綠盟科技極光遠程安全評估系統解決方案

領測軟件測試網

一 漏洞的危害和發展趨勢

從互聯網興起至今，利用漏洞攻擊的網絡安全事件不斷，并且呈日趨嚴重的態勢。每年全球因漏洞導致的經濟損失巨大并且在逐年增加，漏洞已經成為危害互聯網的罪魁禍首之

一，也成了萬眾矚目的焦點。人們也在一次次的蠕蟲爆發之后在不斷地尋求著漏洞的解決之道，不斷嘗試將由漏洞帶來的風險降到最低，雖然也取得了一定成效，但是利用漏洞的攻擊也在逐漸表現為多種不同的危害形式并且出現了新的攻擊趨勢。

1.1 漏洞的危害

漏洞是指計算機軟件（包括硬件固化指令、操作系統、應用程序等）自身的固有缺陷或因使用不當造成的配置缺陷，這些缺陷可能被黑客利用對計算機系統進行入侵或攻擊。漏洞分為本地漏洞和遠程漏洞，通常意義上我們所指的漏洞是可被攻擊者遠程利用的漏洞，這些漏洞的危害往往都是大范圍的，由此造成的經濟損失也是巨大的，尤其是近兩年來針對Web應用安全漏洞的攻擊也在逐漸成為主流的攻擊方式。

2000年到2004年間，利用漏洞攻擊的對象主要是針對網絡設備、操作系統和數據庫的攻擊，其中讓人感受最深的就是利用漏洞的網絡蠕蟲事件。下面是我們都非常熟悉的蠕蟲給全球曾經造成的經濟損失的統計表格。

 

2005－2006年間，主要是針對Web應用安全漏洞和客戶端程序的的攻擊。來自google、Yahoo、Microsoft以及eBay等著名互聯網公司或者提供Web服務的軟件公司都出現了不同程度的漏洞且都被攻擊者成功的加以利用。

.. 2005年10月，Gmail在進行帳號驗證以及會話管理的過程中出現一個致命的漏洞，這一漏洞導致攻擊者可以無須獲得他人帳號而進入其郵箱查看其電子郵件；

.. 2006年2月，微軟公司的Hotmail郵件服務被曝存在一個中風險級別的允許進行跨站腳本攻擊的漏洞；同期，eBay也出現類似漏洞；

.. 2006年4月，Yahoo公司郵件服務中出現一個可以被利用進行釣魚攻擊的漏洞；同期微軟MSN Space以及Myspace均出現可以被利用在站點中增加并執行惡意腳本的漏洞。

從上可以看出，安全漏洞的危害范圍在逐漸擴大，由系統層擴展到應用層，由服務器端擴展到客戶端，由少數操作系統到絕大多數操作系統；由此造成的經濟損失也越來越大，尤其是用戶不易察覺的隱性攻擊造成的損失是無法衡量的。

1.2 漏洞的發展趨勢

隨著技術的不斷進步，漏洞的發現、利用技術也發展到一個較高水平，從總體上來看，漏洞的發展趨勢主要表現為以下幾個方面：

.. 漏洞的發現技術更加自動化和智能化，漏洞發現技術的革新導致了發現的漏洞的數量劇增，下面是國際組織CERT/CC的從1995年到2006年的漏洞統計數據。

.. 國際上出現大量的專業漏洞研究組織，漏洞的出現到漏洞被利用的時間在不斷的縮短，同時0-day攻擊的數量在逐漸增加。

.. 利用漏洞攻擊的重心由服務器端向客戶端過渡，由系統層和網絡層逐漸向應用層擴展；Web應用安全漏洞造成危害日益凸顯。

.. 利用漏洞的蠕蟲逐漸減少，利用漏洞攻擊的手法越來越詭異，越來越隱蔽。

.. 漏洞的發現、利用不僅僅局限于常見的網絡設備、操作系統，不斷的向新的應用領域擴散。

二 漏洞管理的必要性與重要性

漏洞的危害越來越嚴重，發展的趨勢的形式也是日益嚴峻。歸根結底，就是系統漏洞的存在并被攻擊者惡意利用。軟件由于在設計初期考慮不周導致的漏洞造成的問題仍然沒有得到很好的解決，人們依然用著“亡羊補牢”的方法來度過每一次攻擊，利用漏洞的攻擊成為人們心中永遠的痛。

統計表明其中19.4%來自于利用管理配置錯誤，而利用已知的一個系統漏洞入侵成功的占到了15.3%。事實證明，絕大多數的網絡攻擊事件都是利用廠商已經公布的、用戶未及時修補的漏洞。已經公布的漏洞未得到及時的修補和用戶的安全意識有很大的關系，一個漏洞從廠商公布到漏洞被大規模利用之間的時間雖然在逐漸的縮短，但是最短的也有18天之久，18天對于一些安全意識高的用戶來說修補一個安全漏洞應該沒有任何問題。還有，很多用戶對傳統安全產品的局限性認識不夠深入，認為購買了防火墻、入侵檢測、殺毒和掃描器等產品就高枕無憂了，這些產品能夠解決所有的安全問題。其實不然，防火墻作為訪問控制類設備，這類被動防護設備在蠕蟲爆發或者漏洞被利用的時候束手無策，甚至在蠕蟲爆發的時候不堪重負不能工作；入侵檢測系統作為旁路監測設備，雖然對蠕蟲和漏洞被利用能夠起到一定的監測作用，但是還是不能有效地對利用漏洞的攻擊進行防護；殺毒產品對于利用漏洞的攻擊也是“事后諸葛”，只有在造成損失之后才能成為一個有效的輔助工具；漏洞掃描不能夠解決資產和風險的關聯問題，只能夠在漏洞生命周期的某個階段掃描出存在的漏洞而沒有從漏洞生命周期整個過程從根本上解決問題，只能是治標不治本，因此漏洞掃描在實際的使用過程中收到的實際效果有限，尤其是在大規模網絡中使用過程中收效甚微。

到目前為止大多數的用戶的安全意識也提高了，但是“沖擊波”蠕蟲和“震蕩波”蠕蟲的爆發還造成如此之大的損失，這說明了僅僅提高用戶的安全意識是完全不夠的，需要一套有效的管理機制并通過一定安全技術手段輔助自動完成整個過程，才能有效地對漏洞進行動態地管理。

目前，從技術和管理兩個角度來看，漏洞問題已經有了較為成熟的解決方案，漏洞管理就是這樣一套能夠有效避免由漏洞攻擊導致的安全問題的解決方案，它從漏洞的整個生命周期著手，在周期的不同階段采取不同的措施，是一個循環、周期執行的工作流程。一個相對完整的漏洞管理過程包含以下步驟：

1. 對用戶網絡中資產進行自動發現并按照資產重要性進行分類；

2. 自動周期對網絡資產的漏洞進行評估并將結果自動發送和保存；

3. 采用業界權威的分析模型對漏洞評估的結果進行定性和定量的風險分析并根據資產重要性給出可操作性強的漏洞修復方案；

4. 根據漏洞修復方案對網絡資產的存在的漏洞進行合理的修復或者調整網絡的整體安全策略進行規避；

5. 對修復完畢的漏洞進行的修復確認；

6. 定期重復上述步驟1-5。

漏洞能夠管理對利用已知安全漏洞的攻擊起到很好的預防作用，做到真正的“未雨綢繆”。相對于傳統的漏洞掃描產品而言，漏洞管理產品能夠為用戶帶來更多的價值：

.. 漏洞管理產品從漏洞生命周期出發，提供一套有效的漏洞管理工作流程，實現了由漏洞掃描到漏洞管理的轉變，實現了“治標”到“治本”的飛躍。

.. 通過漏洞管理產品集中、及時找出漏洞并詳細了解漏洞相關信息，不需要用戶每天去去關注不同廠商的漏洞公告，因為各個廠商的漏洞公告不會定期發布，即使發布了漏洞公告絕大多數用戶也不能夠及時地獲得相關信息。

.. 通過漏洞管理產品將網絡資產按照重要性進行分類，自動周期升級并對網絡資產進行評估，最后自動將風險評估結果自動發送給相關責任人，大大降低人工維護成本。

.. 漏洞管理產品根據評估結果定性、定量分析網絡資產風險，反映用戶網絡安全問題，并把問題的重要性和優先級進行分類，方便用戶有效地落實漏洞修補和風險規避 的工作流程，并為補丁管理產品提供相應的接口。

.. 漏洞管理產品能夠提供完整的漏洞管理機制，方便管理者跟蹤、記錄和驗證評估的成效。

三 漏洞管理產品評價指標

由于漏洞管理和漏洞掃描產品之間具有較大的差異性，用戶在購買一款漏洞管理類產品時需要考慮以下因素：

.. 廠商是否具備漏洞跟蹤和漏洞前瞻性研究能力，具體可考察漏洞知識庫的完備性、權威性和更新及時性；

.. 產品是否支持漏洞管理工作流程，包括是否支持相應的開放接口；

.. 漏洞評估的性能，主要考察漏洞檢測的速度和準確性；

.. 產品是否具備資產管理能力，是否具備對資產風險的定性、定量分析能力；

.. 產品是否具備針對復雜大型網絡的分布式部署和集中管理能力；

.. 產品的報告內容、形式是否靈活，報告是否具備多角度統計分析的能力。

四 極光遠程安全評估系統

基于多年的安全服務實踐經驗，同時結合用戶對安全評估產品的實際應用需求，綠盟科技自主研發了極光（AURORA）遠程安全評估系統，它采用高效、智能的漏洞識別技術，第一時間主動對網絡中的資產進行細致深入的漏洞檢測、分析，并給用戶提供專業、有效的漏洞防護建議，讓攻擊者無機可乘，是您身邊專業的“漏洞管理專家”。

.. 依托專業的NSFOCUS安全小組，綜合運用NSIP（NSFOCUS Intelligent Profile）等多種領先技術，自動、高效、及時準確地發現網絡資產存在的安全漏洞；

.. 對發現的網絡資產的安全漏洞進行詳細分析并采用權威的風險評估模型將風險量化，給出專業的解決方案；

.. 提供Open VM（Open Vulnerability Management開放漏洞管理）工作流程平臺，將先進的漏洞管理理念貫穿整個產品實現過程中。

4.1 產品體系結構

極光使用的是基于Web的管理方式，用戶使用瀏覽器通過SSL加密通道和系統Web界面模塊進行交互，方便用戶管理。極光系統采用模塊化設計，內部整體工作架構如圖1所示。

 

圖1 極光遠程安全評估系統整體架構圖

.. 專用平臺

專用平臺是經過優化的專用安全系統平臺，具有很高的安全性和穩定性。

.. 掃描核心模塊

掃描核心模塊是系統最重要的模塊之一，它負責完成目標的探測評估工作，包括判定主機存活狀態、操作系統識別、規則解析匹配等。

.. 漏洞知識庫

漏洞知識庫包含漏洞相關信息，是系統運行的基礎，掃描調度模塊和Web管理模塊都依賴它進行工作。

.. 掃描結果庫

掃描結果庫包含了掃描任務的結果信息，是掃描結果報告生成的基礎，也是查詢和分析結果的數據來源。

.. 數據分析模塊

數據分析模塊是綜合分析、趨勢分析和報表合并的統計信息的數據來源，是任務合并、分布式數據匯總之后的結果。

.. Web界面模塊

Web界面模塊負責和用戶進行交互，配合用戶的請求完成管理工作。Web管理模塊包含多個子模塊共同完成用戶的請求，其主要子模塊有：

1) 任務管理子模塊——完成用戶評估任務的管理工作。

2) 報表子模塊——讀取掃描結果庫，并根據漏洞描述信息和解決方案生成掃描報表。

3) 任務報表輔助管理子模塊——完成評估任務需要掃描的具體漏洞模板的添加、具體漏洞的選取、模板修改和刪除；評估任務使用策略參數的管理；口令字典管理；報表輸出模板管理。

4) 地址本管理子模塊

5) 用戶權限系統子模塊

6) 審計管理子模塊

7) 系統配置子模塊

.. 輔助模塊

a) 分布式模塊

極光支持分布式部署功能需要專門的數據同步模塊來支撐。數據同步模塊完成掃描結果數據后，向上級AURORA系統的數據上傳，在數據上傳中使用SSL加密傳輸通道，保證了數據的保密性。匯總的數據可以進行集中統一的分析。

b) 漏洞管理模塊

漏洞管理模塊主要實現了Open VM漏洞管理工作流程支持，提供與其他安全產品、網絡管理平臺和安全管理平臺的接口。

.. 系統升級模塊

極光有網絡自動升級和用戶手動升級的策略，系統的各個模塊都可以通過升級模塊進行升級。

4.2 產品功能

4.2.1 資產管理

極光的資產管理功能在產品中是通過“地址簿”來實現的，用戶可以手動輸入資產屬性，并且按照資產重要性權值進行資產重要性分類；同時資產輸入也可以通過任務管理中的地址導入功能加入。資產管理和用戶組織結構或者網絡拓撲結構緊密結合，對大規模網絡用戶，網絡資產繁多，IP地址記憶非常繁瑣，用戶通過規范的命名方式來統一對網絡資產的管理。資產管理的使用，方便用戶掌握風險分布情況、定位風險和高效實施風險降低或規避措施。

4.2.2 漏洞分析

極光采用業界權威的風險評估模型，從資產、漏洞和威脅三個維度對資產風險進行評估。極光通過在線報表和離線報表將風險分析結果展示給用戶，從多個視角對風險進行深入的分析，權威的評估模型加上評估結果定量和定性分析，讓您真正了解業務系統中存在的風險。

4.2.3 漏洞修復

極光在產品設計初期就考慮到漏洞修復問題，在產品實現中提供了多種二次開發接口供漏洞修復產品或補丁管理產品使用，方便用戶及時集中對資產漏洞進行修復。

4.2.4 漏洞審計

用戶在實際的漏洞修復的過程中往往很難確認自己的漏洞是否真正修復，即使安裝了評估結果中廠商補丁也很難確認補丁程序是否真正安裝成功。針對這種情況，極光提供了漏洞審計功能，能夠通過發送監督郵件的方式來督促相應的資產管理員對漏洞進行修復，同時啟動自動的定時任務對漏洞進行審計，提高了管理人員手工驗證漏洞是否修復的效率。

4.3 產品特色

4.3.1 開放漏洞管理流程Open VM

綠盟科技基于最新的“漏洞管理”工作流程，把漏洞管理的循環過程劃分為漏洞預警、資產管理、漏洞分析、漏洞修復、漏洞審計五個階段，在國內首創了Open VM工作流程平臺�；�于這個開放平臺，極光將漏洞管理理念貫穿于整個產品實現過程，實現了Open VM的部分過程；同時，極光產品通過多種二次開發接口與其他安全產品協作來完全實現Open VM的整個工作流程。

圖2 綠盟科技開放漏洞管理Open VM過程圖

4.3.2 權威、完備的漏洞知識庫

綠盟科技NSFOCUS安全小組的安全研究能力在國內首屈一指，在國際上也有相當的影響力。在這個部門中，有多位專職的研究員進行漏洞跟蹤和漏洞前瞻性研究，到目前為止已經獨立發現了30多個關于常見操作系統、數據庫和網絡設備的漏洞，并且為國際上的知名網絡安全廠商提供相關漏洞的規則支持。NSFOCUS小組負責極光的漏洞知識庫和檢測規則的維護，除定期的每兩周的升級外，重大漏洞。

依靠專業的NSFOCUS安全小組多年的研究，綠盟科技中文漏洞知識庫已經有7000多條安全漏洞信息，該庫中的每條漏洞都有詳盡的描述和修補建議，其完備性和權威性在國內廠商內首屈一指。綠盟科技中文漏洞知識庫是國際上最大的中文漏洞知識庫。極光產品的漏洞信息（1700多條）精選于該漏洞知識庫，涵蓋了常見操作系統、數據庫、網絡設備和應用程序的絕大多數可以遠程利用的漏洞，已獲得國際權威的CVE兼容性認證。

4.3.3 高效、智能的漏洞識別技術

NSIP(NSFOCUS Intelligent Profile)是綠盟科技智能Profile漏洞識別技術的簡稱，該技術在國內甚至在國際上都是非常領先的漏洞識別技術，它在提高極光的評估速度和準確率方面都起到了很大的促進作用。NSIP漏洞識別技術就是采用多種技術通過不同途徑收集目標系統的多種信息，這些信息就是目標系統的Profile，在進行漏洞評估過程中，Profile不斷地對中間的結果數據進行調整，保障了最后評估結果的準確性。

極光產品具備業界強勁的底層掃描引擎——NSSE（NSFOCUS Scanning Engine）。通過NSIP技術、開放端口服務的智能識別、檢測規則依賴關系的自動掃描等技術的運用，再加上由NSFOCUS安全小組研究員精心編寫的準確的漏洞檢測規則，極光在檢測速度和檢測準確性之間找到了最佳的平衡點。極光加載全部檢測規則，對同樣的目標系統進行檢測時，掃描速度為常見同類產品3－5倍，同時仍能保證誤報率低于5%。

4.3.4 全面、實用的應用安全分析

考慮到目前Web應用安全漏洞所帶來的巨大危害，極光推出了Web應用安全漏洞檢測，通過對被檢測站點進行深度內容分析，找出可被瀏覽的ASP、JSP、PHP、CGI等頁面，同時可以分析被檢測站點頁面源代碼，以檢測網站是否存在SQL注入或輸入驗證信息泄露等漏洞。

極光還在漏洞檢測中提供了專用的CGI漏洞檢測插件規則類別和專用的SQL注入檢測插件，用來發現一些特定、常見的站點隱藏的頁面并發現一些文件路徑信息泄露的安全隱患，并能深入的分析一些CGI的漏洞問題。

4.3.5 量化的基于資產的風險評估

單純的漏洞掃描產品因沒有與資產關聯，只能掃描出漏洞并不能反映客戶環境中資產的真實的風險狀況。綠盟科技的極光遠程安全評估系統將資產、漏洞和威脅緊密結合，提供了圖形化的資產管理方式，并通過可量化的模型呈現，幫助用戶對網絡中存在的風險有一個整體、直觀的認識，做到真正意義上的風險量化。

在每次安全評估之前，用戶需要根據自己的業務系統確定需要進行評估的資產，并且劃分資產的重要性。極光根據用戶的資產及其重要性會自動在其內部對目標評估系統建立基于時間和基于風險等多種安全評估模型。在對目標完成評估之后，模型輸出的結果數據不但有定性的趨勢分析，而且有定量的風險分析，用戶能夠清楚地看到單個資產、整個網絡的資產存在的風險，還能夠看到網絡中漏洞的分布情況、風險級別排名較高的資產、不同操作系統和不同應用漏洞分布等詳細統計信息，用戶能夠很直觀地了解自己網絡安全狀況。

4.3.6 多維、細粒度的統計分析

極光產品不僅提供了常見的離線報表，還提供了強大的在線報表系統。同時，極光為您提供了一個實用的報表過濾器，它能夠幫助客戶更好地獲得有效信息，生成基于不同角色、不同內容和不同格式的報表。極光不僅站在管理員的角度分析結果，也站在公司決策層和網絡部門管理人員的角度考慮報告的生成。

極光從宏觀和微觀兩個角度對風險進行了透徹地分析。從宏觀角度，極光從多個視角深刻反映網絡的整體安全狀況，對漏洞分布、危害、漏洞TOP10、主機信息等多視角信息進行了細粒度的統計分析，并通過柱狀圖、餅圖等形式，直觀、清晰的從總體上反映了網絡資產的漏洞分布情況；從微觀角度，極光對檢測到的每個漏洞都提供了詳細的解決方案，使得管理員可以快速準確地解決各種安全問題，同時支持用戶自己輸入關鍵字進行相關信息的檢索，以便用戶能夠具體了解某臺主機或者某個漏洞的詳細信息。

極光從多個視角深刻反映網絡的整體安全狀況，還提供趨勢分析功能，不僅對當前的漏洞分布、危害等進行了統計分析，還為未來的網絡安全建設提供了強有力的決策支持。

4.3.7 基于用戶行為模式的管理架構

作為用戶體驗性很強的產品，極光始終秉承“以人為本”的理念，在產品設計過程充分考慮了實際用戶需求和使用習慣，從用戶角度完善了很多管理功能。這些不僅體現在安裝和實施的方便程度上，更重要是在于對自動運維的支持。

極光采用B/S管理架構，能夠以SSL加密通訊方式通過瀏覽器來遠程進行管理。極光的專用硬件能夠長期穩定地運行，很好地保證了任務的其周期性自動處理，其中能夠自動處理的任務包括：評估任務下發、掃描結果自動分析、處理和發送、系統檢測插件的自動升級等。同時，極光支持多用戶管理模式，能夠對用戶的權限做出嚴格的限制，并且提供了登陸、操作和異常等日志審計功能，方便用戶對系統的審計和管理。

4.4 典型應用方式

目前用戶的網絡環境常見的網絡拓撲結構有：總線拓撲、星形拓撲、樹形拓撲和混合型拓撲。針對上述用戶常見的網絡拓撲，極光遠程安全評估系統為用戶“量身定做”了兩種部署方式：獨立式部署和分布式部署。

4.4.1 獨立式部署

中小型企業、電子商務、電子政務、教育行業和獨立的IDC等用戶，由于其數據相對集中，并且網絡拓撲結構相對較為簡單，大多數采用總線拓撲或者星形拓撲，對于這些用戶建議使用獨立式部署方式。獨立式部署就是在網絡中只部署一臺極光設備。在共享式工作模式下，只要將極光接入網絡并進行正確的配置即可正常使用，其工作范圍通常包含客戶公司的整個網絡地址。用戶可以從任意地址登錄極光系統并下達掃描任務，掃描的地址必須在產品和分配給此用戶的授權地址范圍內。

圖2就是極光的平坦部署模式。從圖中可以看出，無論在公司何處接入極光設備，公司網絡都能正常工作，完成對網絡的安全評估。

 圖3 極光遠程安全評估系統獨立式部署結構圖

4.4.2 分布式部署

對于電信運營商、金融行業、證券行業、政府行業、軍工行業、電力行業和一些規模較大傳統企業，由于其組織結構復雜、分布點多、數據相對分散等原因，采用的網絡拓撲結果大多為樹形拓撲或者混合型拓撲。對于一些大規模和分布式網絡用戶建議使用分布式部署方式。在大型網絡中多臺極光系統共同工作時，極光的分布部署支持能力可以使得各系統間的數據能共享并匯總，方便用戶對分布式網絡進行集中管理。極光支持用戶進行兩級和兩級以上的分布式、分層部署。使用兩級分布式部署結構拓撲如圖3所示。

 

圖4 極光遠程安全評估系統分布式部署結構圖

五 結論

每年都有數以千計的網絡安全漏洞被發現和公布，再加上攻擊者手段的不斷變化，用戶的網絡安全狀況也在隨著被公布安全漏洞的增加在日益嚴峻。因此，安全評估對于絕大多數用戶都是不容忽視的，用戶必須比攻擊者更早掌握自己網絡安全漏洞并且做好適當的修補，才能夠有效地預防入侵事件的發生。

事實證明，99%的攻擊事件都是利用未修補的漏洞。許多已經部署防火墻、入侵檢測系統和防病毒軟件的企業仍然飽受漏洞入侵之苦，其中有更多受到蠕蟲及其變種的破壞，造成巨大的經濟損失。歸根結底，其原因是用戶缺乏一套完整的安全評估機制，未能落實定期評估與漏洞修補工作，忽視了漏洞的管理，最終是漏洞成為攻擊者攻擊的有效途徑，甚至成為蠕蟲攻擊的目標。

依托國內最權威中文漏洞知識庫和已在國際上享有盛名的NSFOCUS安全小組，極光遠程安全評估系統已經是國際領先的漏洞管理產品之一，能夠定期和持續地給用戶提供可靠的安全評估服務，并且提供完整的漏洞管理機制，能夠有效地降低用戶網絡風險，更大的限度地保證用戶網絡安全性和穩定性。

 

文章來源于領測軟件測試網 http://www.kjueaiud.com/