正常业务使用,例如,攻击者用一个大的INTERNET服务提供商的代理服务器地址进行欺骗,IDS发现后,发信号到防火墙来阻止该IP地址,此时整个IP都被防火墙过滤了,其它正常访问也无法进行了。(3)
13、、对网管人员要求高。基于签名检测(模式匹配)和协议异常检测,检测精度可能不够,可能造成高误报率,每天可能发出成百上千的虚假报警信息。对警报的分析也对网管人员提出了更高的要求。1.3.3 网络隐患扫描系统的必要性目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,由于其开发厂商的各种原因(软件开发者设计不完善、编码错误等)存在安全漏洞,这些安全漏洞有可能存在重大安全隐患(例如在极端测试下造成程序溢出,进而让攻击者取得权限)。因此,建立一个完全安全的没有漏洞的系统是不可能的,一个最佳方法是,建立比较容易实现的安全系统,同时按照一定的安全策略建立相
14、应的安全辅助系统,漏洞扫描器就是这样一类系统。漏洞扫描系统是一种主动检测本地或远程主机系统安全性弱点的程序,采用模仿黑客入侵的手法对目标网络中的工作站、服务器、数据库等各种系统以及路由器、交换机、防火墙等网络设备可能存在的安全漏洞进行逐项检查,测试该系统上有没有安全漏洞存在,然后将扫描结果向系统管理员提供周密可靠的安全性分析报告,从而让管理人员从扫描出来的安全漏洞报告中了解网络中服务器提供的各种服务及这些服务呈现在网络上的安全漏洞,在系统安全防护中做到有的放矢,及时修补漏洞,从根本上解决网络安全问题,有效地阻止入侵事件的发生。漏洞扫描技术是网络安全防御中的一项重要技术,它的成功应用,在网络安全
15、体系的建设中可以大规模减少安全管理员的负担,有利于保持整个网络安全政策的统一和稳定。虽然亡羊补牢可贵,未雨绸缪才是理想境界。第二章 网络隐患扫描简介2.1 网络隐患无处不在信息的应用从军事、科技、文化和商业渗透到当今社会的各个领域,在社会生产、生活中的作用日益显著。因此在任何情况下,必须保证信息的安全和可靠。Internet通过网络共享资源。自Internet问世以来,资源共享和信息安全一直作为一对矛盾体存在着。计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出,各种计算机病毒和网上黑客(Hackers)对Internet的攻击越来越激烈,许多网站遭受破坏的事例不胜枚举。那么,黑客
16、的攻击为什么屡屡得手呢?主要有以下几个原因:l 现有网络系统具有内在安全的脆弱性软件业巨头微软的Windows xp的sp2去年刚发布没多久,微软的“安全服务”还没喊响之际,就爆出10多个IE漏洞。因此不断出现的操作系统安全漏洞也给我们的安全带来了很大的隐患。我们举出大家熟知的 “震荡波”、“冲击波”等病毒来说说安全漏洞的危害性。震荡波(Sasser)病毒在短短一个星期时间之内就感染了全球1800多万台电脑。它利用的就是微软公布的Lsass漏洞进行传播,可感染Windows 2000/XP等操作系统,开启上百个线程去攻击其他网上的用户,造成机器运行缓慢、网络堵塞。“震荡波”病毒在全球带来的损失
17、超过5亿美元。据相关统计,“震荡波”造成的损害73%需要防毒公司解救中毒的计算机,63%的中毒者工作被影响30%的人说,为“震荡波”善后花了至少10个小时,而估计处理“震荡波”造成的计算机损害要花9.97亿美元。另外去年爆发的“冲击波”病毒正是利用了RPC接口相关漏洞在网络上发送攻击包,造成企业局域网瘫痪,电脑系统崩溃等情况,无数企业受到损失。l 网络和信息系统复杂性的增加使系统脆弱性降低l 没有采取正确的安全策略和安全机制 l 缺乏先进的网络安全技术、工具、手段和产品 l 对网络的管理思想麻痹主要表现在没有重视黑客攻击所造成的严重后果,舍不得投入必要的人力、财力、物力来加强网络安全性。从下面
18、两图可以看出,随着系统复杂性的增加,系统越来越容易受到攻击。攻击者也从传统的黑客高手,变为大多由初学者或自动程序来完成。黑客高手的工作逐步转为发现和公布漏洞,并提供自动攻击漏洞的工具,充当“教父”的脚色。信息网络系统的复杂性增加脆弱性程度1980 1985 1990 1995 2000 2005时间(年)高各种攻击者的综合威胁程度低对攻击者技术知识和技巧的要求2.2 扫描技术的发展软件从最初的专门为单个系统编写的一些只具有简单功能的小程序,发展到现在,已经出现了运行在各种操作系统平台上的、具有复杂功能的商业程序。今后的发展趋势有以下几点:l 支持CVE(Common Vulnerabiliti
19、es and Exposures)国际标准关于漏洞的一个老问题就是在设计扫描程序或应对策略时,不同的厂商对漏洞的称谓也会完全不同。MITRE创建了CVE,将漏洞名称进行标准化,参与的厂商也就顺理成章按照这个标准开发漏洞扫描产品。CVE的URL地址是http:/cve.mitre.org/。l 软件固化和安全的OS平台由于隐患扫描产品是模拟攻击性的安全工具,对该类产品本身的安全性提出了很高的要求。本身的安全性主要指产品的抗攻击性能,如果产品本身或者软件产品运行平台的安全性无法保证,有可能感染病毒、木马等有害程序,就会对被扫描系统产生危害,影响用户使用的信心。由于软件产品无法彻底杜绝被感染的可能,
20、隐患扫描产品在向硬件化的趋势发展,高档的产品还在FLASH、文件系统、通信接口等方面采用非通用程序,以便彻底杜绝被攻击和感染的可能。l 支持分布式扫描目前的用户网络越来越复杂,没有划分VLAN的单一网络越来越少见。多个子网之间一般都有访问限制,有些高安全的网络的子网之间还有防火墙。这些限制会对跨网段的扫描产生影响,使扫描结果不准确。今后的扫描产品必须能够进行分布式的扫描,以便对网络接点进行彻底、全面的检查。l 安全评估专家和漏洞的修补服务由安全扫描程序到安全评估专家系统。最早的安全扫描程序只是简单的把各个扫描测试项的执行结果罗列出来,直接提供给测试者而不对信息进行任何分析处理。而当前较成熟的扫
21、描系统都能够将对单个主机的扫描结果整理,形成报表,能够并对具体漏洞提出一些解决方法,但对网络的状况缺乏一个整体的评估,对网络安全没有系统的解决方案。未来的安全扫描系统,应该不但能够扫描安全漏洞,还能够智能化的协助网络信息系统管理人员评估本网络的安全状况,给出安全建议,成为一个安全评估专家系统。l 及时、可靠的漏洞升级升级不仅要求厂家组织安全人员实时跟踪各类安全公告,而且在系统的软件体系结构的设计上也要考虑特殊的地方,保证频繁的升级不影响系统的稳定性。目前的升级模式包括插件和更高级的脚本两种方式。使用插件(plugin)或者叫做功能模块技术。每个插件都封装一个或者多个漏洞的测试手段,主扫描程序通
22、过调用插件的方法来执行扫描。仅仅是添加新的插件就可以使软件增加新功能,扫描更多漏洞。在插件编写规范公布的情况下,用户或者第三方公司甚至可以自己编写插件来扩充软件的功能。同时这种技术使软件的升级维护都变得相对简单,并具有非常强的扩展性。使用专用脚本语言。这其实就是一种更高级的插件技术,用户可以使用专用脚本语言来扩充软件功能。这些脚本语言语法通常比较简单易学,往往用十几行代码就可以定制一个简单的测试,为软件添加新的测试项。脚本语言的使用,简化了编写新插件的编程工作,使扩充软件功能的工作变得更加容易、快速。采用脚本的扫描工具的升级不仅及时,而且更可靠.l 与安全管理中心集成网络安全需要建立一个综合的
23、防护体系,体系中包含防火墙、防病毒、隐患扫描、入侵检测等产品,将这些产品都纳入统一的安全管理中心管理将大大减少管理员的工作量。要求隐患扫描产品能够方便的集成到安全管理中心中,和防火墙、入侵检测产品进行联动,更好的保障网络安全。l 与补丁管理中心集成隐患扫描很好的发现了系统漏洞,提供了漏洞修补方案、补丁下载地址等。但如果手工的为每个客户端安装补丁,对于大型网络将是一个繁重、繁琐的工作,而一旦没有及时修补,又将面临攻击的威胁。补丁管理中心的出现大大方便了这项工作,提供了高效、简便、灵活的补丁分发方案。第三章 榕基企业简介榕基企业是国家科技部认定的国家火炬计划重点高新技术企业,国家863计划成果转化
24、基地,是中国软件行业协会的团体会员,也是国家规划布局内的重点软件企业。榕基企业成立于1993年,现以政务信息化、企业信息化和高新技术成果产品转化为主业。十几年来,榕基企业一直以发展民族信息产业、报效国家为己任,先后承建了福建省公安交警全省广域网、福建省电力全省广域网、广东省检验检疫全省广域网等大型广域网建设项目,并对福建省各地市电力公司局域网、郑州市中级人民法院办公局域网、天津石化办公局域网、福州海关园区网等集成项目做了规划和建设,企业为此获得了国家计算机信息系统集成的一级资质认证。自1999年以来,榕基企业便逐步完成了向以产品和服务为主导方向的转型,先后推出了RJ-eGov政务信息化解决方案
25、、RJ-eFlow办公自动化系统、RJ-iTop网络隐患扫描系统、RJ-easy电子单证系统、RJ-Netyou网络服务集成系统、RJ-CTI计算机电话集成系统平台等一批优秀软件和经典解决方案。目前,这些成熟的软件和解决方案正平稳地运行在企业为用户构建的高性能集成系统平台上,并获得了政府机关、电力、公安、司法、质检、海关、医院、金融、电信、石化、军队等行业用户的充分信任与广泛支持。2007年的今天,榕基已成为一个快速发展的高科技民营企业,目前已在北京、上海、深圳、杭州、郑州等全国二十几座城市设立了分公司和办事机构,业务及服务范围遍及全国。准确定位市场需求、精心打造优质产品、尽力提供完善服务是榕
26、基不变的追求。我们将用智慧创造软件开发的应用典范,为振兴民族信息产业、增强中国企业的全球竞争力而一如既往,上下求索。第四章 产品简介4.1 产品概述榕基网络隐患扫描系统严格按照计算机信息系统安全的国家标准、相关行业标准设计、编写、制造。榕基网络隐患扫描系统可以对不同操作系统下的计算机(在可扫描IP范围内)进行漏洞检测。主要用于分析和指出有关网络的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测到的网络安全隐患给出相应的修补措施和安全建议。榕基网络隐患扫描系统最终目标是成为加强中国网络信息系统安全功能,提高内部网络安全防护性能和抗破坏能力,检测评估已运行网络的安全性能,为网络系统管理
27、员提供实时安全建议等的主流工具。网络隐患扫描系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前可以提供安全防护解决方案。并可根据用户需求对该系统功能进行升级。4.1.1 产品特性简介特点简要说明863成果产品国家863计划 信息安全技术应急项目“网络隐患扫描”项目成果转化产品。领先的漏洞扫描产品线为了满足不同的用户的应用需求,提供手持式、机架式、软件版、增强型四款系列化产品。领先的扫描技术先进的扫描引擎,集合了智能服务识别、多重服务检测、脚本依赖、脚本智能调度、信息动态抛出、安全扫描、优化扫描、拒绝服务脚本顺序扫描、断点恢复等先进技术,确保
28、了扫描的高准确性、高速度。强大的检测漏洞库漏洞按服务分为22大类别,按风险分为紧急、高、中、低、信息五个级别,。现漏洞库数量已经超过2400。每周至少升级漏洞库一次,每月数量大于20条。支持CVE国际标准基于国际CVE标准建立的安全漏洞库,及时升级与国际标准同步。强大的报表分析可以预定义、自定义和多角度多层次的分析结果文件,提供html、word、pdf、txt等多种格式;提供行政主管、技术人员和安全专家及自定义报表样式;提供详尽的漏洞描述与漏洞修补建议。支持分布式扫描具备分布式扫描部署能力,完全适应大型和超大型网络。自身高度安全可扫描的IP地址范围被严格锁定和限制;基于安全优化的LINUX系
29、统; 系统的分级分层授权;基于SSL 的远程管理和扫描。完善的三级服务体系包括:产品本身(提供详细的解决方案)、产品网站(为用户提供周到会员制服务)、安全专业小组(免费800电话咨询服务)。4.1.2 产品外观手持式扫描仪 软件版扫描系统机架式扫描服务器4.2 产品体系结构榕基网络隐患扫描系统主要由用户界面模块、系统调用程序、安全设置模块、报表生成模块、数据库接口模块和软件升级模块组成。系统检测软件升级数据库接口用户界面模块报表生成系统调度程序安全设置安全策略信息检测项信息日志及报表网络检测数据库检测TCP网络网络隐患扫描系统层次结构图模块名模块完成的功能说明用户界面模块与用户交互,接受用户输
30、入,显示系统信息和扫描会话的执行信息,进行扫描线程调度和脚本解释器工作等系统调用程序接受界面模块的指令,将相应的扫描内容转换成可执行的程序段,驱动脚本解释器工作安全设置模块设置安全可扫描的范围,主机是否被检测、扫描级别和检测强度等报表生成模块将检测的结果通过分析和统计后用报表的形式提供给用户数据库接口模块保存历史和当前的扫描检测结果,供用户查询、分析和维护软件升级模块提供扫描解释程序、漏洞库、安全设置模块等升级第五章 产品特性5.1 863成果转化产品项目来源国家科技部高技术研究计划(863计划)信息安全技术应急项目“网络隐患扫描”项目的成果转化产品。课题组以黑客入侵防范软件研究获得1999年
31、中国科学院科技进步一等奖以及2000年国家科技进步二等奖。取得国内所有许可证l 榕基网络隐患扫描系统产品已经取得国内所有许可证公安部公共信息网络安全监察局计算机信息系统安全专用产品销售许可证;中国人民解放军信息安全测评认证中心军用信息安全产品认证证书B+;国家保密局涉密信息系统安全保密测评中心涉密信息系统产品检测证书;中国信息安全产品测评认证中心国家信息安全认证产品型号证书;国际CVE(Common Vulnerabilities and Exposures,通用漏洞披露)兼容性认证证书Certificate of CVE Compatibility。5.2 领先的扫描产品线为了满足不同的用户
32、的应用需求,提供手持式、机架式、软件版、增强型四款系列化产品。5.3 领先的扫描技术5.3.1 高扫描速度产品采用先进的调度算法和执行引擎,在保证正确率的前提下大幅提高了检测的效率,扫描的速度大大高于其它同类型扫描产品。5.3.2 高准确率榕基网络隐患扫描系统由专业漏洞小组人员确保脚本编写的规范准确,另外我们也采用各项技术使检测的结果更加准确:智能端口识别:能对开放端口运行的服务进行智能服务识别,而不是固定地依据默认值去判断,即使 WEB 服务运行在67端口也能被正确地检测出来。多重服务检测: 如果系统有两个ftp服务一个在21端口,一个在28端口,那么我们就会对这两个端口分别进行ftp漏洞检
33、测。也就是说同一个脚本会对这两个端口都检测一遍。脚本依赖:扫描模块会自动根据其逻辑依赖关系执行而不是无目的盲目执行,从而提高了扫描准确性。信息抛出:支持保存扫描脚本中动态抛出的信息,从而获得更多、更准确的信息。扫描一台主机(开放135、139、445、1025端口,允许空连接,guest空口令的情况),能够获取主机的netbios名、主机名、工作组/域名、MAC地址、SID名、用户名列表、弱密码、密码不过期、密码未改变、共享列表、系统服务列表、注册表完全访问等信息。拒绝服务脚本顺序扫描:提高准确性、减少误报 。断点恢复:在扫描程序运行到一半的时候如果系统意外掉电等,可以通过查看扫描状态进行重新
34、扫描或者继续扫描,如果选择继续扫描的话,前面扫描到的结果会保留下来和后面的结果一起合并生成结果文件。5.3.3 强大的漏洞库全面的漏洞库与即时的更新能力。漏洞库按服务分为22大类别,按风险分为紧急、高、中、低、信息五个级别,基于国际CVE标准建立,漏洞数量超过2400条。每条漏洞都包含详细漏洞描述和可操作性强的解决方案。可通过互联网进行在线升级或通过本地数据包进行本地升级,每周至少升级漏洞库一次,每月数量大于20条。5.4 分布式扫描随着网络规模的逐步庞大、逐步复杂,核心级网络、部门级网络、终端/个人用户级网络的建设,各个网络之间存在着防火墙、交换机等过滤机制,隐患扫描发送的数据包大部分将被这
35、些设备过滤,降低了扫描的时效性和准确性。针对这种分布式的复杂网络,不能依旧采用传统的软件安装方式产品,榕基网络隐患扫描系统手持端产品能够充分发挥自身可移动的优势,能够很好的适应分布式网络扫描。榕基网络隐患扫描系统机架式产品运用B/S架构实现的分布式漏洞扫描与安全评估,它通过分布在网络的多个扫描器(各节点),并在中央扫描器进行集中管理的方式,实现了对大规模网络的实时及定时漏洞扫描和风险评估。5.5 完善的检测报表榕基网络隐患扫描系统采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。现拥有强大的结果文件分析能力,可以预定义、自定义和多角度多层次的分析结果文件,提供
36、html、word、pdf、txt等多种格式,并提供行政主管、技术人员、安全专家等预定义报表格式及自定义报表样式。5.5.1 丰富的报表格式与样式5.5.2 扫描目标的漏洞概要信息5.5.3 漏洞类别概要信息5.5.4 详细的漏洞描述与解决方案榕基网络隐患扫描系统提供全中文界面,提供完善的漏洞风险级别、漏洞类别、漏洞描述、漏洞类型、漏洞解决办法及扫描返回信息,并提供有关问题的国际权威机构记录(包括CVE编号支持),以及与厂商补丁相关的链接。漏洞描述与解决方案截图5.6 自身高安全性IP地址限定每个扫描系统所能扫描的IP地址范围被严格锁定和限制,并在国家授权机关进行安全备案,杜绝了榕基网络隐患扫
37、描系统被恶意使用的可能。抗攻击设计扫描系统运行的操作系统是经过专门优化的LINUX系统,对操作系统的漏洞进行了全面的修补,并对扫描系统本身进行了各种攻击下的防范测试。多级的安全权限系统有完备的安全设计,防止超越权限操作现象发生;系统分级分层授权,以保证信息的安全和保密;充分考虑在网络、操作系统、数据库、应用等方面的安全性。传输数据的加密采用多种数据加密方法对重要数据进行加密,保证数据的安全读取与传输。不论是扫描脚本还是用户的扫描结果,都以严格加密的形式进行传送。保证用户的评估情况不会泄漏。5.7 完善的三级服务体系第一级:产品本身每个扫描系统本身都携带有漏洞的解释,根据这些提示,用户可以方便地
38、学习相关知识,并根据CVE编号检索漏洞的相关知识。第二级:产品网站榕基企业为隐患扫描产品专门建立了产品网站,并为用户提供周到的会员制服务。用户可以使用账户和密码登录产品网站的会员区域,在这里,可以查询到十分详细的漏洞相关知识。每一条漏洞的信息都包括漏洞成因、漏洞危害、漏洞修补建议、修补的操作步骤、相关知识介绍、信息订阅服务等。通过这些信息的提示,用户可以按照提示一步步地操作,直到解除隐患。第三级:专业安全小组榕基企业的网络安全小组长期从事网络安全的研究,对安全产品和全面的安全方案有丰富的经验,对各种漏洞的成因和修补有较深厚的知识积累。当用户通过前两级服务仍不能解决问题时,可以通过800免费电话
39、和产品网站与安全小组直接交流,榕基的安全小组可为用户提供一对一的专业指导和协助,为用户建立严密的安全体系提供支持。第六章 系列产品特色6.1 手持式产品便携:手持式产品设计,手掌大小,用户可非常方便的携带接入目标网络进行安全漏洞检测。硬件化技术的实现使网络安全隐患扫描仪的操作更简单、更方便实用和易于推广,非常适合公安、保密、政府等部门进行安全检查和验收。分布式扫描:在分布式部署的网络中,各个网络之间存在着防火墙、交换机等过滤机制的存在,传统隐患扫描器发送的数据包有可能将被这些设备过滤,手持式产品能够充分发挥自身方便移动的优势,能够很好的适应这种分布式网络扫描。使用方便:榕基网络隐患扫描系统软件
40、与硬件紧密结合,触摸笔操作,完全中文和图形化的界面,靓丽的外观工业设计,勾勾点点之间即可确保您的网络安全。自我防护:扫描软件完全固化,并有多种抗攻击的保护措施,可以抵抗其它网络安全软件所不能承受的攻击,使软件自身安全得到更好的保障,以完善之身助您走安全之路。联动服务:本模块对外提供联动接口,当启动联动服务后,防火墙、入侵检测等产品可按协议通过本接口调用扫描仪进行扫描。6.2 机架式产品基于B/S模式:用户可通过B/S模式进行使用、管理,浏览器操作,无须安装客户端,管理、使用简单方便。严密灵活的权限管理:可建立各个级别的用户,针对几十个模块分别授权,或授予一个角色。可定义每个用户的允许登录IP和
41、可扫描IP。对象管理:可按部门、操作系统、用途、重要性等不同类型划分设备定义对象组合,使漏洞扫描器能够和企业的网络逻辑拓扑结构相结合,扫描时直接指定对象组合进行扫描,使用和管理都非常方便。同时可根据每个设备的重要性、需要保护程度等定义每个设备的资产分值,该分值用于计算最终的网络风险,从而得出更准确的风险判断。分布式扫描:在超大型网络中部署的扫描器分为中心和节点两个角色,能够跨地域对多个网络同时进行扫描。节点扫描器将扫描数据同步发送到中心扫描器数据库,上层安全管理人员可以查看下层扫描器的扫描结果,也可以给下层扫描器指派任务,以便评估整个网络的安全漏洞情况。使用方便:机架式产品设计,使用户随时随地
42、可以对局域网内的计算机进行安全漏洞检测。用户只须在浏览器上输入该产品的URL地址,登录后就可以进行各种操作。硬件化技术的实现使网络安全隐患扫描系统的操作更简单、更方便实用和易于推广。高度安全:每件产品所能扫描的IP地址范围被严格限定和加密,杜绝了RJ-iTop网络隐患扫机架式产品被恶意使用的可能,有效防止利用RJ-iTop从事危害国家利益、集体利益和公民合法利益的活动。特色功能:可建立一个只有本机扫描权限的用户,公开帐户名、密码给所有员工,则所有员工可用该帐户登录系统,但只能扫描登录的本机,即安全又方便管理。联动服务:防火墙、入侵检测等产品可按协议通过本接口调用RJ-iTop扫描器进行扫描。扫
43、描速度:采用并发规则、并发任务扫描等多项技术,并采用独创的脚本引擎调度算法,在保证准确率的前提下,大大提高的检测的效率。6.3 软件版产品 Windows安装平台:支持win2000、winXP、win2003操作系统。使用方便:软件版产品设计,使用户随时随地可以对局域网内的计算机进行安全漏洞检测。只需在局域网内的任意主机内安装,就可以进行各种操作。Windows操作界面,使用简单方便。扫描技术:多种独创的脚本引擎调度技术,可以多角度全方位的对目标系统进行快速准确的系统评估。扫描速度:采用并发规则、并发任务扫描等多项技术,并采用独创的脚本引擎调度算法,在保证准确率的前提下,大大提高的检测的效率
44、。特色功能:管理员扫描(主要是网络系统管理员使用)可通过网络登录到远程网络主机,快速、准确地检测目标系统的安全情况。6.4 增强型产品同时具备机架式产品的强大功能和手持式产品的便携移动,适用于高端用户,胜任大规模复杂网络的隐患扫描、安全评估工作。高性能中心扫描服务器:配备的高性能中心扫描服务器扫描速度超过3IP/分钟,让您快速得出网络的安全情况。分布式部署:可在网络中部署多级扫描服务器,能够跨地域对多个网络同时进行扫描。下级扫描服务器将扫描数据同步发送到上级扫描服务器数据库,上层安全管理人员可以查看下层扫描服务器的扫描结果,也可以给下层扫描服务器指派任务,以便评估整个网络的安全漏洞情况。超高扫
45、描速度:通过部署高性能的中心扫描服务器和多个下级服务器,可使系统达到超过10IP/分钟的超高扫描速度,让您快速得出整个网络系统的安全情况。便携手持端:同时配备的手持式扫描仪让您随意移动接入任何网络点进行检测,如可用于对下级单位的检查等。统一管理:能够统一调度下级扫描器同时执行扫描、上报结果,向整个网络发布消息、发布补丁等,让您更方便统一的保障整个网络安全。第七章 性能指标与产品规格7.1 性能指标7.1.1 漏洞检测类别榕基网络隐患扫描系统将漏洞主要分为下列类别:1.CGI攻击测试2.DNS测试 3.Finger测试4.FTP测试 5.杂项测试 6.LDAP测试7.RPC测试 8.SNMP测试
46、 9.SSH服务测试10.SSL测试 11.VPN测试 12.WEB服务测试13.Windows测试14.打印服务测试 15.注册表测试16.防火墙测试17.后门测试 18.类UNIX测试19.数据库测试20.网络设备测试 21.信息获取测试22.邮件系统测试7.1.2 扫描速度u 机架式产品:测试环境:10/100M局域网,默认扫描参数:50脚本并发、15主机并发、安全优化完全扫描1731个脚本、单个脚本60秒超时、扫描典型端口,只开一个任务进行扫描。进行网段扫描(60%以上主机在线),平均每台在线主机扫描时间约2030秒,平均23IP/分钟。扫描主机数量扫描时间110台5分钟1020台8分钟2040台18分钟 1个C类网段(60%以上主机在线)1.5小时u 软件版产品:测试环境:10/100M局域网,P4 1.6G主机,Win2000操作系统。默认扫描参数:100脚本并发、20主机并发、安全优化完全扫描1731个脚本、单个脚本60秒超时、扫描典型端口,只开一个任务进行扫描。进行网段扫描(60%以上主机在线
