一. 攻防威脅的變化

利用安全漏洞進行網(wǎng)絡攻擊的互聯(lián)網(wǎng)安全問題，好像陽光下的陰影，始終伴隨著互聯(lián)網(wǎng)行業(yè)的應用發(fā)展。近些年，網(wǎng)絡安全威脅的形式也出現(xiàn)了不同的變化，攻擊方式從單個興趣愛好者隨意下載的簡單工具攻擊，向有組織的專業(yè)技術人員專門編寫的攻擊程序轉變，攻擊目的從證明個人技術實力向商業(yè)或國家信息竊取轉變。

如圖 1.1，2013-2017 年，國家信息安全漏洞共享平臺（CNVD）所收錄的安全漏洞數(shù)量持續(xù)走高，CNVD 收錄的安全漏洞數(shù)量年平均增長率為 21.6%，但 2017 年較 2016 年收錄的安全漏洞數(shù)量增長 47.4%，達到 15955 個，收錄的安全漏洞數(shù)量達到歷史新高。2018 年趨于平緩，較 2017 年降低 12.4%。日益增多的漏洞數(shù)量，給安全防護帶來了巨大的挑戰(zhàn)。

新攻擊方式的變化，依然會利用各種漏洞，比如：Google 極光攻擊事件中被利用的 IE 瀏覽器溢出漏洞，Shady RAT 攻擊事件中被利用的 EXCEL 程序的 FEATHEADER 遠程代碼執(zhí)行漏洞。其實攻擊者攻擊過程并非都會利用 0day 漏洞，比如 FEATHEADER 遠程代碼執(zhí)行漏洞，與此相反，大多數(shù)攻擊都是利用的已知漏洞。對于攻擊者來說，IT 系統(tǒng)的方方面面都存在脆弱性，這些方面包括常見的操作系統(tǒng)漏洞、應用系統(tǒng)漏洞、弱口令，也包括容易被忽略的錯誤安全配置問題，以及違反最小化原則開放的不必要的賬號、服務、端口等。

在新攻擊威脅已經轉變的情況下，網(wǎng)絡安全管理人員仍然在用傳統(tǒng)的漏洞掃描工具，每季度或半年，僅僅進行網(wǎng)絡系統(tǒng)漏洞檢查，無法真正達到通過安全檢查事先修補網(wǎng)絡安全脆弱性的目的。網(wǎng)絡安全管理人員需要對網(wǎng)絡安全脆弱性進行全方位的檢查，對存在的安全脆弱性問題一一修補，并保證修補的正確完成。這個過程的工作極為繁瑣，傳統(tǒng)的漏洞掃描產品從脆弱性檢查覆蓋程度，到分析報告對管理人員幫助的有效性方面，已經無法勝任。

二. 環(huán)境變化帶來的問題

隨著 IT 建設的發(fā)展，很多政府機構及大中型企業(yè)，都建立了跨地區(qū)的辦公或業(yè)務網(wǎng)絡，系統(tǒng)安全管理工作由不同地區(qū)的安全運維人員承擔，總部集中監(jiān)管。按照安全掃描原則，漏洞掃描產品一般被部署到離掃描目標最近的位置，這就形成了漏洞掃描產品分布式部署的要求。

對 IT 系統(tǒng)來說，網(wǎng)絡中每個點的安全情況都會對整個 IT 系統(tǒng)造成威脅，運維人員不但要關注某個地區(qū)的安全情況，還需要關注整個 IT 系統(tǒng)的安全風險情況。這要求有相應的漏洞管理平臺對整個網(wǎng)絡中的漏洞掃描產品進行集中管理，收集信息，匯總分析，讓運維人員掌握整體網(wǎng)絡安全狀況。

展開全文

另外，虛擬化系統(tǒng)也已經在各個行業(yè)得到了廣泛應用，IPv6 網(wǎng)絡也將實現(xiàn)商業(yè)化，新技術的應用帶來了新的安全威脅，要求漏洞掃描產品能夠適應新的的環(huán)境，實現(xiàn)完整的系統(tǒng)脆弱性掃描。

三. 新一代漏洞管理產品必備特性

攻防威脅的轉變和系統(tǒng)環(huán)境的變化，要求漏洞掃描產品能夠及時應對這些變化，為系統(tǒng)安全脆弱性評估提供有力手段，新一代的漏洞管理產品應該具備以下特性：

◆ 能夠全面發(fā)現(xiàn)信息系統(tǒng)存在的各種脆弱性問題，包括安全漏洞、安全配置問題、應用系統(tǒng)安全漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不必要開放的賬號、服務、端口，形成整體安全風險報告

◆ 能夠快速定位風險類型、區(qū)域、嚴重程度，直觀展示安全風險

◆ 能夠結合安全管理制度，支持安全風險預警、檢查、分級管理、修復、審計流程，并監(jiān)督流程的執(zhí)行

◆ 能夠提供多種靈活部署方式，適應復雜的網(wǎng)絡環(huán)境下的部署，并盡量控制降低安全建設成本

◆ 能夠在虛擬化環(huán)境、IPv6 環(huán)境中部署和檢測其脆弱性

四. 綠盟遠程安全評估系統(tǒng)

綠盟遠程安全評估系統(tǒng)（NSFOCUS Remote Security Assessment System 簡稱：NSFOCUS RSAS）是綠盟科技結合多年的漏洞挖掘和安全服務實踐經驗，自主研發(fā)的新一代漏洞管理產品，它高效、全方位的檢測網(wǎng)絡中的各類脆弱性風險，提供專業(yè)、有效的安全分析和修補建議，并貼合安全管理流程對修補效果進行審計，最大程度減小受攻擊面，是您身邊專業(yè)的“漏洞管理專家”。

◆ 全方位系統(tǒng)脆弱性發(fā)現(xiàn)：全面發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞、安全配置問題、應用系統(tǒng)安全漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不必要開放的賬號、服務、端口，形成整體安全風險報告。

◆ 從海量數(shù)據(jù)中快速定位風險：提供儀表盤報告和分析方式，在大規(guī)模安全檢查后，快速定位風險類型、區(qū)域、嚴重程度，根據(jù)資產重要性進行排序，可以從儀表盤報告直接定

位到具體主機具體漏洞。

◆ 融入并促進安全管理流程：安全管理不只是技術，更重要的是通過流程制度對安全脆弱性風險進行控制，產品結合安全管理制度，支持安全風險預警、檢查、分級管理、修復、審計流程，并監(jiān)督流程的執(zhí)行。

◆ 靈活的部署方案：支持單機單網(wǎng)絡、單機多網(wǎng)絡、分布式部署等多種接入方式，靈活適應各種網(wǎng)絡拓撲環(huán)境，降低成本，便于擴展。支持通過虛擬化鏡像方式在虛擬化環(huán)境下直接部署，支持 IPv6 網(wǎng)絡環(huán)境下的部署和漏洞掃描。

4.1 產品體系結構

NSFOCUS RSAS V6.0 采用模塊化設計，內部分為基礎平臺層、系統(tǒng)服務層、系統(tǒng)核心層、系統(tǒng)接入層，每層內部劃分不同的功能模塊，整體工作架構如圖 4.1 所示。

圖 4.1 NSFOCUS RSAS 整體架構圖

4.1.1 基礎平臺層功能

基礎平臺包含專用硬件平臺和基礎軟件平臺。

專用硬件平臺包含五款綠盟科技基礎硬件平臺，分別對應便攜型號、精簡型號、標準型號、以及企業(yè)版型號。

基礎軟件平臺包含了綠盟科技定制操作系統(tǒng)、文件系統(tǒng)、硬盤加密解密、應用程序加密解密、輸入輸出加密解密、IPv4/IPv6 網(wǎng)絡服務、內置數(shù)據(jù)庫、Web 服務、程序運行環(huán)境等功能。

4.1.2 系統(tǒng)服務層功能

系統(tǒng)服務層包含數(shù)據(jù)處理引擎和系統(tǒng)服務引擎。

數(shù)據(jù)處理引擎是系統(tǒng)內部的數(shù)據(jù)接口，提供了數(shù)據(jù)庫訪問、數(shù)據(jù)緩存、數(shù)據(jù)同步等功能。

數(shù)據(jù)處理引擎屏蔽了數(shù)據(jù)庫系統(tǒng)操作的細節(jié)，減少數(shù)據(jù)庫的連接，優(yōu)化數(shù)據(jù)庫的訪問，緩存常用和計算復雜的數(shù)據(jù)，集中處理數(shù)據(jù)的邏輯，降低了其他功能模塊的維護工作量。

系統(tǒng)服務引擎是系統(tǒng)內部的功能接口，提供了任務數(shù)據(jù)導入導出等功能。系統(tǒng)服務引擎解耦了前臺操作和后臺操作，后臺功能以特定的權限運行，增加了系統(tǒng)的安全性。

4.1.3 系統(tǒng)核心層功能

系統(tǒng)核心層是產品的核心，提供最具競爭力的功能，包含主機發(fā)現(xiàn)、操作系統(tǒng)識別、服務識別、弱口令檢測、漏洞掃描、配置核查、漏洞驗證等，有較多可擴展的模塊和插件。

報表引擎是報表展示的核心處理模塊，能夠提供 HTML、WORD、EXCEL、PDF、XML等多種報表格式。

調度引擎是掃描工作的協(xié)調中心，根據(jù)用戶操作的不同可能有立即執(zhí)行的任務、定時執(zhí)行的任務、周期執(zhí)行的任務等，檢測出任務的類型和優(yōu)先級，進行漏洞掃描或者配置檢查、口令猜測。

狀態(tài)引擎是系統(tǒng)狀態(tài)的協(xié)調中心，主要包含系統(tǒng)資源狀態(tài)信息、系統(tǒng)的授權證書信息、BDB 配置項、任務執(zhí)行進度信息、升級進度信息等。

證書系統(tǒng)提供了產品可授權使用的信息，包含購買用戶、設備 HASH 值、授權 IP 數(shù)、授權使用模塊、授權起止信息等。

升級系統(tǒng)提供了產品更新的能力，為掃描插件更新、產品功能更新、產品反饋修改等提供了可能。

4.1.4 系統(tǒng)接入層功能

系統(tǒng)接入層包含了用戶通過瀏覽器訪問 Web 頁面、通過串口訪問控制臺、通過數(shù)據(jù)接口進行數(shù)據(jù)交互等方式，其中數(shù)據(jù)接口包含第三方平臺管理數(shù)據(jù)接口、SNMP Trap。

4.2 產品特色

4.2.1 全面發(fā)現(xiàn)系統(tǒng)漏洞、弱口令、配置隱患以及 Web 應用漏洞

對于攻擊者來說，IT 系統(tǒng)的方方面面都存在脆弱性，這些方面包括常見的操作系統(tǒng)漏洞、應用系統(tǒng)漏洞、弱口令，也包括容易被忽略的錯誤安全配置問題，以及違反最小化原則開放的不必要的賬號、服務、端口等。

綠盟遠程安全評估系統(tǒng)能夠全方位檢測 IT 系統(tǒng)存在的脆弱性，發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞、安全配置問題、應用系統(tǒng)安全漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不必要開放的

賬號、服務、端口，形成整體安全風險報告，幫助安全管理人員先于攻擊者發(fā)現(xiàn)安全問題，及時進行修補。

4.2.2 容器鏡像部署前安全評估能力

容器技術在當前環(huán)境中應用越來越廣泛，然而目前大部分由公共鏡像倉庫提供的容器鏡像均存在中危甚至高危的漏洞，另一方面人們也往往容易忽視容器鏡像在部署前所存在安全問題，導致部署完成后投入大量的資源去解決本應在部署前解決的安全問題。

綠盟遠程安全評估系統(tǒng)能夠對容器鏡像進行漏洞掃描以及配置核查，在容器鏡像部署前發(fā)現(xiàn)容器鏡像存在的漏洞及配置安全問題，以便安全管理員盡早發(fā)現(xiàn)容器鏡像存在的安全問題，控制問題鏡像的傳播范圍并制定標準應對措施。

4.2.3 風險統(tǒng)一分析

目前市場上有很多獨立的漏洞掃描、配置檢查、Web 應用掃描產品，對信息系統(tǒng)進行安全檢查后，分別得到不同的檢查報告，互相之間沒有聯(lián)系，實際上不同脆弱性的掃描結果都從不同方面反映網(wǎng)絡系統(tǒng)的安全風險狀態(tài)，要了解信息系統(tǒng)總體安全風險狀況，需要對脆弱性的所有方面統(tǒng)一進行分析和評估。

綠盟遠程安全評估系統(tǒng)支持全方位的安全漏洞、安全配置、應用系統(tǒng)安全漏洞掃描，通過綠盟科技專利安全風險計算方法，對網(wǎng)絡系統(tǒng)中多個方面的安全脆弱性統(tǒng)一進行分析和風險評估，給出總體安全狀態(tài)評價，全面掌握信息系統(tǒng)安全風險。

4.2.4 靈活的部署方案

業(yè)務系統(tǒng)的多樣性，決定了 IT 網(wǎng)絡建設環(huán)境不盡相同，對于脆弱性管理產品來講，沒有靈活的部署方案適應多種網(wǎng)絡環(huán)境，就意味著有些網(wǎng)絡無法接入或者建設成本極大增加。

綠盟遠程安全評估系統(tǒng)提供了多種靈活的部署方式，能夠滿足復雜的網(wǎng)絡環(huán)境下的部署，并且優(yōu)先應用輕量級部署方案，最大程度降低安全建設成本。綠盟遠程安全評估系統(tǒng)支持單機單網(wǎng)絡、單機多網(wǎng)絡、分布式部署等多種接入方式，靈活適應各種網(wǎng)絡拓撲環(huán)境，便于擴展。

另外，考慮到虛擬化和 IPv6 網(wǎng)絡的逐步應用，綠盟遠程安全評估系統(tǒng)支持通過虛擬化鏡像方式在虛擬化環(huán)境下直接部署，也支持 IPv6 網(wǎng)絡環(huán)境下的部署和漏洞掃描。

4.2.5 獨創(chuàng)便攜工控設備，隨時監(jiān)督檢查

安全管理體系中，定期或不定期的現(xiàn)場安全監(jiān)督檢查是必不可少的重要環(huán)節(jié)，安全檢查工具是否便攜，成為監(jiān)督檢查人員除了性能之外的重要考慮因素。

綠盟遠程安全評估系統(tǒng)獨創(chuàng)便攜式工控設備，小巧輕便，普通筆記本包即可攜帶，在保證快速安全脆弱性掃描的基礎上，方便攜帶進行現(xiàn)場監(jiān)督檢查，實現(xiàn)了性能和便攜要求的和諧統(tǒng)一。

4.2.6 結合資產從海量數(shù)據(jù)快速定位風險

IT 系統(tǒng)規(guī)模越來越大，資產數(shù)量、漏洞數(shù)量、更多的脆弱性問題越來越多，匯總成大量的風險數(shù)據(jù)，傳統(tǒng)的關注掃描漏洞、補丁修補的安全管理工作方式會使安全管理人員疲于應付，又不能保證對重要資產的及時修補。

綠盟遠程安全評估系統(tǒng)在上線后，首先盡量收集 IT 系統(tǒng)環(huán)境信息，建立起 IT 資產關系列表。準備工作完成后，系統(tǒng)基于資產信息進行脆弱性掃描和分析報告。綠盟遠程安全評估系統(tǒng)脆弱性掃描分析結果以儀表盤方式展示，從風險發(fā)生區(qū)域、類型、嚴重程度進行不同維度的分類分析報告，用戶可以全局掌握安全風險，關注重點區(qū)域、重點資產，對嚴重問題優(yōu)先修補。對于需要定位主機安全脆弱性的安全維護人員，通過直接點擊儀表盤風險數(shù)據(jù)，可以逐級定位風險，直至定位到具體主機具體漏洞。綠盟遠程安全評估系統(tǒng)也提供了強大的搜索功能，可以根據(jù)資產范圍、風險程度等條件搜索定位風險。

4.2.7 融入并促進安全管理流程

安全管理不只是技術，更重要的是通過流程制度對安全脆弱性風險進行控制，很多公司制定了安全流程制度，但仍然有安全事故發(fā)生，人員對流程制度的執(zhí)行起到關鍵作用，如何融入管理流程，并促進流程的執(zhí)行是安全脆弱性管理產品需要解決的問題。

安全管理流程制度一般包括預警、檢測、分析管理、修補、審計等幾個環(huán)節(jié)，結合綠盟科技 NSFOCUS 安全研究團隊的工作，綠盟遠程安全評估系統(tǒng)能夠參與安全流程中的預警、檢測、分析管理、審計環(huán)節(jié)，并通過事件告警督促安全管理人員進行風險修補。

4.2.8 識別非標準端口，準確掃描服務漏洞

在 IT 系統(tǒng)安全管理中，經常會遇到由于業(yè)務需要而改變默認應用服務端口的情況，改變協(xié)議默認端口能夠規(guī)避業(yè)務沖突、減少設備投入、充分利用資源，但某種協(xié)議在非標準端口上如何識別和掃描也成為安全管理產品需要解決的問題。

綠盟遠程安全評估系統(tǒng)應用先進的非標準端口識別技術、以及豐富的協(xié)議指紋庫，能夠快速準確的識別非標準端口上的應用服務類型，并進一步進行漏洞檢測，極大的避免了掃描過程 中的漏報和誤報。

4.2.9 豐富的漏洞、配置知識庫

綠盟科技 NSFOCUS 安全小組，有多位專職的研究員進行漏洞跟蹤和漏洞前瞻性研究，到目前為止已經獨立發(fā)現(xiàn)了 200 余個關于常見操作系統(tǒng)、數(shù)據(jù)庫和網(wǎng)絡設備的漏洞，并且為國際上的知名網(wǎng)絡安全廠商提供相關漏洞的規(guī)則支持。NSFOCUS 安全小組負責 NSFOCUS RSAS 的漏洞知識庫和檢測規(guī)則的維護，除定期的每兩周的升級外，重大漏洞的升級在全球首次發(fā)現(xiàn)后兩天內完成。

依靠專業(yè)的 NSFOCUS 安全小組的研究積累，NSFOCUS RSAS 產品知識庫已經有超過16 萬條系統(tǒng)漏洞信息，涵蓋所有主流基礎系統(tǒng)、應用系統(tǒng)、網(wǎng)絡設備等網(wǎng)元對象；知識庫中還提供 9 大類 40 多種產品上百個版本的系統(tǒng)的配置檢查庫，提供綠盟科技作為專業(yè)安全廠商的加固修補建議，以及多個行業(yè)的安全配置檢查標準。

4.3 典型應用方式

4.3.1 監(jiān)督檢查或小規(guī)模網(wǎng)絡安全運維

小規(guī)模網(wǎng)絡下單獨部署漏洞掃描產品，完成全部網(wǎng)絡的安全檢查，是傳統(tǒng)使用方法。綠盟遠程安全評估系統(tǒng)可以部署應用在小規(guī)模網(wǎng)絡安全運維環(huán)境中，另外，針對需要攜帶設備到現(xiàn)場的監(jiān)督檢查使用要求，提供了便攜式工業(yè)硬件的 RSAS NX3-P 型號以及 RSAS NX3-A型號。使用一套綠盟遠程安全評估系統(tǒng)，通過簡單部署即可全面檢查業(yè)務系統(tǒng)的各種安全脆弱性問題。

4.3.2 中小規(guī)模多子網(wǎng)安全運維

對于中小企業(yè)，網(wǎng)絡規(guī)模不大，但一般會劃分為多個業(yè)務子網(wǎng)，每個子網(wǎng)都分別部署漏洞管理系統(tǒng)成本過高，而要求子網(wǎng)防火墻開放漏洞管理設備的訪問權限，又帶來安全風險。

綠盟遠程安全評估系統(tǒng)提供多條鏈路掃描方式，系統(tǒng)提供多個掃描口，每個掃描口可以通過配置接入不同子網(wǎng)，無需防火墻單獨開放規(guī)則，節(jié)約成本的同時也避免了風險。

4.3.3 大規(guī)模跨地區(qū)網(wǎng)絡安全運維

在大中型企業(yè)中，通常是大規(guī)?？绲貐^(qū)的網(wǎng)絡，漏洞管理產品分布式部署在各地區(qū)，在總部進行集中管理，通過綠盟威脅和漏洞管理平臺（TVM）或綠盟企業(yè)安全中心（ESPC），實現(xiàn)系統(tǒng)的分布式部署能力。大型企業(yè)中通常網(wǎng)絡環(huán)境復雜，上述綠盟遠程安全評估系統(tǒng)多鏈路掃描也可能會混合應用在大規(guī)模部署環(huán)境中。

五. 結論

每年都有數(shù)以千計的網(wǎng)絡安全漏洞被發(fā)現(xiàn)和公布，再加上攻擊者手段的不斷變化，用戶的網(wǎng)絡安全狀況也隨著被公布安全漏洞的增加而日益嚴峻。因此，安全評估對于絕大多數(shù)用戶都是不容忽視的，用戶必須比攻擊者更早掌握自己網(wǎng)絡安全漏洞并且做好適當?shù)男扪a，才能夠有效地預防入侵事件的發(fā)生。