一、漏洞管理存在的問(wèn)題

漏洞指硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。如在Intel Pentium芯片中存在的邏輯錯(cuò)誤，在Sendmail早期版本中的編程錯(cuò)誤，SSH協(xié)議上的緩沖區(qū)溢出攻擊，在NFS協(xié)議中認(rèn)證方式上的弱點(diǎn)，在Unix系統(tǒng)管理員設(shè)置匿名FTP服務(wù)時(shí)配置不當(dāng)?shù)膯?wèn)題都可能被攻擊者使用，威脅到系統(tǒng)的安全。因而這些都可以認(rèn)為是系統(tǒng)中存在的安全漏洞。

       目前，攻擊者未必會(huì)利用零日漏洞，實(shí)際上，大多數(shù)攻擊都是利用的已知漏洞。對(duì)于攻擊者來(lái)說(shuō)，IT系統(tǒng)的各方面都會(huì)存在脆弱性，這些方面包括常見(jiàn)的操作系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、應(yīng)用系統(tǒng)漏洞、弱口令等，也包括容易被忽視的錯(cuò)誤安全配置問(wèn)題，以及違反最小化原則開(kāi)放的不必要的賬號(hào)、服務(wù)、端口等。

二、傳統(tǒng)手段無(wú)法解決

而一般安全管理員不會(huì)經(jīng)常掃描所管理的系統(tǒng)或設(shè)備；另外，隨著大量IT系統(tǒng)被廣泛使用，大、中型企業(yè)還存在為數(shù)眾多的下屬部門(mén)，這對(duì)漏洞檢查的廣度和深度提出了更高的要求，而傳統(tǒng)的漏洞檢查系統(tǒng)無(wú)法滿足這些要求。簡(jiǎn)而言之，傳統(tǒng)的漏洞檢查工具或系統(tǒng)存在如下幾個(gè)方面的問(wèn)題：

       1.     檢查漏洞缺乏一定的實(shí)時(shí)性，待發(fā)現(xiàn)系統(tǒng)有漏洞被利用而造成信息泄露或服務(wù)停止，方采取措施進(jìn)行防護(hù)；

       2.     只能針對(duì)各類系統(tǒng)開(kāi)放的端口進(jìn)行遠(yuǎn)程檢查，無(wú)法進(jìn)行本地方式的漏洞掃描，故檢查結(jié)果十分有限；

       3.     不能檢查系統(tǒng)的配置情況，如口令策略、日志設(shè)置、訪問(wèn)控制策略設(shè)置等；

       4.     無(wú)法集中化地管理、分析和統(tǒng)計(jì)漏洞問(wèn)題；

       5.     無(wú)法對(duì)存在漏洞的系統(tǒng)或設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估；

       6.     無(wú)法突出用戶需要關(guān)注的漏洞或安全配置上存在的問(wèn)題。

       上述問(wèn)題所帶來(lái)的后果就是，用戶無(wú)法集中化地管理、評(píng)估、修補(bǔ)各種漏洞。

三、產(chǎn)品介紹

       漏洞掃描管理系統(tǒng)是安徽靈狐網(wǎng)絡(luò)科技自主研發(fā)的擁有自主知識(shí)產(chǎn)權(quán)的專業(yè)漏洞管理產(chǎn)品。它協(xié)助用戶實(shí)現(xiàn)企業(yè)內(nèi)漏洞的集中采集、風(fēng)險(xiǎn)分析、處理的工作，它提供分布式的部署和管理方式，它是企業(yè)日常信息安全工作的重要支撐。

漏洞問(wèn)題管理：全面集中掃描和分析用戶各類信息系統(tǒng)或設(shè)備存在的安全漏洞問(wèn)題，以用戶業(yè)務(wù)為視角，自動(dòng)地完成以往需安全專家才能完成的風(fēng)險(xiǎn)分析工作。

掃描報(bào)告管理：提供全面、詳盡、清晰的掃描報(bào)告管理功能，并能對(duì)不同的掃描結(jié)果進(jìn)行比對(duì)。

安全運(yùn)維管理：建立日常運(yùn)維工作的服務(wù)保障體系；包括各種資產(chǎn)配置庫(kù)、報(bào)表管理、安全知識(shí)管理等

它主要解決企業(yè)日益繁重的安全配置管理問(wèn)題。作為統(tǒng)一的安全配置核查和管理系統(tǒng)，能夠準(zhǔn)確、快速、及時(shí)地發(fā)現(xiàn)、匯總企業(yè)中不同廠商不同種類的網(wǎng)絡(luò)設(shè)備、主機(jī)、防火墻、數(shù)據(jù)庫(kù)、中間件的安全配置問(wèn)題，它主要包括如下主要功能：

任務(wù)制定：提供靈活的功能用于制定不同類型或周期的檢查任務(wù)，任務(wù)中可以方便地設(shè)置檢查對(duì)象和檢查策略。

采集分析：全面集中檢查和分析各類系統(tǒng)存在的本地安全配置問(wèn)題，減輕用戶因?qū)Σ煌O(shè)備分散管理而帶來(lái)的冗余工作。

       系統(tǒng)加固：提供詳盡的、可實(shí)際運(yùn)用的系統(tǒng)加固方案，以指導(dǎo)用戶對(duì)產(chǎn)生的安全問(wèn)題進(jìn)行解決。

四、產(chǎn)品功能

      漏洞掃描管理系統(tǒng)是由綜合展現(xiàn)層、業(yè)務(wù)功能層、分析處理層、采集層等部分組成，如下圖所示：

     在漏洞掃描管理系統(tǒng)中，Web主要由漏洞管理、整體概覽、個(gè)人工作臺(tái)、資產(chǎn)管理、告警管理、報(bào)表管理、知識(shí)庫(kù)管理、系統(tǒng)管理組成。

4.1 漏洞管理

所謂漏洞是脆弱性的一個(gè)子集，專指可通過(guò)掃描器發(fā)現(xiàn)的脆弱性，其中部分具有國(guó)際上標(biāo)準(zhǔn)的CVE編號(hào)；而如企業(yè)沒(méi)有安全管理負(fù)責(zé)人之類的脆弱性則不被認(rèn)為是漏洞。

系統(tǒng)支持分布式的漏洞掃描模式以及集中的漏洞分析、處理。

在漏洞管理中，能夠集中查看、統(tǒng)計(jì)系統(tǒng)存在的系統(tǒng)漏洞。還可以制定掃描策略及任務(wù)，對(duì)系統(tǒng)內(nèi)安全資產(chǎn)進(jìn)行一次或周期性的掃描。

系統(tǒng)支持設(shè)置IPv4地址段或選擇資產(chǎn)的方式掃描對(duì)象；也可以支持對(duì)單個(gè)IPv6地址對(duì)象掃描。

漏洞管理主要分以下模塊：

1.     漏洞查看：列表查看登錄用戶權(quán)限范圍存在的漏洞，顯示某漏洞在哪些資產(chǎn)上存在；可顯示相關(guān)漏洞的全部詳細(xì)情況；

2.     掃描任務(wù)管理：漏洞任務(wù)管理包括三個(gè)部分：任務(wù)列表、正在執(zhí)行的任務(wù)以及已完成的任務(wù)，報(bào)告可以導(dǎo)出為Word、PDF、HTML等格式；對(duì)于正在執(zhí)行的任務(wù)用戶可以停止、暫?；蚶^續(xù)任務(wù)的執(zhí)行；

3.     掃描策略管理：用戶可以自定義漏洞掃描策略（通過(guò)選擇系統(tǒng)內(nèi)存在的插件）。

       4.     系統(tǒng)提供定期的掃描插件升級(jí)服務(wù)。

4.2 安全儀表板

安全儀表板是系統(tǒng)風(fēng)險(xiǎn)的集中展示區(qū)域，也是系統(tǒng)展現(xiàn)給用戶的第一個(gè)視覺(jué)界面；它支持以TAB頁(yè)及微件（Widget）形式展現(xiàn)，用戶也可對(duì)儀表的布局和內(nèi)容進(jìn)行定義和調(diào)整。

系統(tǒng)支持如下類型的儀表板：

1.     整體安全概況

2.     安全資產(chǎn)概況

3.     告警概況

4.     脆弱性概況

       5.     任務(wù)概況

4.3 個(gè)人工作臺(tái)

個(gè)人工作臺(tái)是登錄用戶用于便捷操作的窗口。它固定的放置于頁(yè)面的一個(gè)位置（通常是頂部），起到管理入口的作用。它主要包含了與登錄用戶相關(guān)的一些信息，但需對(duì)用戶的權(quán)限進(jìn)行過(guò)濾，其功能主要包括：

1.     對(duì)象快捷創(chuàng)建菜單，菜單中包含：資產(chǎn)、用戶、任務(wù)

2.     個(gè)人待辦事宜：告警

       3.     通知功能：任務(wù)完成情況

4.4 資產(chǎn)管理

安全資產(chǎn)是漏洞掃描管理系統(tǒng)管理對(duì)象。與ISO27001的關(guān)于資產(chǎn)的定義略有不同，漏洞掃描管理系統(tǒng)中的資產(chǎn)是特指具有IP地址的IT類設(shè)備及其之上運(yùn)行的、可管理的服務(wù)、應(yīng)用。

一般而言，安全管理中的資產(chǎn)具備如下兩類屬性：

1.     基本屬性：名稱、編號(hào)、系統(tǒng)類型（產(chǎn)品類型、操作系統(tǒng)類型、版本等）、IP地址（支持IPv4核IPv6格式）、響應(yīng)人（出現(xiàn)安全問(wèn)題應(yīng)由何人處理）、登錄憑證、上架信息等；

2.     安全屬性：完整性、可用性、保密性、風(fēng)險(xiǎn)信息、開(kāi)放端口、漏洞信息題等。

系統(tǒng)的資產(chǎn)管理支持用戶錄入、導(dǎo)入或自動(dòng)發(fā)現(xiàn)資產(chǎn)。

為了處理不同網(wǎng)絡(luò)的資產(chǎn)同IP問(wèn)題，系統(tǒng)還支持對(duì)于網(wǎng)絡(luò)和IP地址段的管理。

       為了用戶便于集中、靈活地管理所轄范圍內(nèi)的資產(chǎn)，系統(tǒng)支持用戶自定義資產(chǎn)管理視圖。

4.5 告警管理

      所謂告警是指用戶特別需要關(guān)注的安全問(wèn)題，這些問(wèn)題來(lái)源于高危漏洞。

      告警管理中包括了如下功能：

1.     告警監(jiān)控：監(jiān)控系統(tǒng)內(nèi)存在的各種告警；用戶可以通過(guò)定義過(guò)濾器以監(jiān)控需要特別關(guān)注的告警信息；用戶也可以根據(jù)         個(gè)人需求，設(shè)置告警的提示音、界面顯示方式等；

2.     告警處理：處理監(jiān)控列表中相關(guān)告警；針對(duì)告警，用戶可以清除、確認(rèn)（不能確定是否需要處理）；

       3.     策略定義：用戶可以定義各類告警產(chǎn)生的策略（系統(tǒng)內(nèi)置了部分策略）；在告警策略中可以設(shè)定對(duì)于安全數(shù)據(jù)的篩選條件、歸并字段、時(shí)長(zhǎng)和次數(shù)以及命中后產(chǎn)生何種響應(yīng)；響應(yīng)包括包含發(fā)送郵件、發(fā)送Syslog或SNMP Trap、執(zhí)行外部程序或腳本等。

4.6 報(bào)表管理

       報(bào)表管理的作用為展示系統(tǒng)安全工作的結(jié)果。報(bào)表內(nèi)容包含各種信息的統(tǒng)計(jì)情況，包括：告警報(bào)表、資產(chǎn)報(bào)表、漏洞報(bào)表等。

4.7 知識(shí)庫(kù)

知識(shí)庫(kù)管理為系統(tǒng)運(yùn)行和維護(hù)提供了知識(shí)來(lái)源以及安全問(wèn)題的處理依據(jù)、方法或參考，目前支持如下幾類：

1.     漏洞類：通過(guò)掃描器發(fā)現(xiàn)的在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷的描述及解決方案；

2.     安全經(jīng)驗(yàn)類：基于系統(tǒng)安全事件、漏洞、配置問(wèn)題等信息綜合生成的安全警示信息的描述、告警觸發(fā)建議及解決方案等。

       用戶可以通過(guò)全文檢索功能對(duì)系統(tǒng)提供的安全知識(shí)進(jìn)行查詢。

五、產(chǎn)品優(yōu)勢(shì)

5.1 簡(jiǎn)便易用的界面風(fēng)格

      系統(tǒng)通過(guò)提供入門(mén)向?qū)?、個(gè)人工作臺(tái)、任務(wù)通知、快捷菜單等方式，為用戶提供了簡(jiǎn)單易用的界面，即使是初次使用系統(tǒng)，也完全能在較短的時(shí)間內(nèi)掌握。

5.2 靈活通用的系統(tǒng)設(shè)計(jì)

1.     可擴(kuò)展的漏洞掃描功能

2.     可配置的安全儀表板

3.     可配置的系統(tǒng)功能菜單

4.     支持用戶自定義的檢查策略和告警策略

       5.     支持靈活的部署方式

5.3 極度快速的處理性能

       支持極高的漏洞掃描速度，而且網(wǎng)絡(luò)占用帶寬小

5.4 基于本地掃描的深度解決方案

      能檢測(cè)本地應(yīng)用程序、動(dòng)態(tài)庫(kù)及配置存在的問(wèn)題，從而極大地對(duì)漏洞問(wèn)題評(píng)估提供了手段。