北京天盾和信科技有限公司销售绿盟科技产品,本项目中涉及产品为绿盟远程安全评估系统 V6.0(NSFOCUS RSAS V6.0)
绿盟远程安全评估系统(NSFOCUS Remote Security Assessment System简称:NSFOCUS RSAS)是绿盟科技结合多年的漏洞挖掘和安全服务实践经验,自主研发的新一代漏洞管理产品,它高效、全方位的检测网络中的各类脆弱性风险,提供专业、有效的安全分析和修补建议,并贴合安全管理流程对修补效果进行审计,最大程度减小受攻击面,是您身边专业的“漏洞管理专家”。
NSFOCUS RSAS V6.0采用模块化设计,内部分为基础平台层、系统服务层、系统核心层、系统接入层,每层内部划分不同的功能模块,整体工作架构如图4.1所示。
基础平台包含专用硬件平台和基础软件平台。
专用硬件平台包含五款绿盟科技基础硬件平台,分别对应便携型号RSAS NX3-P与RSAS NX3-A,精简型号RSAS NX3-X,标准型号RSAS NX3-S,企业版型号RSAS NX3-E。
基础软件平台包含了绿盟科技定制操作系统、文件系统、硬盘加密解密、应用程序加密解密、输入输出加密解密、IPv4/IPv6网络服务、内置数据库、Web服务、程序运行环境等功能。
系统服务层包含数据处理引擎和系统服务引擎。
数据处理引擎是系统内部的数据接口,提供了数据库访问、数据缓存、数据同步等功能。数据处理引擎屏蔽了数据库系统操作的细节,减少数据库的连接,优化数据库的访问,缓存常用和计算复杂的数据,集中处理数据的逻辑,降低了其他功能模块的维护工作量。
系统服务引擎是系统内部的功能接口,提供了任务数据导入导出等功能。系统服务引擎解耦了前台操作和后台操作,后台功能以特定的权限运行,增加了系统的安全性。
系统核心层是产品的核心,提供最具竞争力的功能,包含主机发现、操作系统识别、服务识别、弱口令检测、漏洞扫描、配置核查、漏洞验证等,有较多可扩展的模块和插件。
报表引擎是报表展示的核心处理模块,能够提供HTML、WORD、EXCEL、PDF、XML等多种报表格式。
调度引擎是扫描工作的协调中心,根据用户操作的不同可能有立即执行的任务、定时执行的任务、周期执行的任务等,检测出任务的类型和优先级,进行漏洞扫描或者配置检查、口令猜测。
状态引擎是系统状态的协调中心,主要包含系统资源状态信息、系统的授权证书信息、BDB配置项、任务执行进度信息、升级进度信息等。
证书系统提供了产品可授权使用的信息,包含购买用户、设备HASH值、授权IP数、授权使用模块、授权起止信息等。
升级系统提供了产品更新的能力,为扫描插件更新、产品功能更新、产品反馈修改等提供了可能。
系统接入层包含了用户通过浏览器访问Web页面、通过串口访问控制台、通过数据接口进行数据交互等方式,其中数据接口包含第三方平台管理数据接口、SNMP Trap。
对于攻击者来说,IT系统的方方面面都存在脆弱性,这些方面包括常见的操作系统漏洞、应用系统漏洞、弱口令,也包括容易被忽略的错误安全配置问题,以及违反最小化原则开放的不必要的账号、服务、端口等。
绿盟远程安全评估系统能够全方位检测IT系统存在的脆弱性,发现信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告,帮助安全管理人员先于攻击者发现安全问题,及时进行修补。
目前市场上有很多独立的漏洞扫描、配置检查、Web应用扫描产品,对信息系统进行安全检查后,分别得到不同的检查报告,互相之间没有联系,实际上不同脆弱性的扫描结果都从不同方面反映网络系统的安全风险状态,要了解信息系统总体安全风险状况,需要对脆弱性的所有方面统一进行分析和评估。
绿盟远程安全评估系统支持全方位的安全漏洞、安全配置、应用系统安全漏洞扫描,通过绿盟科技专利安全风险计算方法,对网络系统中多个方面的安全脆弱性统一进行分析和风险评估,给出总体安全状态评价,全面掌握信息系统安全风险。
业务系统的多样性,决定了IT网络建设环境不尽相同,对于脆弱性管理产品来讲,没有灵活的部署方案适应多种网络环境,就意味着有些网络无法接入或者建设成本极大增加。
绿盟远程安全评估系统提供了多种灵活的部署方式,能够满足复杂的网络环境下的部署,并且优先应用轻量级部署方案,最大程度降低安全建设成本。绿盟远程安全评估系统支持单机单网络、单机多网络、分布式部署、扫描代理等多种接入方式,灵活适应各种网络拓扑环境,便于扩展。
另外,考虑到虚拟化和IPv6网络的逐步应用,绿盟远程安全评估系统支持通过虚拟化镜像方式在虚拟化环境下直接部署,也支持IPv6网络环境下的部署和漏洞扫描。
安全管理体系中,定期或不定期的现场安全监督检查是必不可少的重要环节,安全检查工具是否便携,成为监督检查人员除了性能之外的重要考虑因素。
绿盟远程安全评估系统独创便携式工控设备,小巧轻便,普通笔记本包即可携带,在保证快速安全脆弱性扫描的基础上,方便携带进行现场监督检查,实现了性能和便携要求的和谐统一。
IT系统规模越来越大,资产数量、漏洞数量、更多的脆弱性问题越来越多,汇总成大量的风险数据,传统的关注扫描漏洞、补丁修补的安全管理工作方式会使安全管理人员疲于应付,又不能保证对重要资产的及时修补。
绿盟远程安全评估系统在上线后,首先尽量收集IT系统环境信息,建立起IT资产关系列表。准备工作完成后,系统基于资产信息进行脆弱性扫描和分析报告。绿盟远程安全评估系统脆弱性扫描分析结果以仪表盘方式展示,从风险发生区域、类型、严重程度进行不同维度的分类分析报告,用户可以全局掌握安全风险,关注重点区域、重点资产,对严重问题优先修补。对于需要定位主机安全脆弱性的安全维护人员,通过直接点击仪表盘风险数据,可以逐级定位风险,直至定位到具体主机具体漏洞。绿盟远程安全评估系统也提供了强大的搜索功能,可以根据资产范围、风险程度等条件搜索定位风险。
安全管理不只是技术,更重要的是通过流程制度对安全脆弱性风险进行控制,很多公司制定了安全流程制度,但仍然有安全事故发生,人员对流程制度的执行起到关键作用,如何融入管理流程,并促进流程的执行是安全脆弱性管理产品需要解决的问题。
安全管理流程制度一般包括预警、检测、分析管理、修补、审计等几个环节,结合绿盟科技NSFOCUS安全研究团队的工作,绿盟远程安全评估系统能够参与安全流程中的预警、检测、分析管理、审计环节,并通过事件告警督促安全管理人员进行风险修补。
在IT系统安全管理中,经常会遇到由于业务需要而改变默认应用服务端口的情况,改变协议默认端口能够规避业务冲突、减少设备投入、充分利用资源,但某种协议在非标准端口上如何识别和扫描也成为安全管理产品需要解决的问题。
绿盟远程安全评估系统应用先进的非标准端口识别技术、以及丰富的协议指纹库,能够快速准确的识别非标准端口上的应用服务类型,并进一步进行漏洞检测,极大的避免了扫描过程 中的漏报和误报。
绿盟科技NSFOCUS安全小组,有多位专职的研究员进行漏洞跟踪和漏洞前瞻性研究,到目前为止已经独立发现了200余个关于常见操作系统、数据库和网络设备的漏洞,并且为国际上的知名网络安全厂商提供相关漏洞的规则支持。NSFOCUS安全小组负责NSFOCUS RSAS的漏洞知识库和检测规则的维护,除定期的每两周的升级外,重大漏洞的升级在全球首次发现后两天内完成。
依靠专业的NSFOCUS安全小组的研究积累,NSFOCUS RSAS产品知识库已经有超过12万条系统漏洞信息,涵盖所有主流基础系统、应用系统、网络设备等网元对象;知识库中还提供9大类40多种产品上百个版本的系统的配置检查库,提供绿盟科技作为专业安全厂商的加固修补建议,以及多个行业的安全配置检查标准。
小规模网络下单独部署漏洞扫描产品,完成全部网络的安全检查,是传统使用方法。绿盟远程安全评估系统可以部署应用在小规模网络安全运维环境中,另外,针对需要携带设备到现场的监督检查使用要求,提供了便携式工业硬件的RSAS NX3-P型号以及RSAS NX3-A型号。使用一套绿盟远程安全评估系统,通过简单部署即可全面检查业务系统的各种安全脆弱性问题。
对于中小企业,网络规模不大,但一般会划分为多个业务子网,每个子网都分别部署漏洞管理系统成本过高,而要求子网防火墙开放漏洞管理设备的访问权限,又带来安全风险。绿盟远程安全评估系统提供多条链路扫描方式,系统提供多个扫描口,每个扫描口可以通过配置接入不同子网,无需防火墙单独开放规则,节约成本的同时也避免了风险。
在大中型企业中,通常是大规模跨地区的网络,漏洞管理产品分布式部署在各地区,在总部进行集中管理,通过绿盟威胁和漏洞管理平台(TVM)或绿盟企业安全中心(ESPC),实现系统的分布式部署能力。大型企业中通常网络环境复杂,上述绿盟远程安全评估系统多链路扫描也可能会混合应用在大规模部署环境中。