漏洞扫描产品白皮书.doc

《漏洞扫描产品白皮书.doc》由会员分享，可在线阅读，更多相关《漏洞扫描产品白皮书.doc（20页珍藏版）》请在沃文网上搜索。

1、绿盟远程安全评估系统产品白皮书 2024 绿盟科技 版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 目录一. 漏洞的危害和发展趋势11.1 漏洞的危害11.2 漏洞的发展趋势2二. 漏洞管理的必要性与重要性3三. 漏洞管理产品评价指标4四. 绿盟远程安全评估系统44.1 产品体系结构54.2 漏洞管理74.2.1 漏洞预警84.2.2 漏洞检测84.2.3 风险管理94.2.4 漏洞修复94.2.5 漏洞审计94.3 产品

2、特色94.3.1 基于用户行为模式的管理架构94.3.2 权威、完备的漏洞知识库104.3.3 高效、智能的漏洞识别技术104.3.4 集成专业的Web应用扫描模块104.3.5 基于实践的风险管理及展示114.3.6 多维、细粒度的统计分析124.4 典型应用方式134.4.1 独立式部署134.4.2 分布式部署14五. 结论15表格索引表 1.1 1995-1999 CERT/CC漏洞统计数据表2表 1.2 2000-2006 CERT/CC漏洞统计数据表2插图索引图 4.1 NSFOCUS RSAS整体架构图5图 4.2 绿盟科技开放漏洞管理OPEN VM过程图8图 4.3 NSFOC

3、US RSAS WEB扫描模块展示图11图 4.4 NSFOCUS RSAS管理图12图 4.5 NSFOCUS RSAS综述信息图13图 4.6 NSFOCUS RSAS独立式部署结构图14图 4.7 NSFOCUS RSAS分布式部署结构图14- III -绿盟远程安全评估系统产品白皮书一. 漏洞的危害和发展趋势从互联网兴起至今，利用漏洞攻击的网络安全事件不断，并且呈日趋严重的态势。每年全球因漏洞导致的经济损失巨大并且在逐年增加，漏洞已经成为危害互联网的罪魁祸首之一，也成了万众瞩目的焦点。人们也在一次次承受蠕虫爆发、病毒、木马以及恶意代码的危害之后，在不断地寻求着漏洞的解决之道，不断尝试将

4、由漏洞带来的风险降到最低，虽然也取得了一定成效，但是利用漏洞的攻击也在逐渐表现为多种不同的危害形式并且出现了新的攻击趋势。1.1 漏洞的危害漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者在未授权的情况下访问或破坏系统。安全漏洞有很多种分类方式，按照漏洞宿主不同，可以分为三大类：第一类是由于操作系统本身设计缺陷带来的安全漏洞，这类漏洞将被运行在该系统上的应用程序所继承；第二类是应用软件程序的安全漏洞；第三类是应用服务协议的安全漏洞。近年来，针对应用软件程序和应用服务协议安全漏洞的攻击越来越多，同时利用病毒、木马技术进行网络盗窃和诈骗的网络犯罪活动呈快速上升趋势，产生了

5、大范围的危害，由此造成的经济损失也是越发巨大。针对Web应用安全漏洞的攻击也在逐渐成为主流的攻击方式。利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等，黑客能够得到Web服务器的控制权限，从而轻易篡改网页内容或者窃取重要内部数据，甚至在网页中植入恶意代码（俗称“网页挂马”），使得更多网站访问者受到侵害。 近年来层出不穷的应用软件安全漏洞的危害性已经与操作系统的安全漏洞平分秋色。不断发展和广泛应用的各种应用程序（如IE浏览器、MSN、Yahoo Messenger、MS Office、多媒体播放器、VMware虚拟机和各种P2P下载软件）中存在的安全漏洞也越来越多的被披露出来。安全漏洞问

6、题日益复杂和严重。20052007年间的主要攻击是针对Web应用安全漏洞和客户端程序的攻击。来自google、Yahoo、Microsoft以及eBay等著名互联网公司或者提供Web服务的软件公司都出现了不同程度的漏洞，且都被攻击者成功的加以利用。u 2006年2月，微软公司的Hotmail邮件服务被曝存在一个中风险级别的允许进行跨站脚本攻击的漏洞；同期，eBay也出现类似漏洞；u 2006年4月，Yahoo公司邮件服务中出现一个可以被利用进行钓鱼攻击的漏洞；同期微软MSN Space以及Myspace均出现可以被利用在站点中增加并执行恶意脚本的漏洞；u 2009年5月，法国电信旗下的Oran

7、ge公司门户网站日前遭到黑客攻击，数据库中25万用户的名字、地址、密码等全部被盗。从上可以看出，安全漏洞的危害范围在逐渐扩大，由系统层扩展到应用层，由服务器端扩展到客户端，由少数操作系统扩展到绝大多数操作系统；由此造成的经济损失也越来越大，尤其是用户不易察觉的隐性攻击造成的损失是无法衡量的。1.2 漏洞的发展趋势随着技术的不断进步，漏洞的发现、漏洞利用技术也发展到一个较高水平，从总体上来看，漏洞的发展趋势主要表现为以下几个方面：u 漏洞的发现技术更加自动化和智能化，漏洞发现技术的革新导致了发现的漏洞数量剧增，下面是国际组织CERT/CC从1995年到2007年的漏洞统计数据。该组织2007 年

8、全年收到信息系统安全漏洞报告7236个，自1995年以来，漏洞报告总数已达38016个。表 1.1 1995-1999 CERT/CC漏洞统计数据表Year19951996199719981999Vulnerabilities171345311262417表 1.2 2000-2006 CERT/CC漏洞统计数据表Year20002001200220032004200520062007Vulnerabilities1,0902,4374,1293,7843,7805,99080647236u 2007年微软公司正式公布了69个具有编号的安全漏洞。其中，除Windows操作系统漏洞外，安全漏洞更

9、多的集中出现在了IE浏览器和MS Office等应用软件上。u 国际上出现大量的专业漏洞研究组织，漏洞的出现到漏洞被利用的时间在不断的缩短，同时0-day攻击的数量在逐渐增加。u 利用漏洞攻击的重心由服务器端向客户端过渡，由系统层和网络层逐渐向应用层扩展；Web应用安全漏洞造成危害日益凸显。u 漏洞的发现、利用不仅仅局限于常见的网络设备、操作系统，而且不断的向新的应用领域扩散。u 利用漏洞的蠕虫逐渐减少，利用漏洞攻击的手法越来越诡异，越来越隐蔽。二. 漏洞管理的必要性与重要性漏洞的危害越来越严重，发展的趋势也日益严峻。归根结底，产生这些问题的原因是系统漏洞的存在并被攻击者恶意利用。软件由于在设

10、计初期考虑不周导致的问题仍然没有得到很好的解决，人们依然用着“亡羊补牢”的方法来度过每一次攻击，利用漏洞的攻击成为人们心中永远的痛。统计表明，19.4%的攻击来自于利用管理配置错误，而利用已知的一个系统漏洞入侵成功的占到了15.3%。事实证明，绝大多数的网络攻击事件都是利用厂商已经公布而用户未及时修补的漏洞。已经公布的漏洞未得到及时的修补和用户的安全意识有很大的关系，一个漏洞从厂商公布到漏洞被大规模利用之间的时间虽然在逐渐的缩短，但是最短的也有18天之久，18天对于一些安全意识高的用户来说，修补一个安全漏洞应该没有任何问题。目前大多数用户的安全意识也提高了，但是“冲击波”蠕虫和“震荡波”蠕虫的

11、爆发还造成如此之大的损失，病毒、特洛伊木马及恶意代码逐渐成为严重的安全问题，这说明仅仅提高用户的安全意识是完全不够的。同时由于客户端、第三方软件安全漏洞危害日益增大，传统的远程扫描已经不能满足日益变化的安全漏洞形式，需要一套有效的管理机制并通过一定安全技术手段辅助自动完成整个过程，才能有效地对漏洞进行动态地管理。 目前，从技术和管理两个角度来看，漏洞问题已经有了较为成熟的解决方案。漏洞管理就是这样一套能够有效避免由漏洞攻击导致的安全问题的解决方案，它从漏洞的整个生命周期着手，在周期的不同阶段采取不同的措施，是一个循环、周期执行的工作流程。一个相对完整的漏洞管理过程包含以下步骤：1. 对用户网络

12、中的资产进行自动发现并按照资产重要性进行分类；2. 自动周期对网络资产的漏洞进行评估并将结果自动发送和保存；3. 采用业界权威的分析模型对漏洞评估的结果进行定性和定量的风险分析，并根据资产重要性给出可操作性强的漏洞修复方案；4. 根据漏洞修复方案，对网络资产中存在的漏洞进行合理的修复或者调整网络的整体安全策略进行规避；5. 对修复完毕的漏洞进行修复确认；6. 定期重复上述步骤1-5。漏洞管理能够对预防已知安全漏洞的攻击起到很好的作用，做到真正的“未雨绸缪”。相对于传统的漏洞扫描产品而言，漏洞管理产品能够为用户带来更多的价值。漏洞管理产品从漏洞生命周期出发，提供一套有效的漏洞管理工作流程，实现了

13、由漏洞扫描到漏洞管理的转变，实现了“治标”到“治本”的飞跃。u 通过漏洞管理产品，集中、及时找出漏洞并详细了解漏洞相关信息，不需要用户每天去关注不同厂商的漏洞公告，因为各个厂商的漏洞公告不会定期发布，即使发布了漏洞公告绝大多数用户也不能够及时地获得相关信息。u 通过漏洞管理产品将网络资产按照重要性进行分类，自动周期升级并对网络资产进行评估，最后自动将风险评估结果自动发送给相关责任人，大大降低人工维护成本。u 漏洞管理产品根据评估结果定性、定量分析网络资产风险，反映用户网络安全问题，并把问题的重要性和优先级进行分类，方便用户有效地落实漏洞修补和风险规避的工作流程，并为补丁管理产品提供相应的接口。

14、u 漏洞管理产品能够提供完整的漏洞管理机制，方便管理者跟踪、记录和验证评估的成效。三. 漏洞管理产品评价指标由于漏洞管理和漏洞扫描产品之间具有较大的差异性，用户在购买一款漏洞管理类产品时需要考虑以下因素：u 厂商是否具备漏洞跟踪和漏洞前瞻性研究能力，具体可考察漏洞知识库的完备性、权威性和更新及时性；u 产品是否支持漏洞管理工作流程，包括是否支持相应的开放接口；u 漏洞评估的性能，主要考察漏洞检测的速度、准确性和覆盖，其中覆盖的漏洞是否包含常见的本地及远程安全漏洞；u 产品是否具备资产管理能力，是否具备对资产风险的定性、定量分析能力；u 产品是否具备针对复杂大型网络的分布式部署和集中管理能力；u

15、 产品的报告内容、形式是否灵活，报告是否具备多角度统计分析的能力；u 是否获得国际上第三方权威测试机构的认证。四. 绿盟远程安全评估系统基于多年的安全服务实践经验，同时结合用户对安全评估产品的实际应用需求，绿盟科技自主研发了绿盟远程安全评估系统（NSFOCUS Remote Security Assessment简称：NSFOCUS RSAS），它采用高效、智能的漏洞识别技术，第一时间主动对网络中的资产进行细致深入的漏洞检测、分析，并给用户提供专业、有效的漏洞防护建议，让攻击者无机可乘，是您身边专业的“漏洞管理专家”。u 依托专业的NSFOCUS安全小组，综合运用信息重整化（NSIP）等多种领

16、先技术，自动、高效、及时准确地发现网络资产存在的安全漏洞；u 提供Open VM（Open Vulnerability Management开放漏洞管理）工作流程平台，将先进的漏洞管理理念贯穿整个产品实现过程中；u 专业的Web应用扫描模块，可以自动化进行Web应用、Web服务及支撑系统等多层次全方位的安全漏洞扫描，简化安全管理员发现和修复Web应用安全隐患的过程；u 对发现的网络资产的安全漏洞进行详细分析并采用权威的风险评估模型将风险量化，给出专业的解决方案，方便的资产风险管理功能，帮助安全管理员全面、快速定位企业信息资产中的风险情况。4.1 产品体系结构NSFOCUS RSAS是基于Web

17、的管理方式，用户使用浏览器通过SSL加密通道和系统Web界面模块进行交互，方便用户管理。NSFOCUS RSAS采用模块化设计，内部整体工作架构如图4.1所示。 图 4.1 NSFOCUS RSAS整体架构图u 专用平台专用平台是经过优化的专用安全系统平台，具有很高的安全性和稳定性。u 扫描核心模块扫描核心模块是系统最重要的模块之一，它负责完成目标的探测评估工作，包括判定主机存活状态、操作系统识别、规则解析匹配等。u 漏洞知识库漏洞知识库包含漏洞相关信息，是系统运行的基础，扫描调度模块和Web管理模块都依赖它进行工作。u 扫描结果库扫描结果库包含了扫描任务的结果信息，是扫描结果报告生成的基础，

18、也是查询和分析结果的数据来源。u 数据分析模块数据分析模块是综合分析、趋势分析和报表合并的统计信息的数据来源，是任务合并、分布式数据汇总之后的结果。u 风险管理模块管理员通过此模块可以对网络风险进行全方位管理、定位和分析，并进行漏洞审计，自动验证漏洞是否修复。另外，通过资产管理，能够方便用户掌握风险分布情况、定位风险和高效实施风险降低或规避措施。u Web界面模块Web界面模块负责和用户进行交互，配合用户的请求完成管理工作。Web管理模块包含多个子模块共同完成用户的请求，其主要子模块有：n 任务管理子模块完成用户评估任务的管理工作。n 报表子模块读取扫描结果库，并根据漏洞描述信息和解决方案生成

19、扫描报表。n 策略参数模块完成评估任务需要扫描的具体漏洞模板的添加、具体漏洞的选取、模板修改和删除；口令字典管理；报表输出模板管理；智能端口挖掘。n 漏洞管理模块漏洞管理模块主要实现了Open VM漏洞管理工作流程支持，提供与其他安全产品、网络管理平台和安全管理平台的接口。n 用户管理子模块n 审计管理子模块n 系统配置子模块u 系统升级模块NSFOCUS RSAS有网络自动升级和用户手动升级的策略，系统的各个模块都可以通过升级模块进行升级。u 辅助模块n 分布式模块NSFOCUS RSAS支持分布式部署功能。在下级设备完成扫描得到结果数据后，会向上级管理系统上传数据，数据传输过程中使用SSL

20、加密传输通道，保证了数据的保密性。汇总的数据可以进行集中统一的分析。n WSUS服务器联动功能NSFOCUS RSAS能与WSUS服务器进行联动，管理员可以通过部署WSUS服务器，在评估任务完成后，自动修复发现的风险漏洞。u 扩展模块n Web应用扫描模块Web应用扫描模块，是专门面向 Web 应用安全管理员进行专业安全评估及检测的自动化工具。可以进行Web应用、Web服务及支撑系统等多层次全方位的安全漏洞扫描、审计、渗透测试和辅助逻辑分析，全面发现各类安全隐患，提出针对性的修复建议，以及形成多种符合法规、行业标准的报告。n 二次开发接口模块通过此接口NSFOCUS RSAS可以与其他安全产品

21、和管理平台进行联动，以便于统一的平台管理。4.2 漏洞管理绿盟科技基于最新“漏洞管理”工作流程，把漏洞管理的循环过程划分为漏洞预警、漏洞检测、风险管理、漏洞修复、漏洞审计五个阶段，在国内首创了Open VM工作流程平台。基于这个开放平台，NSFOCUS RSAS产品将漏洞管理理念贯穿于整个产品实现过程，实现了Open VM的绝大部分过程；同时，NSFOCUS RSAS通过多种二次开发接口与其他安全产品协作来完全实现Open VM的整个工作流程。图 4.2 绿盟科技开放漏洞管理Open VM过程图4.2.1 漏洞预警绿盟科技有一支专业的安全研究团队（NSFOCUS安全小组），从公司成立之初到现在

22、，一直从事信息安全服务和信息安全技术的研究，在信息安全领域有着丰富的理论和实践经验。NSFOCUS安全小组致力于安全前沿技术的研究，其中包含了对系统漏洞发现、验证和提供应急响应服务的能力，目前在国际上已经有相当的知名度。NSFOCUS安全小组能够对重要漏洞进行及时预警，重大漏洞的升级在全球首次发现后两天内完成。4.2.2 漏洞检测依靠业界强劲的底层扫描引擎NSSE（NSFOCUS Scanning Engine），通过信息重整化（NSFOCUS Intelligent Profile，简称NSIP）技术、开放端口服务的智能识别、检测规则依赖关系的自动扫描等技术的运用，再加上由NSFOCUS安全

23、小组精心编写的准确漏洞检测规则，NSFOCUS RSAS产品拥有近乎完美的准确性、扫描速度和覆盖度。4.2.3 风险管理 NSFOCUS RSAS产品采用“风险管理”模块对网络风险进行全方位管理和分析，管理员通过此模块可以对所有信息资产设备进行资产风险管理。对大规模网络用户，网络资产繁多，IP地址记忆非常繁琐，通过资产管理与用户组织结构或网络拓扑结构的紧密结合，以规范的命名方式统一对网络资产进行管理。风险管理模块的使用，方便用户掌握风险分布情况、定位风险和高效实施风险降低或规避措施。4.2.4 漏洞修复NSFOCUS RSAS在产品设计初期就考虑到漏洞修复问题，在产品实现中提供了多种二次开发接

24、口供漏洞修复产品或补丁管理产品使用，方便用户及时集中对资产漏洞进行修复。NSFOCUS RSAS已经实现了与微软WSUS服务器的联动功能。4.2.5 漏洞审计用户在实际的漏洞修复过程中往往很难确认自己的漏洞是否真正修复。针对这种情况，NSFOCUS RSAS提供了漏洞审计功能，能够通过发送监督邮件的方式来督促相应的资产管理员对漏洞进行修复，同时启动自动的定时任务对漏洞进行审计，提高了管理人员手工验证漏洞是否修复的效率。4.3 产品特色4.3.1 基于用户行为模式的管理架构作为用户体验性很强的产品，NSFOCUS RSAS始终秉承“以人为本”的理念，在产品设计过程充分考虑了实际用户需求和使用习惯

25、，从用户角度完善了很多管理功能。“一键式”智能任务模式、快速结果报表、智能摘要技术等，最大限度的满足了易用性和高效性的需求。NSFOCUS RSAS采用B/S管理架构，能够以SSL加密通讯方式通过浏览器来远程进行管理。NSFOCUS RSAS的专用硬件能够长期稳定地运行，很好地保证了任务的周期性自动处理。能够自动处理的任务包括：评估任务下发、扫描结果自动分析、处理和发送、系统检测插件的自动升级等。同时，NSFOCUS RSAS支持多用户管理模式，能够对用户的权限做出严格的限制，通过权限的划分可以实现一台设备多人的虚拟多机管理，并且提供了登录、操作和异常等日志审计功能，方便用户对系统的审计和控制

26、。4.3.2 权威、完备的漏洞知识库绿盟科技NSFOCUS安全小组的安全研究能力在国内首屈一指，在国际上也有相当的影响力。在这个部门中，有多位专职的研究员进行漏洞跟踪和漏洞前瞻性研究，到目前为止已经独立发现了40余个关于常见操作系统、数据库和网络设备的漏洞，并且为国际上的知名网络安全厂商提供相关漏洞的规则支持。NSFOCUS安全小组负责NSFOCUS RSAS的漏洞知识库和检测规则的维护，除定期的每两周的升级外，重大漏洞的升级在全球首次发现后两天内完成。依靠专业的NSFOCUS安全小组多年的研究，绿盟科技中文漏洞知识库已包含13500多条安全漏洞信息，每条漏洞都有详尽的描述和修补建议，其完备性

27、和权威性在国内厂商内首屈一指。NSFOCUS RSAS产品的漏洞信息（2800余条）精选于该漏洞知识库，涵盖了常见操作系统、数据库、网络设备和应用程序的绝大多数可以远程利用的漏洞以及本地安全漏洞，已获得国际权威的CVE兼容性认证。4.3.3 高效、智能的漏洞识别技术NSIP(NSFOCUS Intelligent Profile)是绿盟科技智能Profile漏洞识别技术的简称，该技术在国内甚至在国际上都是非常领先的漏洞识别技术，它在提高NSFOCUS RSAS的评估速度和准确率方面都起到了很大的促进作用。NSIP漏洞识别技术就是采用多种技术通过不同途径收集目标系统的多种信息，这些信息就是目标系

28、统的Profile，在进行漏洞评估过程中，Profile不断地对中间的结果数据进行调整，保障了最后评估结果的准确性。NSFOCUS RSAS产品具备业界强劲的底层扫描引擎NSSE（NSFOCUS Scanning Engine）。通过NSIP技术、开放端口服务的智能识别、检测规则依赖关系的自动扫描等技术的运用，再加上由NSFOCUS安全小组研究员精心编写的准确的漏洞检测规则，NSFOCUS RSAS在检测速度和检测准确性之间找到了最佳的平衡点。NSFOCUS RSAS加载全部检测规则，对同样的目标系统进行检测时，扫描速度为常见同类产品35倍，同时仍能保证误报率低于1%。4.3.4 集成专业的W

29、eb应用扫描模块NSFOCUS RSAS Web应用扫描模块，是绿盟科技研究团队多年深入研究当前各种流行的Web攻击手段的技术结晶，是专门面向 Web 应用安全管理员进行专业安全评估及检测的自动化工具。通过传统系统扫描功能与Web应用扫描功能相结合，实现了一机多用的方式，节省用户投资，相关特性简述如下：u 专业：模拟点击智能爬虫技术（NSFOCUS Intelligent Crawling ，简称NSIC）、主动挂马检测技术等多种先进技术手段，为Web应用安全管理员提供专业的应用安全检测工具；u 全面：提供Web应用、Web服务及支撑系统等多层次全方位的各种类型安全漏洞扫描、审计、渗透测试和辅

30、助逻辑分析，全面发现各类安全隐患，提出针对性的修复建议；u 高效：通过嵌入式安全操作系统、优化的扫描引擎以及高效智能爬虫技术，能够快速的对目标Web应用系统进行细粒度分析。图 4.3 NSFOCUS RSAS Web扫描模块展示图4.3.5 基于实践的风险管理及展示单纯的漏洞扫描产品因没有与资产关联，只能扫描出漏洞并不能反映客户环境中资产的真实的风险状况。NSFOCUS RSAS将资产、漏洞和威胁紧密结合，提供了图形化的资产管理方式，并通过可量化的模型呈现，帮助用户对网络中存在的风险有一个整体、直观的认识，做到真正意义上的风险量化。在每次安全评估之前，用户需要根据自己的业务系统确定需要进行评估

31、的资产，并且划分资产的重要性。NSFOCUS RSAS根据用户的资产及其重要性会自动在其内部对目标评估系统建立基于时间和基于风险等多种安全评估模型。在对目标完成评估之后，模型输出的结果数据不但有定性的趋势分析，而且有定量的风险分析，用户能够清楚地看到单个资产、整个网络的资产存在的风险，还能够看到网络中漏洞的分布情况、风险级别排名较高的资产、不同操作系统和不同应用漏洞分布等详细统计信息，用户能够很直观地了解自己网络安全状况。图 4.4 NSFOCUS RSAS管理图4.3.6 多维、细粒度的统计分析NSFOCUS RSAS产品不仅提供了常见的离线报表，还提供了强大的在线报表系统。同时，NSFOC

32、US RSAS为您提供了一个实用的“报表控制器”，它能够帮助客户更好地获得有效信息，生成基于不同角色、不同内容和不同格式的报表。NSFOCUS RSAS不仅站在管理员的角度分析结果，也站在公司决策层和网络部门管理人员的角度考虑报告的生成。NSFOCUS RSAS从宏观和微观两个角度对风险进行了透彻地分析。宏观上，NSFOCUS RSAS从多个视角深刻反映网络的整体安全状况，对漏洞分布、危害、主机信息等多视角信息进行了细粒度的统计分析，并通过柱状图、饼图等形式，直观、清晰的从总体上反映了网络资产的漏洞分布情况；微观上，NSFOCUS RSAS对检测到的每个漏洞都提供了详细的解决方案，使得管理员可

33、以快速准确地解决各种安全问题，同时支持用户自己输入关键字进行相关信息的检索，以便用户能够具体了解某台主机或者某个漏洞的详细信息。NSFOCUS RSAS从多个视角深刻反映网络的整体安全状况，还提供“历史数据搜索”与任意扫描任务之间的“汇总查看”和“对比分析”功能，不仅对单个扫描任务的漏洞分布、危害等进行了统计分析，还对多个扫描过程进行综合的风险变化和安全对比评定，为网络安全状况的评定和未来网络建设提供了强有力的决策支持。图 4.5 NSFOCUS RSAS综述信息图4.4 典型应用方式目前用户网络环境中常见的网络拓扑结构有：总线拓扑、星形拓扑、树形拓扑和混合型拓扑。针对上述用户常见的网络拓扑，

34、NSFOCUS RSAS为用户“量身定做”两种部署方式：独立式部署和分布式部署。4.4.1 独立式部署中小型企业、电子商务、电子政务、教育行业和独立的IDC等用户，由于其数据相对集中，并且网络拓扑结构较为简单，大多数采用总线拓扑或者星形拓扑，建议使用独立式部署方式。独立式部署就是在网络中只部署一台NSFOCUS RSAS设备。在共享式工作模式下，只要将NSFOCUS RSAS接入网络并进行正确的配置即可正常使用，其工作范围通常包含客户公司的整个网络地址。用户可以从任意地址登录NSFOCUS RSAS系统并下达扫描任务，扫描的地址必须在产品和分配给此用户的授权范围内。下图就是NSFOCUS RS

35、AS的独立式部署模式。从图中可以看出，无论在公司何处接入NSFOCUS RSAS设备，公司网络都能正常工作，完成对网络的安全评估。 图 4.6 NSFOCUS RSAS独立式部署结构图4.4.2 分布式部署对于电信运营商、金融行业、证券行业、政府行业、军工行业、电力行业和一些规模较大传统企业，由于其组织结构复杂、分布点多、数据相对分散等原因，采用的网络拓扑结构大多为树形拓扑或者混合型拓扑。对于一些大规模和分布式网络用户，建议使用分布式部署方式。在大型网络中采用多台NSFOCUS RSAS系统共同工作，可对各系统间的数据共享并汇总，方便用户对分布式网络进行集中管理。NSFOCUS RSAS支持用

36、户进行两级和两级上的分布式、分层部署。两级分布式部署结构拓扑如下图所示。图 4.7 NSFOCUS RSAS分布式部署结构图五. 结论每年都有数以千计的网络安全漏洞被发现和公布，再加上攻击者手段的不断变化，用户的网络安全状况也随着被公布安全漏洞的增加而日益严峻。因此，安全评估对于绝大多数用户都是不容忽视的，用户必须比攻击者更早掌握自己网络安全漏洞并且做好适当的修补，才能够有效地预防入侵事件的发生。事实证明，99%的攻击事件都是利用未修补的漏洞。许多已经部署防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞入侵之苦，其中有更多受到蠕虫及其变种的破坏，造成巨大的经济损失。归根结底，其原因是用户缺乏一套完整的漏洞管理体系，未能落实定期评估与漏洞修补工作，忽视了漏洞的管理，最终漏洞成为攻击者实施攻击的有效途径，甚至成为蠕虫攻击的目标。依托国内权威中文漏洞知识库和已在国际上享有盛名的NSFOCUS安全小组，绿盟远程安全评估系统已经是国际领先的漏洞管理产品之一，配合专业的Web扫描模块，它能够定期和持续地给用户提供全面可靠的安全评估服务，满足多种应用需求，并且提供完整的漏洞管理机制，有效降低用户网络和主机风险，更大限度地保证用户网络和系统的安全性和稳定性。 2024 绿盟科技密级：完全公开- 15 -