企业安全漏洞扫描与管理系统
解决方案
目录
一. 网络现状以及需求分析 (3)
1.1 网络现状 (3)
1.2 网络安全风险分析 (3)
1.3 网络安全需求 (3)
二. 解决方案 (4)
2.1 系统选型 (4)
2.2 扫描系统部署 (4)
2.3 天镜主要功能 (5)
2.3.1 资产发现与管理 (5)
2.3.2 脆弱性扫描与分析 (6)
2.3.3 脆弱性风险评估 (6)
2.3.4 弱点修复指导 (7)
2.3.5 安全策略审核 (7)
2.3.6 构建统一管理体系 (8)
2.4 产品技术特点 (8)
2.4.1 全面 (8)
2.4.2 准确 (10)
2.4.3 快速 (10)
web应用防护系统
2.4.4 自主 (10)
三. 选型建议 (11)
一. 网络现状以及需求分析
1.1  网络现状
XX 公司网络结构为三级网络结构,连接全国其它各省 XX 公司的网络,下接XX省各地市县 XX 公司的网络。具体分为办公网络和生产网络,其中生产网络为 XX公司最重要的网络。目前在办公网络和生产网络中有多台重要服务器、终端,在各个网络的边界部署有网络互联设备如交换机和路由器等等,同时
还部署了边界保护设备防火墙以及网络区域保护设备入侵检测系统等安全防护设备。
1.2  网络安全风险分析
虽然 XX 公司已经部署了诸如防火墙、入侵检测系统等安全防护工具,但网络系统存在安全漏洞(如安全配置不严密等)和操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。入侵者通常都是通过一些程序来探测网络中系统中存在的一些安全漏洞,然后通过发现的安全漏洞,采取相关技术进行攻击。
1.3  网络安全需求
面对XX网络的复杂性和不断变化的情况,依靠网络管理员的技术和经验寻安全漏洞、做出风险评估,制定符合XXXX 网络应用的安全策略显然是不现实的。解决的方案是,寻一种能寻网络安全漏洞、评估并提出修改建议的网络安全分析评估系统。检测现有网络中的边界设备(如路由器交换机)、网络安全设备(防火墙、入侵检测系统)、服务器(包括内部网络系统的各种应用服务器)、主机、数据库等进行扫描,预先查出存在的漏洞,从而进行及时的修补,对网络设备等存在的不安全配置重新进行安全配置。
二. 解决方案
2.1  系统选型
漏洞扫描系统(扫描对象包括网络设备、主机、数据库系统)使企业有机会在故障出现之前将其修复,而不是对一项已经进行的入侵或误用情况作出反应。
漏洞扫描可以让用户首先防止入侵。漏洞扫描也许对那些没有很好的事件响应能力的用户会有帮助。
在XX 网络系统中,我们建议部署一套天镜脆弱性扫描与管理系统,能同时对内、外网络的网络设备(如路由器、交换机、防火墙等)、小型机、PC SERVER 和PC 机操作系统(如Windows)和应用程序(如IIS)由于各种原因存在一些漏洞(包括系统漏洞、脆弱口令等),这些漏洞可能会给内部和外部不怀好意的人员有可趁之机,造成不应该有的损失。
2.2  扫描系统部署
天镜连接网管交换机或者中心交换机上,进行网络安全评估,比如小型机、PC SERVER、网络设备(交换机、路由器等)、安全设备(如防火墙)及各工作站系统,进行周期性的安全扫描,得出评估分析报告,然后进行相应的漏洞修补或重新设计安全策略,以达到网络中硬件设备系统和应用平台的安全化。
部署后网络拓扑(根据实际情况进行部署)
2.3  天镜主要功能
2.3.1  资产发现与管理
天镜能够通过综合运用多种手段(主机存活探测,智能端口检测,操作系统指纹识别等)全面、快速、准确的发现被扫描网络中的存活主机,准确识别其属性,包括主机名称、设备类型、端口情况、操作系统以及开放的服务等,为进一步脆弱性扫描做好准备。
同时,天镜的资产管理功能能够为用户管理被扫描的IT资产提供方便,同时作为脆弱性风险评估的基础部分,为评估主机和网络的脆弱性风险提供依据。天镜资产管理的主要功能包括:
资产导入导出
资产数据可以方便的从历史扫描结果中自动发现,也可以通过格式列表文件批量导入,更可以灵活的手工添加资产。同时,资产数据也可以格式列表文件导出,应用于其他系统。
部门管理
资产条目以部门目录树的框架进行展现,方便用户将脆弱性评估工作与具