【12、漏洞扫描】网神SecVSS 3600漏洞扫描系统产品解决方案[V1951]-精品文档整理.docx

《【12、漏洞扫描】网神SecVSS 3600漏洞扫描系统产品解决方案[V1951]-精品文档整理.docx》由会员分享，可在线阅读，更多相关《【12、漏洞扫描】网神SecVSS 3600漏洞扫描系统产品解决方案[V1951]-精品文档整理.docx（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、根据项目情况修改使用网神SecVSS 3600 漏洞扫描系统通用解决方案网神信息技术（北京）股份有限公司目录一、安全现状及背景3二、漏洞扫描需求及分析3三、安全漏洞管理解决方案设计43.1 实现目标43.2 设计原则43.3 参考标准 53.4 总体设计方案5四、产品部署方案64.1 产品选型64.2 产品部署示意图64.3 详细部署介绍74.4 部署后可达到的效果8五、网神漏洞扫描产品主要功能85.1 系统安全85.2 Web安全95.3 弱口令探测95.4 配置核查95.5 移动端设备95.6 拒绝服务攻击105.7 自动发现资产105.8 漏洞验证105.9 兼容多种漏洞库标准10六、网

2、神售后服务体系106.1 售后服务体系106.2 软件升级服务116.3 疑难问题解决流程116.4 维修或更换硬件116.5 其他服务说明116.6 质保期外服务12一、安全现状及背景网络的高速发展推动了人类社会进入了数字时代，如今网络已经成为企业制胜的必由之路。越来越多的企业将自己的关键业务置于网络之上，并取得了卓越的成绩。然而，越来越多的网络黑客通过网络肆意侵入计算机，盗取重要资料，或者破坏网络，使其陷入瘫痪，给企业造成巨大的损失。每隔一段时间，国际权威组织CERT都公布大量的网络安全漏洞，这些漏洞涉及操作系统、网络设备、安全设备或应用软件的最新技术，对于国内网络系统，不可能也没有必要花

3、费大量的人力物力来长期追踪这些新技术以及出现的新漏洞，更作不到及时地检测和发现这些新漏洞在本身网络系统中的存在。网络安全扫描系统是近年出现的新型网络安全技术。它将国际权威组织公布的最新安全漏洞在最短的时间段内加入到系统中来，使用户能够得到及时的和最新的安全扫描服务，从而保障计算机和网络系统的安全和正常运行，这已经成为各个组织能否成功发展的关键性问题。二、漏洞扫描需求及分析企业信息网络中，由于网络技术与协议上的开放性，不难发现整个网络存在着各种类型的安全隐患和潜在的危险，黑客及怀着恶意的人员将可能利用这些安全隐患对网络进行攻击，造成严重的后果。因此如何保护重要的信息不受黑客和不法分子的入侵，保证

4、企业信息系统的可用性、保密性和完整性等安全目标的问题摆在我们面前。信息系统的安全问题来自多个方面，我们根据企业信息网络系统的实际情况，结合用户的安全现状以及存在的安全问题，对企业网络中潜在的安全威胁与安全隐患进行综合分析与评估，具体分析如下：l 安全防护整齐考虑不够对于一些大型的企业信息化网络在整体的层面，缺少完善一致的安全防护及管理措施，导致分散建设、分散管理，最终容易造成安全防护水准不统一。l 来自黑客的入侵对于一般的企业网络，内部用户可以访问Internet，同时企业向Internet提供开放的服务，如WEB/Mail等信息服务，会面临来自Internet的网络攻击l 来自内部人员的威胁

5、据不完全统计，来自内部人员的安全事件占安全事件总数的70%以上，很可能是内部员工的计算机与Internet相连，其机器遭到黑客的攻击，黑客利用这个计算机作为跳板，攻击重要的服务器；而且如果来自内部的员工的破坏行为，往往对整个系统的破坏作用将更大。内部的安全威胁包括两个方面：一是内部员工的恶意攻击，由于在网络内部较容易直接通过局域网连接到核心服务器等关键设备，利用其存在的漏洞，可以轻易的对内部的关键资源进行破坏，造成严重的后果。l 网络病毒问题在目前的企业信息网络中，由于病毒的泛滥，会对计算机信息网络的正常运行造成很大的影响，特别是近来频繁爆发的各种通过电子邮件、文件共享等传播的网络蠕虫病毒对整

6、个网络的威胁日益增加，如前期爆发的冲击波病毒，必然会严重影响整个网络系统的正常运行并造成巨大的损失，而网络病毒存在和传播的环境往往是那些存在安全漏洞的操作系统或应用程序。l 系统或程序缺陷目前常用的windows、unix等操作系统、数据库及中间件平台等软件或多或少地存在一些已知和未知的安全漏洞，这些漏洞很容易成为黑客和计算机病毒利用的对象。在一般的企业网络信息系统中，系统存在的关键补丁未及时更三、安全漏洞管理解决方案设计3.1 实现目标 通过网神的信息安全技术和丰富的安全防护设计经验，为用户提供一个技术领先、稳定可靠的系统风险评估和漏洞发现体系，有效对当前网络中的系统设备、应用程序、数据库、

7、中间件产品进行安全风险评估和核查3.2 设计原则 根据XXXX网络系统的现状和系统安全和管理的需要，我们考虑保护系统应遵循以下几条原则： l l 技术和产品的成熟性和稳定性充分考虑产品在漏洞扫描以及发现方面的技术成熟性，必须是兼容多种漏洞库标准，提供大量漏洞信息的产品。 l l 可管理性对于这样的安全检测工具，要管理安全漏洞库规则的升级、配置和支持是非常 难的事，这就要求提供一个方便管理的平台。系统必须提供简化管理的工具，包括对漏洞库信息和防护引擎的分发升级、报警管理和日志分析整理等。 l l 易用性网络中设备及软件较多，各类网络产品种类繁多，对于网络管理员来说产品 友好易用性将起到事半功倍的

8、效果3.3 参考标准 ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第一部 分 简介和一般模型； ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第二部 分 安全功能要求； ISO15408 / GB/T 18336 信息技术 安全技术 信息技术安全性评估准则，第三部 分 安全保证要求； 国务院令第147号 中华人民共和国计算机信息系统安全保护条例 公通字200743号 信息安全等级保护管理办法 GA-243-2000 计算机病毒防治产品评级准则 公安部令第51号 计算机病毒防治管理办法 GB/T22239-20

9、08 信息安全技术 信息系统安全等级保护基本要求； GB/Z 20985-2007 信息技术 安全技术 信息安全事件管理指南 GB20986-2007-Z 信息安全技术 信息安全事件分类分级指南3.4 总体设计方案 在组织机构名称网络系统中旁路部署网神SecVSS 3600漏洞扫描系统，定期对当前网络环境进行中的主机、设备、应用程序等进行脆弱性扫描并形成综合的安全风险评估方案，帮助用户构建完善的漏洞管理何风险评估管理体系四、产品部署方案4.1 产品选型 根据组织机构名称当前网络规模以及应用分布的实际情况，我们推荐使用网神SecVSS3600型号名称高性能漏洞扫描系统。 该系统处理性能参数如下表

10、：参数值备注网络接口数量最大并发IP数最大扫描任务数Web扫描并发任务数4.2 产品部署示意图 网神SecVSS 3600 漏洞扫描系统属于旁路部署产品，在内网可以对操作系统、数据库、网络设备、防火墙等产品进行漏洞扫描，通过无线网关（WI-FI）可以对移动端设备的操作系统进行漏洞扫描。设置了DNS服务器可以对外网的相关网站进行Web漏洞扫描。拓扑图4.3 详细部署介绍 组织机构名称网络中在网关处已经部署了防火墙产品和IPS安全产品，建议将漏洞扫描产品通过旁路方式部署在网络当中。 旁路部署的方式对用户原有网络无需做任何更改，只需要保证漏洞扫描产品到全网路由可达即可以实现全网的扫描何评估，这样部署

11、的优势主要体现在： l l 对现有网络结构的完全不影响。 l l 安装、部署方便简单。4.4 部署后可达到的效果通过部署网神漏洞扫描系统，可以帮助用户快速建立针对自己网络的安全风险评估体系l 快速发现内部资产帮助用户快速发现内部资产，避免未知资产带来的安全风险，实现内部IT资产的标识和分类管理，方便安全扫描策略的部署何风险评估的进行l 实现针对内部网络的脆弱性评估丰富的漏洞知识库以及多样的漏洞扫描策略，针对网络设备、系统主机、应用程序等存在的漏洞和风险进行有效评估，并生产完善的评估报告，帮助用户建立起高效的安全漏洞管理解决方案l 建立完善的漏洞管理和风险评估体系通过定期的漏洞扫描和漏洞验证帮助

12、用户形成规范的全网漏洞管理体系，并辅以强大的风险报表以及解决方案建议，为用户提供了完整的从漏洞发现、验证、修复建议的流程。l 解决漏洞原因造成的安全问题实时漏洞扫描，定期安全漏洞评估帮助用户及时修复当前系统中存在的漏洞，避免漏洞问题造成的安全威胁和带来的安全隐患l 帮助用户满足合规要求漏洞管理以及风险评估体系的建立，帮助用户满足各种政策以及法规要求，尤其是在等保以及分保的项目中，对漏洞扫描产品的需求都有明确规定。五、网神漏洞扫描产品主要功能5.1 系统安全网神SecVSS 3600 漏洞扫描系统针对传统的操作系统、网络设备、防火墙、远程服务等系统层漏洞进行渗透性测试。测试系统补丁更新情况，网络

13、设备漏洞情况，远程服务端口开放等情况进行综合评估，在黑客发现系统漏洞前期提供给客户安全隐患评估报告，提前进行漏洞修复，提前预防黑客攻击事件的发生。l 操作系统：Windows、Linux、Unix等l 网络设备：Cisco、juniper、华为、3com等主流厂商设备l 数据库：Oracle、MySQL、SQLserver等5.2 Web安全网神SecVSS 3600 漏洞扫描系统针对Web安全方面也有独到之处，Web安全是近年来新兴的互联网安全研究方向。网神SecVSS 3600 漏洞扫描系统针对SQL注入、XSS跨站脚本、信息泄露、网络爬虫、目录遍历等Web攻击方式进行模拟黑客渗透攻击评估

14、。评估客户网站存在的各种Web安全隐患，针对网站开发中出现的安全隐患进行评估，在黑客攻击网站前期预知Web安全漏洞，提前告知客户问题所在，提醒客户及时修复Web漏洞，避免造成“网站被黑”的发生。l 网站代码：JSP、PHP、JAVA等代码合规性l Web攻击：SQL注入、XSS跨站脚本、目录遍历、信息泄露等主流Web攻击方式l 中间件系统：Apache、Tomcat、IIS等5.3 弱口令探测网神SecVSS 3600 漏洞扫描系统内置有弱口令字典，针对账户和密码相同、密码相对比较简单、默认密码等问题进行自动探测，测试口令是否存在弱口令现象。提高账号防破解的安全性。破解密码主要是长度和密码的难

15、度，密码长度和设置难度越高，黑客破解的时间越长，破解难度越大。5.4 配置核查网神SecVSS 3600 漏洞扫描系统的配置核查功能，主要是针对操作系统、数据库、网络设备等系统的配置进行核查，检查配置是否符合标准。并可以自动启动软件执行过程的达标检测。5.5 移动端设备网神SecVSS 3600 漏洞扫描系统不单单可以扫描PC端的操作系统，随着移动端设备的大趋势下。通过WI-FI扫描移动端的操作系统安全漏洞也属于标准的漏洞扫描配置了。针对iOS、Android、BlackBerry等移动端的操作系统频繁曝光的漏洞进行安全扫描。5.6 拒绝服务攻击网神SecVSS 3600 漏洞扫描系统针对最简

16、单、最暴力的抗拒绝服务攻击也提供测试扫描，提高操作系统、硬件设备、网站服务的大流量压力下的抗攻击能力。帮助客户排除因为遭受抗拒绝服务攻击造成的服务器宕机、设备宕机无法提供服务等安全问题。5.7 自动发现资产网神SecVSS 3600 漏洞扫描系统提供自动发现资产功能，针对一个IP段进行自动漏洞扫描，自动针对在线的IP地址的主机进行漏洞扫描，使用ARP、ICMP、TCP、UDP等多种协议测试在线主机是否存活，并提供在线主机的漏洞扫描功能。5.8 漏洞验证网神SecVSS 3600 漏洞扫描系统提供漏洞验证功能，主要是针对GET、POST、PUT、Delete的SQL注入进行自动验证和手工验证，提

17、供简单的SQL注入手工验证工具。5.9 兼容多种漏洞库标准网神SecVSS 3600 漏洞扫描系统兼容CVE、CNNVD、Bugtraq ID、CVSS等特征库标准。漏洞库提供CVE、CNNVD等标准的漏洞库编号，漏洞信息说明等情况。并提供漏洞的解决方案的说明。六、网神售后服务体系6.1 售后服务体系为了更方便客户使用我们的产品，网神为您提供了更快捷，更有保障的产品售前咨询和售后服务。 服务宗旨：客户至上,服务第一！服务承诺：只要您一个电话,剩下的事由网神来做！6.2 软件升级服务1)公司对产品进行重大升级，会在官方网站进行公布，或由网神漏洞扫描全国售后服务中心通知所有用户2)用户可通过联系在

18、线技术客服，或致电全国免费技术支持电话6.3 疑难问题解决流程1)漏洞扫描在使用过程中如出现防护范围内的攻击无法防御，或者防火墙无法正常运行，请联系网神漏洞扫描全国售后服务中心，将问题反馈给当班技术客服。2)技术人员会首先通过远程管理进行检测，检查问题状况及原因，但如远程无法解决的或让工程师7*24小时上门服务。需要发回测试的，请用户配合3)检测时间则要根据问题类型及测试时间来定，根据问题的检测结果提出解决方案或告知处理结果。6.4 维修或更换硬件1)维修：根据硬件出现的问题，检测后需要维修，会通知用户将货发回，维修后返还用户。2)更换硬件：硬件出现问题，如需要更换，必须先将漏洞扫描发回公司，

19、由公司技术人员检测问题原因，如无法通过维修来处理，则给予更换。6.5 其他服务说明1)漏洞扫描维修和更换必须是在质保期内，即千兆产品三年；2)我方在全国各地均常设维修机构或办事处，且配置相应的产品备件库，根据故障及用户需求情况，如需赶赴现场，工程师将在3小时内到达用户现场进行支持服务；3)维修及更换硬件必须先将产品发回公司，公司检测后会给予合理解决；4)如用户私自拆开硬件产品将不提供任何服务及维护；5)三年724小时免费现场技术支持与服务。6.6 质保期外服务对于本项目，我方在质保期外将提供与质保期内售后服务内容、响应时间相同的有偿、优惠服务，在服务期满前3个月内我方将与用户共同沟通售后服务期外的服务内容，用户可以继续购买服务期内的所有服务内容或单独购买某个服务，我方均将以最优惠的价格用户提供服务。同时针对本项目，在质保期后我公司免费提供的服务内容如下：1)免费热线电话和传真服务；2)免费电子邮件和网站技术支持；3)免费技术咨询及规划服务。