大型企业网络漏洞管理方案.docVIP

大型企业网络漏洞管理方案 绿盟科技 董明武 安全漏洞带来的挑战 漏洞是指计算机软件（包括硬件固化指令、操作系统、应用程序等）自身的固有缺陷或因使用不当造成的配置缺陷，这些缺陷可能被黑客利用对计算机系统进行入侵或攻击。漏洞分为本地漏洞和远程漏洞，通常意义上我们所指的漏洞是可被攻击者远程利用的漏洞，这些漏洞的危害往往都是大范围的，由此造成的经济损失也是巨大的，尤其是近两年来针对Web应用安全漏洞的攻击也在逐渐成为主流的攻击方式。 2000年到2004年间，利用漏洞攻击的对象主要是网络设备、操作系统和数据库，其中让人感受最深的就是利用漏洞的网络蠕虫事件，如“冲击波”和“震荡波”。 2005－2006年间，攻击主要针对Web应用安全漏洞和客户端程序。来自google、Yahoo、Microsoft以及eBay等著名互联网公司或者提供Web服务的软件公司都出现了漏洞被攻击者成功利用的安全事件，给这些公司带来了一定经济损失和不良影响。 漏洞的危害越来越严重，归根结底，就是系统漏洞的存在并被攻击者恶意利用。软件由于在设计初期考虑不周导致的漏洞造成的问题始终没有得到很好的解决，人们依然用着“亡羊补牢”的方法来度过每一次攻击，利用漏洞的攻击成为人们心中永远的痛。统计表明，19.4%的成功攻击利用了管理配置错误，而利用已知的系统漏洞成功入侵的占到了15.3%。事实证明，绝大多数的网络攻击事件都是利用厂商已经公布的、用户未及时修补的漏洞。 极光远程安全评估系统简介 作为国内最早推出漏洞扫描类产品的厂商之一，绿盟科技始终将用户需求摆在第一位。极光远程安全评估系统就是为了满足用户对网络进行评估的需求推出的一款产品，它在第一时间主动诊断网络安全漏洞并提供专业防护建议，让攻击者无机可乘，是您身边的“漏洞管理专家”。 依托专业的NSFOCUS Security Team，综合运用NSIP (NSFOCUS Intelligent Profile) 等多种领先技术，自动、高效、及时准确地发现网络资产存在的安全漏洞； 针对网络资产的安全漏洞进行详细分析，并采用权威的风险评估模型将风险量化，给出专业的解决方案； 提供Open VM ( Open Vulnerability Management ) 工作流程平台，将先进的漏洞管理理念贯穿整个产品实现过程中，为降低企业的安全风险提供强有力的保障。 绿盟科技分布式漏洞管理方案 对于电信运营商、金融行业、证券行业、政府行业、军工行业、电力行业和一些规模较大的传统企业，由于其组织结构复杂、分布点多、数据相对分散等原因，大多采用树形拓扑或者混合型拓扑。针对这些用户的需求特点，绿盟科技推出了分布式漏洞管理方案。此方案中多台极光系统共同工作，形成虚拟漏洞管理网络，各系统间的数据能共享并汇总，方便用户对分布式网络进行集中管理。极光支持用户进行两级和两级以上的分布式、分层部署，使用两级分布式部署结构拓扑如下图所示。 极光远程安全评估系统分布式部署结构图 如果不能按照合理的工作流程使用，分布式漏洞管理方案将可能会收效甚微。绿盟科技我们建议在方案实施过程中启用面向漏洞管理的工作流程并在实际使用过程中逐步完善： 资产管理 这里的资产管理主要是资产信息的收集、资产的分类和资产重要性优先级的划分。我们绿盟科技建议根据总部和分支的组织结构、网络拓扑结构的不同将内部的信息资产进行分类和管理，并根据信息资产的重要程度和分组情况来指定针对性的扫描策略，通过部署在总部的极光扫描管理节点和部署在分支的极光扫描子节点配合来完成漏洞扫描工作。 扫描策略管理 在明确了虚拟扫描网络中涉及的漏洞管理的资产范围之后，需要进一步明确漏洞扫描策略和漏洞扫描周期。 在信息资产管理的基础上，需要对不同的信息资产定义不同的安全策略，根据信息资产的设备类型、应用类型、重要程度的不同来定义不同扫描策略（或者采用极光的自动模板匹配功能）。针对不同的信息资产组定义极光的定时升级、定时扫描的周期、临时检测策略和结果自动发送等相关策略（如对重要的网络资产需要两周甚至每周进行定时扫描并将相应的结果发送给对应资产的管理人员，每季度对网络中的资产进行临时抽检）。 漏洞扫描和漏洞分析 在执行扫描任务之前需要首先明确扫描网络中不同设备的角色： 部署在总部的扫描管理节点主要用来对总部的信息资产进行定时周期性扫描（每两周或每周） 部署在分支的扫描子节点主要用来对分支的信息资产进行定时周期性扫描（每两周或每周） 漏洞分析需要明确报告发送策略，制定不同的扫描设备在虚拟扫描网络中的角色和扫描结果自动上传分析策略。 漏洞修补和验证 在漏洞扫描结果基础上需要对网络资产存在的漏洞风险进行综合的分析，主要从资产的重要性、漏洞的危害、漏洞对资产的威胁三个角度进