榕基网络隐患扫描系统技术白皮书【规划管理与绩效】 .doc

福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 1 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 榕榕 基基 网网 络络 隐隐 患患 扫扫 描描 系系 统统 技技 术术 白白 皮皮 书书 福建榕基软件开发有限公司福建榕基软件开发有限公司 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 2 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 说说 明明 本白皮书中的信息是为方便用户了解我公司产品而编写和印刷的 福建榕基软件开发 有限公司对本书中可能引起的理解错误 编辑错误或疏忽不承担责任 对于在安装 操作 或使用本资料过程中发生的意外事故或间接损失也不承担赔偿责任 rj itop 及安拓 榕基是注册的商品标志 未经所有人授权许可 任何组织和个人不得 使用于任何商业目的 本资料包含的信息受版权法保护 未经授权 不得以任何方式影印或复制本文档的部 分或全部 详情请访问产品网站 http www rj it 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 3 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 目目 录录 第一章第一章概述概述 5 1 1网络安全现状分析 5 1 2信息安全理念 6 1 3网络隐患扫描系统的必要性 7 1 3 1防火墙的局限性 7 1 3 2入侵检测系统的局限性 8 1 3 3网络隐患扫描系统的必要性 8 第二章第二章网络隐患扫描简介网络隐患扫描简介 10 2 1网络隐患无处不在 10 2 2扫描技术的发展 11 第三章第三章榕基企业简介榕基企业简介 14 第四章第四章产品简介产品简介 15 4 1产品概述 15 4 1 1产品特性简介 15 4 1 2产品外观 16 4 2产品体系结构 17 第五章第五章产品特性产品特性 18 5 1863 成果转化产品 18 5 2领先的扫描产品线 18 5 3领先的扫描技术 19 5 3 1高扫描速度 19 5 3 2高准确率 19 5 3 3强大的漏洞库 19 5 4分布式扫描 20 5 5完善的检测报表 20 5 5 1丰富的报表格式与样式 21 5 5 2扫描目标的漏洞概要信息 21 5 5 3漏洞类别概要信息 22 5 5 4详细的漏洞描述与解决方案 22 5 6自身高安全性 23 5 7完善的三级服务体系 23 第六章第六章系列产品特色系列产品特色 25 6 1手持式产品 25 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 4 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 6 2机架式产品 25 6 3软件版产品 26 6 4增强型产品 27 第七章第七章性能指标与产品规格性能指标与产品规格 28 7 1性能指标 28 7 1 1漏洞检测类别 28 7 1 2扫描速度 28 7 1 3占用系统资源 29 7 1 4占用带宽 29 7 2硬件规格 30 第八章第八章系统应用领域及场合系统应用领域及场合 31 8 1 应用领域 31 8 2 应用场合和时宜 32 8 3 产品典型应用 33 第九章第九章技术支持技术支持 35 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 5 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 第一章第一章概述概述 1 11 1网络安全现状分析网络安全现状分析 随着计算机网络技术的迅猛发展 计算机网络向世界各个角落延伸 人们生活与计算 机网络越来越密不可分 政府 企业等单位都纷纷建立网站 建立企业内部网 intranet 与 互联网 internet 的连接 电子政务 电子商务 网络办公等已成为政府办公 企业发展的 重要手段 但网络在给人们带来便利的同时 它的安全问题已成为信息时代人类共同面临 的挑战 而国内的网络安全问题也日益突出 具体表现为 计算机系统受病毒感染和破坏 的情况相当严重 电脑黑客活动已形成重要威胁 信息基础设施面临网络安全的挑战 信 息系统在预测 反应 防范和恢复能力方面存在许多薄弱环节等 如何使人们在享受网络 带来的便捷和机遇的同时确保网络安全 已是急需解决的问题 据国家计算机网络应急技术处理协调中心 简称 cncert cc 统计 2006 年除 windows 漏洞和 ie 浏览器漏洞外 微软公司 office 软件的安全漏洞也在不断增加 微软 公司在 2005 年正式公布了 55 个具有编号的安全漏洞 2006 年则公布了 78 个 两个 同比增长 41 8 漏洞的大量出现和不断快速增加是网络安全总体形势趋于严峻的重要原 因之一 随着公共互联网继续快速发展 2006 年 我国用户数量已超过 1 37 亿 各种互联网 新业务如雨后春笋般涌现 电子政务 电子商务得到进一步推广 互联网的社会基础设施 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 6 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 功能表现得越来越明显 与此同时 互联网作为一个运行系统和一个社会公共环境 其所 面对的和所隐藏的安全威胁也越来越复杂 越来越严重 计算机网络应急技术处理协中心调查显示 其中涉及国内政府机构和重要信息系统部门 的网页篡改类事件 涉及国内外商业机构的网络仿冒类事件和针对互联网企业的拒绝服务 攻击类事件的影响最为严重 僵尸网络和木马的威胁依然非常严重 攻击者谋求非法利益 的目的更加明确 行为更加嚣张 黑客地下产业链基本形成 而信息系统安全漏洞是各种 安全威胁的主要根源之一 1 21 2信息安全理念信息安全理念 随着网络攻击数量的增加 攻击技术的进步 为了防范从外 从内发起的攻击保证网 络安全 网络单位需要建立综合立体的防护体系 下面是著名的网络安全 p2dr 模型 安全策略 防护 检测 响应涵盖了对现代信息系统保护的各个方面 构成了一个完 整的体系 使信息安全建筑在更坚实的基础之上 信息运行平台发展到今天已极为复杂 数据安全 平台安全 服务安全要求用完整的信息保障体系来保障 安全策略 policy 安全策略是安全管理的核心 要想实施动态网络安全循环过程 必须首先制定企业的安全策略 如制定系统的安全目标和安全范围等 所有的防护 检测 响应都是依据安全策略实施的 企业安全策略为安全管理提供管理方向和支持手段 对于 一个策略体系的建立包括 安全策略的制订 安全策略的评估 安全策略的执行等 保护 protection 保护包括传统安全概念的继承 用加解密技术 访问控制技术 数字签名等技术 从数据静态存储 授权使用 可验证的信息交换过程等方面到对数据及 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 7 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 其网上操作等加以保护 检测 detection 检测的含义是 对信息传输内容的可控性检测 对信息平台访问 过程的甄别检测 对违规与恶意攻击的检测 对系统与网络漏洞的检测等 检测使信息安 全环境从单纯的被动防护演进到在对整体安全状态认知基础上的有针对性的对策 并为进 行及时有效的安全响应以及更加精确的安全评估奠定了基础 响应 response 在复杂的信息环境中 保证在任何时候信息平台能高效正常运行 要求安全体系提供有力的响应机制 这包括在遇到攻击和紧急事件时及时采取措施 例如 关闭受到攻击的服务器 反击进行攻击的网站 按系统的重要性加强和调整安全措施等等 p2dr 安全模型在整体安全策略 policy 的控制和指导下 综合运用防护工具 protection 如防火墙 加密机 防病毒等手段 的同时 利用检测工具 detection 如 隐患扫描 入侵检测等 了解和评估系统的安全状态 通过适当的安全响应 response 将系 统调整到 最安全 和 风险最低 的状态 构成一个动态自适应的综合防范体系 1 31 3网络隐患扫描系统的必要性网络隐患扫描系统的必要性 网络隐患扫描产品使用方便 简单高效 能够准确发现网络中各主机 设备存在的网 络安全漏洞 并给出详细的描述和解决方案 从根本解决网络安全问题 起着评估整个系 统安全的重要作用 是一个完整的安全解决方案中的一个关键部分 让我们来看看现阶段网络上使用最多的安全设备防火墙和入侵检测 为了确保网络的 安全使用 研究它们的局限性十分必要 1 3 1防火墙的局限性防火墙的局限性 防火墙是不同网络或网络安全域之间信息的唯一出入口 能根据我们的安全政策控制 允许 拒绝 监测 出入网络的信息流 我们认为防火墙是必要的 因为它能挡住绝大 部分来自外部网络的攻击 但是它也存在很大的局限性 1 防火墙不能防范不经过防火墙的攻击 如拨号上网等 2 不能解决来自内部网络的攻击和安全问题 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 8 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 3 对服务器合法开放的端口的攻击大多无法阻止 4 无法解决 tcp ip 等协议本身的漏洞 5 不能防止本身安全漏洞的威胁 防火墙也是一个操作系统 也有着其硬件系统 和软件 因此依然有着漏洞 所以其本身也可能受到攻击 一般防火墙都只是在网络层过滤 对应用层数据包的检测较少 特别指出防火墙对内 网用户发起的连接基本不加检测 现在的黑客也专门针对这点开发了一系列渗透技术 如 端口反弹和 http tunnel 等技术 1 3 2入侵检测系统的入侵检测系统的局限性局限性 入侵检测系统 ids 好比网络中不间断的摄像机 通过旁路监听的方式不间断的收 取网络数据 判断其中是否含有攻击的企图 通过各种手段向管理员报警 执行响应 不 但可以发现从外部的攻击 也可以发现内部的恶意行为 所以说入侵检测是网络安全的第 二道闸门 是防火墙的必要补充 但是它也存在一定的局限性 1 旁路在网络中 容易因网络流量太大和系统资源紧张造成丢包 而漏过检测 现在网络到桌面已经基本上是百兆 甚至千兆 骨干交换机流量 10g 以上 而目前绝大部 分入侵检测产品还只是百兆 千兆级别 而且千兆级别以上入侵检测价格昂贵 2 防御手段存在缺陷 对发现的攻击通常采用 tcp 重置和防火墙策略 tcp 重置 当 ids 判断出一个攻击发生和发送 tcp 重置有一时间段 而这时封包可能已经传送到目标 地址 攻击可能已经完成 另外 tcp 重置只能针对 tcp 协议 对 dns 等 udp 协议无效 防火墙策略 可能影响正常业务使用 例如 攻击者用一个大的 internet 服务提供商的 代理服务器地址进行欺骗 ids 发现后 发信号到防火墙来阻止该 ip 地址 此时整个 ip 都被防火墙过滤了 其它正常访问也无法进行了 3 对网管人员要求高 基于签名检测 模式匹配 和协议异常检测 检测精度可 能不够 可能造成高误报率 每天可能发出成百上千的虚假报警信息 对警报的分析也对 网管人员提出了更高的要求 1 3 3网络隐患扫描系统的必要性网络隐患扫描系统的必要性 目前的操作系统或应用系统无论是 windows 还是其它任何商用 unix 操作系统以及其它 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 9 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 厂商开发的应用系统 由于其开发厂商的各种原因 软件开发者设计不完善 编码错误等 存在安全漏洞 这些安全漏洞有可能存在重大安全隐患 例如在极端测试下造成程序溢出 进而让攻击者取得权限 因此 建立一个完全安全的没有漏洞的系统是不可能的 一个最 佳方法是 建立比较容易实现的安全系统 同时按照一定的安全策略建立相应的安全辅助 系统 漏洞扫描器就是这样一类系统 漏洞扫描系统是一种主动检测本地或远程主机系统安全性弱点的程序 采用模仿黑客 入侵的手法对目标网络中的工作站 服务器 数据库等各种系统以及路由器 交换机 防 火墙等网络设备可能存在的安全漏洞进行逐项检查 测试该系统上有没有安全漏洞存在 然后将扫描结果向系统管理员提供周密可靠的安全性分析报告 从而让管理人员从扫描出 来的安全漏洞报告中了解网络中服务器提供的各种服务及这些服务呈现在网络上的安全漏 洞 在系统安全防护中做到 有的放矢 及时修补漏洞 从根本上解决网络安全问题 有 效地阻止入侵事件的发生 漏洞扫描技术是网络安全防御中的一项重要技术 它的成功应用 在网络安全体系的 建设中可以大规模减少安全管理员的负担 有利于保持整个网络安全政策的统一和稳定 虽然亡羊补牢可贵 未雨绸缪才是理想境界 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 10 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 第二章第二章网络隐患扫描简介网络隐患扫描简介 2 12 1网络隐患无处不在网络隐患无处不在 信息的应用从军事 科技 文化和商业渗透到当今社会的各个领域 在社会生产 生 活中的作用日益显著 因此在任何情况下 必须保证信息的安全和可靠 internet 通过网络 共享资源 自 internet 问世以来 资源共享和信息安全一直作为一对矛盾体存在着 计算 机网络资源共享的进一步加强随之而来的信息安全问题也日益突出 各种计算机病毒和网 上黑客 hackers 对 internet 的攻击越来越激烈 许多网站遭受破坏的事例不胜枚举 那 么 黑客的攻击为什么屡屡得手呢 主要有以下几个原因 现有网络系统具有内在安全的脆弱性现有网络系统具有内在安全的脆弱性 软件业巨头微软的 windows xp 的 sp2 去年刚发布没多久 微软的 安全服务 还没喊 响之际 就爆出 10 多个 ie 漏洞 因此不断出现的操作系统安全漏洞也给我们的安全带来 了很大的隐患 我们举出大家熟知的 震荡波 冲击波 等病毒来说说安全漏洞的危害性 震荡波 sasser 病毒在短短一个星期时间之内就感染了全球 1800 多万台电脑 它利用 的就是微软公布的 lsass 漏洞进行传播 可感染 windows 2000 xp 等操作系统 开启上 百个线程去攻击其他网上的用户 造成机器运行缓慢 网络堵塞 震荡波 病毒在全球带来 的损失超过 5 亿美元 据相关统计 震荡波 造成的损害 73 需要防毒公司解救中毒的 计算机 63 的中毒者工作被影响 30 的人说 为 震荡波 善后花了至少 10 个小时 而估 计处理 震荡波 造成的计算机损害要花 9 97 亿美元 另外去年爆发的 冲击波 病毒正是利 用了 rpc 接口相关漏洞在网络上发送攻击包 造成企业局域网瘫痪 电脑系统崩溃等情况 无数企业受到损失 网络和信息系统复杂性的增加使系统脆弱性降低网络和信息系统复杂性的增加使系统脆弱性降低 没有采取正确的安全策略和安全机制没有采取正确的安全策略和安全机制 缺乏先进的网络安全技术 工具 手段和产品缺乏先进的网络安全技术 工具 手段和产品 对网络的管理思想麻痹对网络的管理思想麻痹 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 11 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 主要表现在没有重视黑客攻击所造成的严重后果 舍不得投入必要的人力 财力 物 力来加强网络安全性 从下面两图可以看出 随着系统复杂性的增加 系统越来越容易受 到攻击 攻击者也从传统的黑客高手 变为大多由初学者或自动程序来完成 黑客高手的 工作逐步转为发现和公布漏洞 并提供自动攻击漏洞的工具 充当 教父 的脚色 信息网络系统的复杂性增加信息网络系统的复杂性增加 脆弱性程度脆弱性程度 1980 1985 1990 1995 2000 2005 时间 年 时间 年 高高 各种攻击者的综合威胁程度 低低 对攻击者技术知识对攻击者技术知识 和技巧的要求和技巧的要求 2 22 2扫描技术的发展扫描技术的发展 软件从最初的专门为单个系统编写的一些只具有简单功能的小程序 发展到现在 已 经出现了运行在各种操作系统平台上的 具有复杂功能的商业程序 今后的发展趋势有以 下几点 支持 cve common vulnerabilities and exposures 国际标准 关于漏洞的一个老问题就是在设计扫描程序或应对策略时 不同的厂商对漏洞的称谓 也会完全不同 mitre 创建了 cve 将漏洞名称进行标准化 参与的厂商也就顺理成章按照 这个标准开发漏洞扫描产品 cve 的 url 地址是 http cve mitre org 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 12 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 软件固化和安全的 os 平台 由于隐患扫描产品是模拟攻击性的安全工具 对该类产品本身的安全性提出了很高的 要求 本身的安全性主要指产品的抗攻击性能 如果产品本身或者软件产品运行平台的安 全性无法保证 有可能感染病毒 木马等有害程序 就会对被扫描系统产生危害 影响用 户使用的信心 由于软件产品无法彻底杜绝被感染的可能 隐患扫描产品在向硬件化的趋 势发展 高档的产品还在 flash 文件系统 通信接口等方面采用非通用程序 以便彻底 杜绝被攻击和感染的可能 支持分布式扫描 目前的用户网络越来越复杂 没有划分 vlan 的单一网络越来越少见 多个子网之间一 般都有访问限制 有些高安全的网络的子网之间还有防火墙 这些限制会对跨网段的扫描 产生影响 使扫描结果不准确 今后的扫描产品必须能够进行分布式的扫描 以便对网络 接点进行彻底 全面的检查 安全评估专家和漏洞的修补服务 由安全扫描程序到安全评估专家系统 最早的安全扫描程序只是简单的把各个扫描测 试项的执行结果罗列出来 直接提供给测试者而不对信息进行任何分析处理 而当前较成 熟的扫描系统都能够将对单个主机的扫描结果整理 形成报表 能够并对具体漏洞提出一 些解决方法 但对网络的状况缺乏一个整体的评估 对网络安全没有系统的解决方案 未 来的安全扫描系统 应该不但能够扫描安全漏洞 还能够智能化的协助网络信息系统管理 人员评估本网络的安全状况 给出安全建议 成为一个安全评估专家系统 及时 可靠的漏洞升级 升级不仅要求厂家组织安全人员实时跟踪各类安全公告 而且在系统的软件体系结构 的设计上也要考虑特殊的地方 保证频繁的升级不影响系统的稳定性 目前的升级模式包 括插件和更高级的脚本两种方式 使用插件 plugin 或者叫做功能模块技术 每个插件都封装一个或者多个漏洞的测 试手段 主扫描程序通过调用插件的方法来执行扫描 仅仅是添加新的插件就可以使软件 增加新功能 扫描更多漏洞 在插件编写规范公布的情况下 用户或者第三方公司甚至可 以自己编写插件来扩充软件的功能 同时这种技术使软件的升级维护都变得相对简单 并 具有非常强的扩展性 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 13 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 使用专用脚本语言 这其实就是一种更高级的插件技术 用户可以使用专用脚本语言 来扩充软件功能 这些脚本语言语法通常比较简单易学 往往用十几行代码就可以定制一 个简单的测试 为软件添加新的测试项 脚本语言的使用 简化了编写新插件的编程工作 使扩充软件功能的工作变得更加容易 快速 采用脚本的扫描工具的升级不仅及时 而且 更可靠 与安全管理中心集成 网络安全需要建立一个综合的防护体系 体系中包含防火墙 防病毒 隐患扫描 入 侵检测等产品 将这些产品都纳入统一的安全管理中心管理将大大减少管理员的工作量 要求隐患扫描产品能够方便的集成到安全管理中心中 和防火墙 入侵检测产品进行联动 更好的保障网络安全 与补丁管理中心集成 隐患扫描很好的发现了系统漏洞 提供了漏洞修补方案 补丁下载地址等 但如果手 工的为每个客户端安装补丁 对于大型网络将是一个繁重 繁琐的工作 而一旦没有及时 修补 又将面临攻击的威胁 补丁管理中心的出现大大方便了这项工作 提供了高效 简 便 灵活的补丁分发方案 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 14 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 第三章第三章榕基企业简介榕基企业简介 榕基企业是国家科技部认定的国家火炬计划重点高新技术企业 国家 863 计划成果转化 基地 是中国软件行业协会的团体会员 也是国家规划布局内的重点软件企业 榕基企业成立于 1993 年 现以政务信息化 企业信息化和高新技术成果产品转化为 主业 十几年来 榕基企业一直以发展民族信息产业 报效国家为己任 先后承建了福建 省公安交警全省广域网 福建省电力全省广域网 广东省检验检疫全省广域网等大型广域 网建设项目 并对福建省各地市电力公司局域网 郑州市中级人民法院办公局域网 天津 石化办公局域网 福州海关园区网等集成项目做了规划和建设 企业为此获得了国家计算 机信息系统集成的一级资质认证 自 1999 年以来 榕基企业便逐步完成了向以产品和服务为主导方向的转型 先后推 出了 rj egov 政务信息化解决方案 rj eflow 办公自动化系统 rj itop 网络隐患扫描系 统 rj easy 电子单证系统 rj netyou 网络服务集成系统 rj cti 计算机电话集成系统平 台等一批优秀软件和经典解决方案 目前 这些成熟的软件和解决方案正平稳地运行在企 业为用户构建的高性能集成系统平台上 并获得了政府机关 电力 公安 司法 质检 海关 医院 金融 电信 石化 军队等行业用户的充分信任与广泛支持 2007 年的今天 榕基已成为一个快速发展的高科技民营企业 目前已在北京 上海 深圳 杭州 郑州等 全国二十几座城市设立了分公司和办事机构 业务及服务范围遍及全国 准确定位市场需求 精心打造优质产品 尽力提供完善服务是榕基不变的追求 我们 将用智慧创造软件开发的应用典范 为振兴民族信息产业 增强中国企业的全球竞争力而 一如既往 上下求索 第四章第四章产品简介产品简介 4 14 1产品概述产品概述 榕基网络隐患扫描系统严格按照计算机信息系统安全的国家标准 相关行业标准设计 编写 制造 榕基网络隐患扫描系统可以对不同操作系统下的计算机 在可扫描 ip 范围内 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 15 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 进行漏洞检测 主要用于分析和指出有关网络的安全漏洞及被测系统的薄弱环节 给出详 细的检测报告 并针对检测到的网络安全隐患给出相应的修补措施和安全建议 榕基网络 隐患扫描系统最终目标是成为加强中国网络信息系统安全功能 提高内部网络安全防护性 能和抗破坏能力 检测评估已运行网络的安全性能 为网络系统管理员提供实时安全建议 等的主流工具 网络隐患扫描系统作为一种积极主动的安全防护技术 提供了对内部攻击 外部攻击和误操作的实时保护 在网络系统受到危害之前可以提供安全防护解决方案 并 可根据用户需求对该系统功能进行升级 4 1 1 产品特性简介产品特性简介 特点简要说明 863 成果产品 国家 863 计划 信息安全技术应急项目 网络隐患扫描 项目成果转 化产品 领先的漏洞扫描 产品线 为了满足不同的用户的应用需求 提供手持式 机架式 软件版 增强型四款系列化产品 领先的扫描技术 先进的扫描引擎 集合了智能服务识别 多重服务检测 脚本依赖 脚本智能调度 信息动态抛出 安全扫描 优化扫描 拒绝服务脚 本顺序扫描 断点恢复等先进技术 确保了扫描的高准确性 高速 度 强大的检测漏洞 库 漏洞按服务分为 22 大类别 按风险分为紧急 高 中 低 信息五 个级别 现漏洞库数量已经超过 2400 每周至少升级漏洞库一次 每月数量大于 20 条 支持 cve 国际 标准 基于国际 cve 标准建立的安全漏洞库 及时升级与国际标准同步 强大的报表分析 可以预定义 自定义和多角度多层次的分析结果文件 提供 html word pdf txt 等多种格式 提供行政主管 技术人员和安全 专家及自定义报表样式 提供详尽的漏洞描述与漏洞修补建议 支持分布式扫描具备分布式扫描部署能力 完全适应大型和超大型网络 自身高度安全 可扫描的ip地址范围被严格锁定和限制 基于安全优化的linux系 统 系统的分级分层授权 基于ssl 的远程管理和扫描 完善的三级服务 体系 包括 产品本身 提供详细的解决方案 产品网站 为用户提供周 到会员制服务 安全专业小组 免费 800 电话咨询服务 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 16 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 4 1 2 产品外观产品外观 手持式扫描仪 软件版扫描系统 机架式扫描服务器 4 24 2产品体系结构产品体系结构 榕基网络隐患扫描系统主要由用户界面模块 系统调用程序 安全设置模块 报表生 成模块 数据库接口模块和软件升级模块组成 系统检 测 软件升级 数据库接口 用户界面模块 报表生成 系统调度程序 安全设置 安全策略 信息 检测项 信息 日志及 报表 网络检 测 数据库 检测 tcp网络 网络隐患扫描系统层次结构图网络隐患扫描系统层次结构图 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 17 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 模块名模块名模块完成的功能说明模块完成的功能说明 用户界面模块与用户交互 接受用户输入 显示系统信息和扫描会话的执 行信息 进行扫描线程调度和脚本解释器工作等 系统调用程序接受界面模块的指令 将相应的扫描内容转换成可执行的程 序段 驱动脚本解释器工作 安全设置模块设置安全可扫描的范围 主机是否被检测 扫描级别和检测 强度等 报表生成模块将检测的结果通过分析和统计后用报表的形式提供给用户 数据库接口模块保存历史和当前的扫描检测结果 供用户查询 分析和维护 软件升级模块提供扫描解释程序 漏洞库 安全设置模块等升级 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 18 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 第五章第五章产品特性产品特性 5 15 1 863863 成果转化产品成果转化产品 项目来源项目来源 国家科技部高技术研究计划 863 计划 信息安全技术应急项目 网络隐患扫描 项 目的成果转化产品 课题组以 黑客入侵防范软件 研究获得 1999 年中国科学院科技进步 一等奖以及 2000 年国家科技进步二等奖 取得国内所有许可证取得国内所有许可证 榕基网络隐患扫描系统产品已经取得国内所有许可证 公安部公共信息网络安全监察局 计算机信息系统安全专用产品销售许可证 中国人民解放军信息安全测评认证中心 军用信息安全产品认证证书 b 国家保密局涉密信息系统安全保密测评中心 涉密信息系统产品检测证书 中国信息安全产品测评认证中心 国家信息安全认证产品型号证书 国际 cve common vulnerabilities and exposures 通用漏洞披露 兼容性认 证证书 certificate of cve compatibility 5 25 2 领先的扫描产品线领先的扫描产品线 为了满足不同的用户的应用需求 提供手持式 机架式 软件版 增强型四款系列化 产品 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 19 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 5 35 3 领先的扫描技术领先的扫描技术 5 3 1 高扫描速度高扫描速度 产品采用先进的调度算法和执行引擎 在保证正确率的前提下大幅提高了检测的效率 扫描的速度大大高于其它同类型扫描产品 5 3 2 高准确高准确率率 榕基网络隐患扫描系统由专业漏洞小组人员确保脚本编写的规范准确 另外我们也采 用各项技术使检测的结果更加准确 智能端口识别智能端口识别 能对开放端口运行的服务进行智能服务识别 而不是固定地依据默认值 去判断 即使 web 服务运行在 67 端口也能被正确地检测出来 多重服务检测多重服务检测 如果系统有两个 ftp 服务一个在 21 端口 一个在 28 端口 那么我们 就会对这两个端口分别进行 ftp 漏洞检测 也就是说同一个脚本会对这两个端口都检测一 遍 脚本依赖 脚本依赖 扫描模块会自动根据其逻辑依赖关系执行而不是无目的盲目执行 从而提 高了扫描准确性 信息抛出 信息抛出 支持保存扫描脚本中动态抛出的信息 从而获得更多 更准确的信息 扫 描一台主机 开放 135 139 445 1025 端口 允许空连接 guest 空口令的情况 能够 获取主机的 netbios 名 主机名 工作组 域名 mac 地址 sid 名 用户名列表 弱密码 密码不过期 密码未改变 共享列表 系统服务列表 注册表完全访问等信息 拒绝服务脚本顺序扫描 拒绝服务脚本顺序扫描 提高准确性 减少误报 断点恢复 断点恢复 在扫描程序运行到一半的时候如果系统意外掉电等 可以通过查看扫描状 态进行重新扫描或者继续扫描 如果选择继续扫描的话 前面扫描到的结果会保留下来和 后面的结果一起合并生成结果文件 5 3 3 强大的漏洞库强大的漏洞库 全面的漏洞库与即时的更新能力 漏洞库按服务分为22大类别 按风险分为紧急 高 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 20 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 中 低 信息五个级别 基于国际cve标准建立 漏洞数量超过2400条 每条漏洞都包含详 细漏洞描述和可操作性强的解决方案 可通过互联网进行在线升级或通过本地数据包进行 本地升级 每周至少升级漏洞库一次 每月数量大于20条 5 45 4 分布式扫描分布式扫描 随着网络规模的逐步庞大 逐步复杂 核心级网络 部门级网络 终端 个人用户级网 络的建设 各个网络之间存在着防火墙 交换机等过滤机制 隐患扫描发送的数据包大部 分将被这些设备过滤 降低了扫描的时效性和准确性 针对这种分布式的复杂网络 不能依旧采用传统的软件安装方式产品 榕基网络隐患 扫描系统手持端产品能够充分发挥自身可移动的优势 能够很好的适应分布式网络扫描 榕基网络隐患扫描系统机架式产品运用 b s 架构实现的分布式漏洞扫描与安全评估 它通 过分布在网络的多个扫描器 各节点 并在中央扫描器进行集中管理的方式 实现了对大 规模网络的实时及定时漏洞扫描和风险评估 5 55 5 完善的检测报表完善的检测报表 榕基网络隐患扫描系统采用报表和图形的形式对扫描结果进行分析 可以方便直观地 对用户进行安全性能评估和检查 现拥有强大的结果文件分析能力 可以预定义 自定义 和多角度多层次的分析结果文件 提供 html word pdf txt 等多种格式 并提供行政主 管 技术人员 安全专家等预定义报表格式及自定义报表样式 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 21 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 5 5 1 丰富的报表格式与样式丰富的报表格式与样式 5 5 2 扫描目标的漏洞概要信息扫描目标的漏洞概要信息 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 22 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 5 5 3 漏洞类别概要信息漏洞类别概要信息 5 5 4 详细的漏洞描述与解决方案详细的漏洞描述与解决方案 榕基网络隐患扫描系统提供全中文界面 提供完善的漏洞风险级别 漏洞类别 漏洞 描述 漏洞类型 漏洞解决办法及扫描返回信息 并提供有关问题的国际权威机构记录 包括 cve 编号支持 以及与厂商补丁相关的链接 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 23 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 漏洞描述与解决方案截图 5 65 6 自身高安全自身高安全性性 ipip 地址限定地址限定 每个扫描系统所能扫描的 ip 地址范围被严格锁定和限制 并在国家授权机关进行安全 备案 杜绝了榕基网络隐患扫描系统被恶意使用的可能 抗攻击设计抗攻击设计 扫描系统运行的操作系统是经过专门优化的 linux 系统 对操作系统的漏洞进行了全 面的修补 并对扫描系统本身进行了各种攻击下的防范测试 多级的安全权限多级的安全权限 系统有完备的安全设计 防止超越权限操作现象发生 系统分级分层授权 以保证信 息的安全和保密 充分考虑在网络 操作系统 数据库 应用等方面的安全性 传输数据的加密传输数据的加密 采用多种数据加密方法对重要数据进行加密 保证数据的安全读取与传输 不论是扫 描脚本还是用户的扫描结果 都以严格加密的形式进行传送 保证用户的评估情况不会泄 漏 5 75 7 完善的三级服务体系完善的三级服务体系 第一级 产品本身第一级 产品本身 每个扫描系统本身都携带有漏洞的解释 根据这些提示 用户可以方便地学习相关知 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 24 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 识 并根据 cve 编号检索漏洞的相关知识 第二级 产品网站第二级 产品网站 榕基企业为隐患扫描产品专门建立了产品网站 并为用户提供周到的会员制服务 用 户可以使用账户和密码登录产品网站的会员区域 在这里 可以查询到十分详细的漏洞相 关知识 每一条漏洞的信息都包括漏洞成因 漏洞危害 漏洞修补建议 修补的操作步骤 相关知识介绍 信息订阅服务等 通过这些信息的提示 用户可以按照提示一步步地操作 直到解除隐患 第三级 专业安全小组第三级 专业安全小组 榕基企业的网络安全小组长期从事网络安全的研究 对安全产品和全面的安全方案有 丰富的经验 对各种漏洞的成因和修补有较深厚的知识积累 当用户通过前两级服务仍不 能解决问题时 可以通过 800 免费电话和产品网站与安全小组直接交流 榕基的安全小组 可为用户提供一对一的专业指导和协助 为用户建立严密的安全体系提供支持 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 25 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 第六章第六章系列产品特色系列产品特色 6 16 1 手持式产品手持式产品 便携 便携 手持式产品设计 手掌大小 用户可非常方便的携带接入目标网络进行安全漏 洞检测 硬件化技术的实现使网络安全隐患扫描仪的操作更简单 更方便实用和易于推广 非常适合公安 保密 政府等部门进行安全检查和验收 分布式扫描 分布式扫描 在分布式部署的网络中 各个网络之间存在着防火墙 交换机等过滤机 制的存在 传统隐患扫描器发送的数据包有可能将被这些设备过滤 手持式产品能够充分 发挥自身方便移动的优势 能够很好的适应这种分布式网络扫描 使用方便 使用方便 榕基网络隐患扫描系统软件与硬件紧密结合 触摸笔操作 完全中文和图 形化的界面 靓丽的外观工业设计 勾勾点点之间即可确保您的网络安全 自我防护 自我防护 扫描软件完全固化 并有多种抗攻击的保护措施 可以抵抗其它网络安全 软件所不能承受的攻击 使软件自身安全得到更好的保障 以完善之身助您走安全之路 联动服务 联动服务 本模块对外提供联动接口 当启动联动服务后 防火墙 入侵检测等产品 可按协议通过本接口调用扫描仪进行扫描 6 26 2 机架式产品机架式产品 基于基于 b sb s 模式 模式 用户可通过 b s 模式进行使用 管理 浏览器操作 无须安装客户端 管理 使用简单方便 严密灵活的权限管理 严密灵活的权限管理 可建立各个级别的用户 针对几十个模块分别授权 或授予一 个角色 可定义每个用户的允许登录 ip 和可扫描 ip 对象管理 对象管理 可按部门 操作系统 用途 重要性等不同类型划分设备定义对象组合 使漏洞扫描器能够和企业的网络逻辑拓扑结构相结合 扫描时直接指定对象组合进行扫描 使用和管理都非常方便 同时可根据每个设备的重要性 需要保护程度等定义每个设备的 资产分值 该分值用于计算最终的网络风险 从而得出更准确的风险判断 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 26 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 分布式扫描 分布式扫描 在超大型网络中部署的扫描器分为中心和节点两个角色 能够跨地域对 多个网络同时进行扫描 节点扫描器将扫描数据同步发送到中心扫描器数据库 上层安全 管理人员可以查看下层扫描器的扫描结果 也可以给下层扫描器指派任务 以便评估整个 网络的安全漏洞情况 使用方便 使用方便 机架式产品设计 使用户随时随地可以对局域网内的计算机进行安全漏洞 检测 用户只须在浏览器上输入该产品的 url 地址 登录后就可以进行各种操作 硬件化 技术的实现使网络安全隐患扫描系统的操作更简单 更方便实用和易于推广 高度安全 高度安全 每件产品所能扫描的 ip 地址范围被严格限定和加密 杜绝了 rj itop 网络 隐患扫机架式产品被恶意使用的可能 有效防止利用 rj itop 从事危害国家利益 集体利 益和公民合法利益的活动 特色功能 特色功能 可建立一个只有本机扫描权限的用户 公开帐户名 密码给所有员工 则 所有员工可用该帐户登录系统 但只能扫描登录的本机 即安全又方便管理 联动服务 联动服务 防火墙 入侵检测等产品可按协议通过本接口调用 rj itop 扫描器进行扫 描 扫描速度 扫描速度 采用并发规则 并发任务扫描等多项技术 并采用独创的脚本引擎调度算 法 在保证准确率的前提下 大大提高的检测的效率 6 36 3 软件版产品软件版产品 windowswindows 安装平台安装平台 支持 win2000 winxp win2003 操作系统 使用方便 使用方便 软件版产品设计 使用户随时随地可以对局域网内的计算机进行安全漏洞检 测 只需在局域网内的任意主机内安装 就可以进行各种操作 windows 操作界面 使用 简单方便 扫描技术 扫描技术 多种独创的脚本引擎调度技术 可以多角度全方位的对目标系统进行快速准 确的系统评估 扫描速度 扫描速度 采用并发规则 并发任务扫描等多项技术 并采用独创的脚本引擎调度算法 在保证准确率的前提下 大大提高的检测的效率 特色功能 特色功能 管理员扫描 主要是网络系统管理员使用 可通过网络登录到远程网络主机 快速 准确地检测目标系统的安全情况 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 27 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 6 46 4 增强型产品增强型产品 同时具备机架式产品的强大功能和手持式产品的便携移动 适用于高端用户 胜 任大规模复杂网络的隐患扫描 安全评估工作 高性能中心扫描服务器 高性能中心扫描服务器 配备的高性能中心扫描服务器扫描速度超过 3ip 分钟 让您快速得出网络的安全情况 分布式部署 分布式部署 可在网络中部署多级扫描服务器 能够跨地域对多个网络同时进行 扫描 下级扫描服务器将扫描数据同步发送到上级扫描服务器数据库 上层安全管理 人员可以查看下层扫描服务器的扫描结果 也可以给下层扫描服务器指派任务 以便 评估整个网络的安全漏洞情况 超高扫描速度 超高扫描速度 通过部署高性能的中心扫描服务器和多个下级服务器 可使系统 达到超过 10ip 分钟的超高扫描速度 让您快速得出整个网络系统的安全情况 便携手持端 便携手持端 同时配备的手持式扫描仪让您随意移动接入任何网络点进行检测 如可用于对下级单位的检查等 统一管理 统一管理 能够统一调度下级扫描器同时执行扫描 上报结果 向整个网络发布 消息 发布补丁等 让您更方便统一的保障整个网络安全 福建榕基软件开发有限公司 tel 0591 87860988 fax 0591 87869595 28 地址 福建省福州市铜盘路软件大道 89 号 15 座 邮编 350003 网址 www rj 第七章第七章性能指标与产品规格性能指标与产品规格 7 17 1 性能指标性能指标 7 1 1 漏洞检测类别漏洞检测类别 榕基网络隐患扫描系统将漏洞主要分为下列类别 1 cgi 攻击测试2 dns 测试 3 finger 测试 4 ftp 测试 5 杂项测试 6 ldap 测试 7 rpc 测试 8 snmp 测试 9 ssh 服务测试 10 ssl 测试 11 vpn 测试 12 web 服务测试 13 windows 测试14 打印服务测试 15 注册表测试 16 防火墙测试17 后门测试 18 类 unix 测试 19 数据库测试20 网络设备测试 21 信息获取测试 22 邮件系统测试 7 1 2 扫描速度扫描速度 机架式产品 机架式产品 测试环境 10 100m局域网 默认扫描参数 50脚本并发 15主机并发 安全优化完 全扫描1731个脚本 单个脚本60秒超时 扫描典型端口 只开一个任务进行扫描 进行网 段扫描 60 以上主机在线 平均每台在线主机扫描时间约20 30秒 平均2 3ip 分钟 扫描主机数量扫描时间 1 10 台 5 分钟 10 20 台 8 分钟 20 40 台 18 分钟 1 个 c 类网段 60 以