一. 攻防威脅的變化

利用安全漏洞進行網(wǎng)絡(luò)攻擊的互聯(lián)網(wǎng)安全問題，好像陽光下的陰影，始終伴隨著互聯(lián)網(wǎng)行業(yè)的應(yīng)用發(fā)展。近些年，網(wǎng)絡(luò)安全威脅的形式也出現(xiàn)了不同的變化，攻擊方式從單個興趣愛好者隨意下載的簡單工具攻擊，向有組織的專業(yè)技術(shù)人員專門編寫的攻擊程序轉(zhuǎn)變，攻擊目的從證明個人技術(shù)實力向商業(yè)或國家信息竊取轉(zhuǎn)變。

如圖 1.1，2013-2017 年，國家信息安全漏洞共享平臺（CNVD）所收錄的安全漏洞數(shù)量持續(xù)走高，CNVD 收錄的安全漏洞數(shù)量年平均增長率為 21.6%，但 2017 年較 2016 年收錄的安全漏洞數(shù)量增長 47.4%，達到 15955 個，收錄的安全漏洞數(shù)量達到歷史新高。2018 年趨于平緩，較 2017 年降低 12.4%。日益增多的漏洞數(shù)量，給安全防護帶來了巨大的挑戰(zhàn)。

新攻擊方式的變化，依然會利用各種漏洞，比如：Google 極光攻擊事件中被利用的 IE 瀏覽器溢出漏洞，Shady RAT 攻擊事件中被利用的 EXCEL 程序的 FEATHEADER 遠程代碼執(zhí)行漏洞。其實攻擊者攻擊過程并非都會利用 0day 漏洞，比如 FEATHEADER 遠程代碼執(zhí)行漏洞，與此相反，大多數(shù)攻擊都是利用的已知漏洞。對于攻擊者來說，IT 系統(tǒng)的方方面面都存在脆弱性，這些方面包括常見的操作系統(tǒng)漏洞、應(yīng)用系統(tǒng)漏洞、弱口令，也包括容易被忽略的錯誤安全配置問題，以及違反最小化原則開放的不必要的賬號、服務(wù)、端口等。

在新攻擊威脅已經(jīng)轉(zhuǎn)變的情況下，網(wǎng)絡(luò)安全管理人員仍然在用傳統(tǒng)的漏洞掃描工具，每季度或半年，僅僅進行網(wǎng)絡(luò)系統(tǒng)漏洞檢查，無法真正達到通過安全檢查事先修補網(wǎng)絡(luò)安全脆弱性的目的。網(wǎng)絡(luò)安全管理人員需要對網(wǎng)絡(luò)安全脆弱性進行全方位的檢查，對存在的安全脆弱性問題一一修補，并保證修補的正確完成。這個過程的工作極為繁瑣，傳統(tǒng)的漏洞掃描產(chǎn)品從脆弱性檢查覆蓋程度，到分析報告對管理人員幫助的有效性方面，已經(jīng)無法勝任。

二. 環(huán)境變化帶來的問題

隨著 IT 建設(shè)的發(fā)展，很多政府機構(gòu)及大中型企業(yè)，都建立了跨地區(qū)的辦公或業(yè)務(wù)網(wǎng)絡(luò)，系統(tǒng)安全管理工作由不同地區(qū)的安全運維人員承擔(dān)，總部集中監(jiān)管。按照安全掃描原則，漏洞掃描產(chǎn)品一般被部署到離掃描目標(biāo)最近的位置，這就形成了漏洞掃描產(chǎn)品分布式部署的要求。

對 IT 系統(tǒng)來說，網(wǎng)絡(luò)中每個點的安全情況都會對整個 IT 系統(tǒng)造成威脅，運維人員不但要關(guān)注某個地區(qū)的安全情況，還需要關(guān)注整個 IT 系統(tǒng)的安全風(fēng)險情況。這要求有相應(yīng)的漏洞管理平臺對整個網(wǎng)絡(luò)中的漏洞掃描產(chǎn)品進行集中管理，收集信息，匯總分析，讓運維人員掌握整體網(wǎng)絡(luò)安全狀況。

展開全文

另外，虛擬化系統(tǒng)也已經(jīng)在各個行業(yè)得到了廣泛應(yīng)用，IPv6 網(wǎng)絡(luò)也將實現(xiàn)商業(yè)化，新技術(shù)的應(yīng)用帶來了新的安全威脅，要求漏洞掃描產(chǎn)品能夠適應(yīng)新的的環(huán)境，實現(xiàn)完整的系統(tǒng)脆弱性掃描。

三. 新一代漏洞管理產(chǎn)品必備特性

攻防威脅的轉(zhuǎn)變和系統(tǒng)環(huán)境的變化，要求漏洞掃描產(chǎn)品能夠及時應(yīng)對這些變化，為系統(tǒng)安全脆弱性評估提供有力手段，新一代的漏洞管理產(chǎn)品應(yīng)該具備以下特性：

◆ 能夠全面發(fā)現(xiàn)信息系統(tǒng)存在的各種脆弱性問題，包括安全漏洞、安全配置問題、應(yīng)用系統(tǒng)安全漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不必要開放的賬號、服務(wù)、端口，形成整體安全風(fēng)險報告

◆ 能夠快速定位風(fēng)險類型、區(qū)域、嚴重程度，直觀展示安全風(fēng)險

◆ 能夠結(jié)合安全管理制度，支持安全風(fēng)險預(yù)警、檢查、分級管理、修復(fù)、審計流程，并監(jiān)督流程的執(zhí)行

◆ 能夠提供多種靈活部署方式，適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境下的部署，并盡量控制降低安全建設(shè)成本

◆ 能夠在虛擬化環(huán)境、IPv6 環(huán)境中部署和檢測其脆弱性

四. 綠盟遠程安全評估系統(tǒng)

綠盟遠程安全評估系統(tǒng)（NSFOCUS Remote Security Assessment System 簡稱：NSFOCUS RSAS）是綠盟科技結(jié)合多年的漏洞挖掘和安全服務(wù)實踐經(jīng)驗，自主研發(fā)的新一代漏洞管理產(chǎn)品，它高效、全方位的檢測網(wǎng)絡(luò)中的各類脆弱性風(fēng)險，提供專業(yè)、有效的安全分析和修補建議，并貼合安全管理流程對修補效果進行審計，最大程度減小受攻擊面，是您身邊專業(yè)的“漏洞管理專家”。

◆ 全方位系統(tǒng)脆弱性發(fā)現(xiàn)：全面發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞、安全配置問題、應(yīng)用系統(tǒng)安全漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不必要開放的賬號、服務(wù)、端口，形成整體安全風(fēng)險報告。

◆ 從海量數(shù)據(jù)中快速定位風(fēng)險：提供儀表盤報告和分析方式，在大規(guī)模安全檢查后，快速定位風(fēng)險類型、區(qū)域、嚴重程度，根據(jù)資產(chǎn)重要性進行排序，可以從儀表盤報告直接定

位到具體主機具體漏洞。

◆ 融入并促進安全管理流程：安全管理不只是技術(shù)，更重要的是通過流程制度對安全脆弱性風(fēng)險進行控制，產(chǎn)品結(jié)合安全管理制度，支持安全風(fēng)險預(yù)警、檢查、分級管理、修復(fù)、審計流程，并監(jiān)督流程的執(zhí)行。

◆ 靈活的部署方案：支持單機單網(wǎng)絡(luò)、單機多網(wǎng)絡(luò)、分布式部署等多種接入方式，靈活適應(yīng)各種網(wǎng)絡(luò)拓撲環(huán)境，降低成本，便于擴展。支持通過虛擬化鏡像方式在虛擬化環(huán)境下直接部署，支持 IPv6 網(wǎng)絡(luò)環(huán)境下的部署和漏洞掃描。

4.1 產(chǎn)品體系結(jié)構(gòu)

NSFOCUS RSAS V6.0 采用模塊化設(shè)計，內(nèi)部分為基礎(chǔ)平臺層、系統(tǒng)服務(wù)層、系統(tǒng)核心層、系統(tǒng)接入層，每層內(nèi)部劃分不同的功能模塊，整體工作架構(gòu)如圖 4.1 所示。

圖 4.1 NSFOCUS RSAS 整體架構(gòu)圖

4.1.1 基礎(chǔ)平臺層功能

基礎(chǔ)平臺包含專用硬件平臺和基礎(chǔ)軟件平臺。

專用硬件平臺包含五款綠盟科技基礎(chǔ)硬件平臺，分別對應(yīng)便攜型號、精簡型號、標(biāo)準(zhǔn)型號、以及企業(yè)版型號。

基礎(chǔ)軟件平臺包含了綠盟科技定制操作系統(tǒng)、文件系統(tǒng)、硬盤加密解密、應(yīng)用程序加密解密、輸入輸出加密解密、IPv4/IPv6 網(wǎng)絡(luò)服務(wù)、內(nèi)置數(shù)據(jù)庫、Web 服務(wù)、程序運行環(huán)境等功能。

4.1.2 系統(tǒng)服務(wù)層功能

系統(tǒng)服務(wù)層包含數(shù)據(jù)處理引擎和系統(tǒng)服務(wù)引擎。

數(shù)據(jù)處理引擎是系統(tǒng)內(nèi)部的數(shù)據(jù)接口，提供了數(shù)據(jù)庫訪問、數(shù)據(jù)緩存、數(shù)據(jù)同步等功能。

數(shù)據(jù)處理引擎屏蔽了數(shù)據(jù)庫系統(tǒng)操作的細節(jié)，減少數(shù)據(jù)庫的連接，優(yōu)化數(shù)據(jù)庫的訪問，緩存常用和計算復(fù)雜的數(shù)據(jù)，集中處理數(shù)據(jù)的邏輯，降低了其他功能模塊的維護工作量。

系統(tǒng)服務(wù)引擎是系統(tǒng)內(nèi)部的功能接口，提供了任務(wù)數(shù)據(jù)導(dǎo)入導(dǎo)出等功能。系統(tǒng)服務(wù)引擎解耦了前臺操作和后臺操作，后臺功能以特定的權(quán)限運行，增加了系統(tǒng)的安全性。

4.1.3 系統(tǒng)核心層功能

系統(tǒng)核心層是產(chǎn)品的核心，提供最具競爭力的功能，包含主機發(fā)現(xiàn)、操作系統(tǒng)識別、服務(wù)識別、弱口令檢測、漏洞掃描、配置核查、漏洞驗證等，有較多可擴展的模塊和插件。

報表引擎是報表展示的核心處理模塊，能夠提供 HTML、WORD、EXCEL、PDF、XML等多種報表格式。

調(diào)度引擎是掃描工作的協(xié)調(diào)中心，根據(jù)用戶操作的不同可能有立即執(zhí)行的任務(wù)、定時執(zhí)行的任務(wù)、周期執(zhí)行的任務(wù)等，檢測出任務(wù)的類型和優(yōu)先級，進行漏洞掃描或者配置檢查、口令猜測。

狀態(tài)引擎是系統(tǒng)狀態(tài)的協(xié)調(diào)中心，主要包含系統(tǒng)資源狀態(tài)信息、系統(tǒng)的授權(quán)證書信息、BDB 配置項、任務(wù)執(zhí)行進度信息、升級進度信息等。

證書系統(tǒng)提供了產(chǎn)品可授權(quán)使用的信息，包含購買用戶、設(shè)備 HASH 值、授權(quán) IP 數(shù)、授權(quán)使用模塊、授權(quán)起止信息等。

升級系統(tǒng)提供了產(chǎn)品更新的能力，為掃描插件更新、產(chǎn)品功能更新、產(chǎn)品反饋修改等提供了可能。

4.1.4 系統(tǒng)接入層功能

系統(tǒng)接入層包含了用戶通過瀏覽器訪問 Web 頁面、通過串口訪問控制臺、通過數(shù)據(jù)接口進行數(shù)據(jù)交互等方式，其中數(shù)據(jù)接口包含第三方平臺管理數(shù)據(jù)接口、SNMP Trap。

4.2 產(chǎn)品特色

4.2.1 全面發(fā)現(xiàn)系統(tǒng)漏洞、弱口令、配置隱患以及 Web 應(yīng)用漏洞

對于攻擊者來說，IT 系統(tǒng)的方方面面都存在脆弱性，這些方面包括常見的操作系統(tǒng)漏洞、應(yīng)用系統(tǒng)漏洞、弱口令，也包括容易被忽略的錯誤安全配置問題，以及違反最小化原則開放的不必要的賬號、服務(wù)、端口等。

綠盟遠程安全評估系統(tǒng)能夠全方位檢測 IT 系統(tǒng)存在的脆弱性，發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞、安全配置問題、應(yīng)用系統(tǒng)安全漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不必要開放的

賬號、服務(wù)、端口，形成整體安全風(fēng)險報告，幫助安全管理人員先于攻擊者發(fā)現(xiàn)安全問題，及時進行修補。

4.2.2 容器鏡像部署前安全評估能力

容器技術(shù)在當(dāng)前環(huán)境中應(yīng)用越來越廣泛，然而目前大部分由公共鏡像倉庫提供的容器鏡像均存在中危甚至高危的漏洞，另一方面人們也往往容易忽視容器鏡像在部署前所存在安全問題，導(dǎo)致部署完成后投入大量的資源去解決本應(yīng)在部署前解決的安全問題。

綠盟遠程安全評估系統(tǒng)能夠?qū)θ萜麋R像進行漏洞掃描以及配置核查，在容器鏡像部署前發(fā)現(xiàn)容器鏡像存在的漏洞及配置安全問題，以便安全管理員盡早發(fā)現(xiàn)容器鏡像存在的安全問題，控制問題鏡像的傳播范圍并制定標(biāo)準(zhǔn)應(yīng)對措施。

4.2.3 風(fēng)險統(tǒng)一分析

目前市場上有很多獨立的漏洞掃描、配置檢查、Web 應(yīng)用掃描產(chǎn)品，對信息系統(tǒng)進行安全檢查后，分別得到不同的檢查報告，互相之間沒有聯(lián)系，實際上不同脆弱性的掃描結(jié)果都從不同方面反映網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險狀態(tài)，要了解信息系統(tǒng)總體安全風(fēng)險狀況，需要對脆弱性的所有方面統(tǒng)一進行分析和評估。

綠盟遠程安全評估系統(tǒng)支持全方位的安全漏洞、安全配置、應(yīng)用系統(tǒng)安全漏洞掃描，通過綠盟科技專利安全風(fēng)險計算方法，對網(wǎng)絡(luò)系統(tǒng)中多個方面的安全脆弱性統(tǒng)一進行分析和風(fēng)險評估，給出總體安全狀態(tài)評價，全面掌握信息系統(tǒng)安全風(fēng)險。

4.2.4 靈活的部署方案

業(yè)務(wù)系統(tǒng)的多樣性，決定了 IT 網(wǎng)絡(luò)建設(shè)環(huán)境不盡相同，對于脆弱性管理產(chǎn)品來講，沒有靈活的部署方案適應(yīng)多種網(wǎng)絡(luò)環(huán)境，就意味著有些網(wǎng)絡(luò)無法接入或者建設(shè)成本極大增加。

綠盟遠程安全評估系統(tǒng)提供了多種靈活的部署方式，能夠滿足復(fù)雜的網(wǎng)絡(luò)環(huán)境下的部署，并且優(yōu)先應(yīng)用輕量級部署方案，最大程度降低安全建設(shè)成本。綠盟遠程安全評估系統(tǒng)支持單機單網(wǎng)絡(luò)、單機多網(wǎng)絡(luò)、分布式部署等多種接入方式，靈活適應(yīng)各種網(wǎng)絡(luò)拓撲環(huán)境，便于擴展。

另外，考慮到虛擬化和 IPv6 網(wǎng)絡(luò)的逐步應(yīng)用，綠盟遠程安全評估系統(tǒng)支持通過虛擬化鏡像方式在虛擬化環(huán)境下直接部署，也支持 IPv6 網(wǎng)絡(luò)環(huán)境下的部署和漏洞掃描。

4.2.5 獨創(chuàng)便攜工控設(shè)備，隨時監(jiān)督檢查

安全管理體系中，定期或不定期的現(xiàn)場安全監(jiān)督檢查是必不可少的重要環(huán)節(jié)，安全檢查工具是否便攜，成為監(jiān)督檢查人員除了性能之外的重要考慮因素。

綠盟遠程安全評估系統(tǒng)獨創(chuàng)便攜式工控設(shè)備，小巧輕便，普通筆記本包即可攜帶，在保證快速安全脆弱性掃描的基礎(chǔ)上，方便攜帶進行現(xiàn)場監(jiān)督檢查，實現(xiàn)了性能和便攜要求的和諧統(tǒng)一。

4.2.6 結(jié)合資產(chǎn)從海量數(shù)據(jù)快速定位風(fēng)險

IT 系統(tǒng)規(guī)模越來越大，資產(chǎn)數(shù)量、漏洞數(shù)量、更多的脆弱性問題越來越多，匯總成大量的風(fēng)險數(shù)據(jù)，傳統(tǒng)的關(guān)注掃描漏洞、補丁修補的安全管理工作方式會使安全管理人員疲于應(yīng)付，又不能保證對重要資產(chǎn)的及時修補。

綠盟遠程安全評估系統(tǒng)在上線后，首先盡量收集 IT 系統(tǒng)環(huán)境信息，建立起 IT 資產(chǎn)關(guān)系列表。準(zhǔn)備工作完成后，系統(tǒng)基于資產(chǎn)信息進行脆弱性掃描和分析報告。綠盟遠程安全評估系統(tǒng)脆弱性掃描分析結(jié)果以儀表盤方式展示，從風(fēng)險發(fā)生區(qū)域、類型、嚴重程度進行不同維度的分類分析報告，用戶可以全局掌握安全風(fēng)險，關(guān)注重點區(qū)域、重點資產(chǎn)，對嚴重問題優(yōu)先修補。對于需要定位主機安全脆弱性的安全維護人員，通過直接點擊儀表盤風(fēng)險數(shù)據(jù)，可以逐級定位風(fēng)險，直至定位到具體主機具體漏洞。綠盟遠程安全評估系統(tǒng)也提供了強大的搜索功能，可以根據(jù)資產(chǎn)范圍、風(fēng)險程度等條件搜索定位風(fēng)險。

4.2.7 融入并促進安全管理流程

安全管理不只是技術(shù)，更重要的是通過流程制度對安全脆弱性風(fēng)險進行控制，很多公司制定了安全流程制度，但仍然有安全事故發(fā)生，人員對流程制度的執(zhí)行起到關(guān)鍵作用，如何融入管理流程，并促進流程的執(zhí)行是安全脆弱性管理產(chǎn)品需要解決的問題。

安全管理流程制度一般包括預(yù)警、檢測、分析管理、修補、審計等幾個環(huán)節(jié)，結(jié)合綠盟科技 NSFOCUS 安全研究團隊的工作，綠盟遠程安全評估系統(tǒng)能夠參與安全流程中的預(yù)警、檢測、分析管理、審計環(huán)節(jié)，并通過事件告警督促安全管理人員進行風(fēng)險修補。

4.2.8 識別非標(biāo)準(zhǔn)端口，準(zhǔn)確掃描服務(wù)漏洞

在 IT 系統(tǒng)安全管理中，經(jīng)常會遇到由于業(yè)務(wù)需要而改變默認應(yīng)用服務(wù)端口的情況，改變協(xié)議默認端口能夠規(guī)避業(yè)務(wù)沖突、減少設(shè)備投入、充分利用資源，但某種協(xié)議在非標(biāo)準(zhǔn)端口上如何識別和掃描也成為安全管理產(chǎn)品需要解決的問題。

綠盟遠程安全評估系統(tǒng)應(yīng)用先進的非標(biāo)準(zhǔn)端口識別技術(shù)、以及豐富的協(xié)議指紋庫，能夠快速準(zhǔn)確的識別非標(biāo)準(zhǔn)端口上的應(yīng)用服務(wù)類型，并進一步進行漏洞檢測，極大的避免了掃描過程 中的漏報和誤報。

4.2.9 豐富的漏洞、配置知識庫

綠盟科技 NSFOCUS 安全小組，有多位專職的研究員進行漏洞跟蹤和漏洞前瞻性研究，到目前為止已經(jīng)獨立發(fā)現(xiàn)了 200 余個關(guān)于常見操作系統(tǒng)、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備的漏洞，并且為國際上的知名網(wǎng)絡(luò)安全廠商提供相關(guān)漏洞的規(guī)則支持。NSFOCUS 安全小組負責(zé) NSFOCUS RSAS 的漏洞知識庫和檢測規(guī)則的維護，除定期的每兩周的升級外，重大漏洞的升級在全球首次發(fā)現(xiàn)后兩天內(nèi)完成。

依靠專業(yè)的 NSFOCUS 安全小組的研究積累，NSFOCUS RSAS 產(chǎn)品知識庫已經(jīng)有超過16 萬條系統(tǒng)漏洞信息，涵蓋所有主流基礎(chǔ)系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備等網(wǎng)元對象；知識庫中還提供 9 大類 40 多種產(chǎn)品上百個版本的系統(tǒng)的配置檢查庫，提供綠盟科技作為專業(yè)安全廠商的加固修補建議，以及多個行業(yè)的安全配置檢查標(biāo)準(zhǔn)。

4.3 典型應(yīng)用方式

4.3.1 監(jiān)督檢查或小規(guī)模網(wǎng)絡(luò)安全運維

小規(guī)模網(wǎng)絡(luò)下單獨部署漏洞掃描產(chǎn)品，完成全部網(wǎng)絡(luò)的安全檢查，是傳統(tǒng)使用方法。綠盟遠程安全評估系統(tǒng)可以部署應(yīng)用在小規(guī)模網(wǎng)絡(luò)安全運維環(huán)境中，另外，針對需要攜帶設(shè)備到現(xiàn)場的監(jiān)督檢查使用要求，提供了便攜式工業(yè)硬件的 RSAS NX3-P 型號以及 RSAS NX3-A型號。使用一套綠盟遠程安全評估系統(tǒng)，通過簡單部署即可全面檢查業(yè)務(wù)系統(tǒng)的各種安全脆弱性問題。

4.3.2 中小規(guī)模多子網(wǎng)安全運維

對于中小企業(yè)，網(wǎng)絡(luò)規(guī)模不大，但一般會劃分為多個業(yè)務(wù)子網(wǎng)，每個子網(wǎng)都分別部署漏洞管理系統(tǒng)成本過高，而要求子網(wǎng)防火墻開放漏洞管理設(shè)備的訪問權(quán)限，又帶來安全風(fēng)險。

綠盟遠程安全評估系統(tǒng)提供多條鏈路掃描方式，系統(tǒng)提供多個掃描口，每個掃描口可以通過配置接入不同子網(wǎng)，無需防火墻單獨開放規(guī)則，節(jié)約成本的同時也避免了風(fēng)險。

4.3.3 大規(guī)?？绲貐^(qū)網(wǎng)絡(luò)安全運維

在大中型企業(yè)中，通常是大規(guī)?？绲貐^(qū)的網(wǎng)絡(luò)，漏洞管理產(chǎn)品分布式部署在各地區(qū)，在總部進行集中管理，通過綠盟威脅和漏洞管理平臺（TVM）或綠盟企業(yè)安全中心（ESPC），實現(xiàn)系統(tǒng)的分布式部署能力。大型企業(yè)中通常網(wǎng)絡(luò)環(huán)境復(fù)雜，上述綠盟遠程安全評估系統(tǒng)多鏈路掃描也可能會混合應(yīng)用在大規(guī)模部署環(huán)境中。

五. 結(jié)論

每年都有數(shù)以千計的網(wǎng)絡(luò)安全漏洞被發(fā)現(xiàn)和公布，再加上攻擊者手段的不斷變化，用戶的網(wǎng)絡(luò)安全狀況也隨著被公布安全漏洞的增加而日益嚴峻。因此，安全評估對于絕大多數(shù)用戶都是不容忽視的，用戶必須比攻擊者更早掌握自己網(wǎng)絡(luò)安全漏洞并且做好適當(dāng)?shù)男扪a，才能夠有效地預(yù)防入侵事件的發(fā)生。