天镜漏扫产品培训.ppt

1 天镜漏扫系列产品培训 2 1 安全漏洞现状分析 2 天镜漏扫系列产品介绍 3 安装及使用 4 常见问题 3 安全漏洞现状分析 安全漏洞现状分析 4 当前漏洞数量剧增 NVD =国家计算机漏洞数据库 CERT =专门处理计算机网络安全问题的组织 OSVDB =开放源码的漏洞数据库 5 病毒事件 外部系统入侵 敏感信息窃取 拒绝服务攻击 渗透测试 来源：CSI/FBI 2007调查报告 金融欺诈 Web攻击 6 l什么是安全漏洞？ 在计算机安全学中，存在于一个系统内的弱点或缺陷，系统对一个特定 的威胁攻击或危险事件的敏感性，或进行攻击的威胁作用的可能性。 l为什么存在安全漏洞？ 客观上技术实现 技术发展局限 永远存在的编码失误 环境变化带来的动态化 主观上未能避免的原因 默认配置 对漏洞的管理缺乏 人员意识 如何解决安全漏洞？ 一些基本原则 服务最小化 严格访问权限控制 及时的安装补丁 安全的应用开发 可使用工具和技术 安全评估与扫描工具 补丁管理系统 代码审计 有关安全漏洞的几个问题 7 漏洞的流行性和持续性 l流行性：50%的最流行的高危漏洞的影响力会流行一年左右，一年后这 些漏洞将被一些新的流行高危漏洞所替代。 l持续性：4%的高危漏洞的寿命很长，其影响会持续很长一段时间；尤 其是对于企业的内部网络来说，某些漏洞的影响甚至是无限期的。 绝大多数漏 洞的寿命 少数漏洞的 寿命无限期 8 需要进行“未雨绸缪”的漏洞管理 99% of security breaches target known vulnerabilities for which there are existing countermeasures. CERT Coordination Center 事实证明，99%以上攻击都是利用已公布并有修补措施、但用户未修补的漏洞。 l操作系统和应用漏洞能够直接威胁数据的完整性和机密性 。 l流行蠕虫的传播通常也依赖与严重的安全漏洞。 l黑客的主动攻击往往离不开对漏洞的利用。 信息系统越庞大，越需要对网络和系统中的漏洞进行 有效管理。 对于主机设备较多的网络，即使采用传统的漏洞扫描器 进行扫描，补丁修复工作量巨大，缺乏自动化的补丁修 复过程 9 安全漏洞现状分析 天镜漏扫系列产品介绍 10 主要作用 隐患扫描、安全评估、脆弱性分析； 发现网络设备和主机系统的漏洞或泄漏； 提供系统的安全分析和整改报告； 提供完善的主机加固服务 危险危险 危险危险 危险危险 高度高度 危险危险 11 l公安、保密、安全机关组织的安全性检查 l网络建设前后的安全规划评估和成效检验 l安装新软件、启动新服务后的安全性检查 l定期的网络安全自我检测、评估 l网络承担重要任务前的安全性评估 l网络安全事故后的分析调查 产品应用场合 12 发展历程发展历程 6032 修改了 任务参 数界面 中不合 理参数 增加了 功能选 项 6040 能修改 window sXP系 统最大 连接数 补充了 功能说 明 改进界 面 6041 增加报表 导出格式 增加报表 实时导出 功能 支持新 系统 支持 SQL200 5 解决扫 描慢问 题 6042 增加对 Windows 7中文版 操作系统 的支持 切换了硬 件平台 增加了 WSUS功 能 增加了基 于Web service 的第三方 开发接口 200920102009之前 13 产品介绍产品介绍 6041天镜硬件版设备标准配置带有两个网口：一个为扫描网口，一个为管 理网口 新硬件的扫描口数量从原来的1个扩展到6个，千兆光口工控机甚至可以提 供10个扫描口（6电4光），相比友商有明显优势。CPU、内存、硬盘等主 要元器件性能规格也大幅度提升；同时取消了键盘鼠标口，USB口增加到了 2个。新硬件的操作系统也由原来的Windows XP升级到了Windows 7 Professional。 新百兆工控机新千兆电口工控机新千兆光口工控机 扫描端 口 6个10/ 100M电口（其 中一个可同时做扫描端 口和管理端口） 6个10/100/ 1000M电 口（其中一个可同时做 扫描端口和管理端口） 6个10/100/ 1000M电 口（其中一个可同时做 扫描端口和管理端口） 4口SFP（不含SFP模块 ） 管理端 口 1个10/100M电口（可 同时做扫描口） 1个10/100/1000M电口 （可同时做扫描口） 1个10/100/1000M电（ 可同时做扫描口） 14 授权申请授权申请 15 部署方式部署方式 独立部署 多级分布 多级分布 多级网络结构 本地扫描 数据汇总、集中管理 不增添新的安全隐患 独立部署 网络较为集中 部署一台天镜设备 分权管理和使用 16 与传统扫描产品区别与传统扫描产品区别 与传统扫描产品区别： 常见扫描器关注阶段（漏洞扫描治标），漏 洞管理关注全局（漏洞管理治本）。 常见扫描器关注漏洞，不关注风险；天镜从资产 、漏洞和威胁三个角度关注风险。 常见扫描器关注漏洞发现，不关注漏洞修复有效 性，只开方子，不管疗效；天镜关注漏洞发现和 漏洞修复有效性，既开方子，又复查疗效。 17 安全漏洞现状分析 安装及使用 18 硬件版本登录使用硬件版本登录使用 配置扫描网口IP: l天镜扫描引擎的扫描网口IP地址在出厂时默认配置为一个固定IP，用户可以通过远 程桌面连接的方式来修改： 默认连接IP:10.0.0.1 默认连接端口号：20010 l点击【连接】按钮，在随后弹出的登录窗口中，用户名输入scanner，密码输 入venus60，点击【确定】即可登录到引擎系统中 19 软件安装环境 软件安 装 硬件环境CPU：不低于2.4G的Pentium 处理器或其它兼容X86处理器 内存：不小于512M 硬盘：10G以上的硬盘空间 网卡：至少一块10/100Mbps以太网卡 操作系统环境支持中文版Windows 2003 Server with SP2 支持中文版Windows 2000 Server with SP4 支持中文版Windows 2000 Professional with SP4 支持中文版Windows XP Professional with SP2 支持中文版Windows Vista 支持中文版Windows 2008 数据库环境支持MSDE（自带） 支持中文版SQL Server 2000 支持中文版SQL Server 2005 浏览器环境支持IE6.0及以上版本 20 软件安装 双击安装程序中setup.exe开始安装天镜6041 21 安装 u天镜在扫描时必须绑定一个IP地址，如果本机存在多网卡、虚拟机等设置就 需要设定扫描引擎与IP的绑定关系，以确保扫描速度和准确性。 u安装时不设置，也可以后续在产品界面中设置。 u设置IP绑定关系后，天镜每次启动都会检测，发现IP有变化再提示客户重新 绑定。 22 安装 XP SP2/SP3，缺省的TCP/IP连 接数限制都是10，对于天镜扫 描来说太小了，所以在安装的 时候提供了一个小工具，用来 调整连接数。推荐更改为2048 原因：扫描时产生大量连接导致连接占满而无法继续扫描 23 授权申请 安装时提示申请授权，填好内容后会 生成一个*.vku文件，商会根据该文件 生成.vky授权文件，该授务权只能在授 权申请机器上使用 安装时不申请也没问题，可以后 续在产品主界面中选择申请 24 授权导入与查看 25 用户管理 u“三权分立”的用户角色管理 l用户管理员，只能用于创建、修改、删除其它帐号 l管理员，只能用于登录天镜控制中心进行操作，不能 登录用户管理审计模块 l审计员，只能用于修改其它帐号的操作权限 u细粒度的管理员权限分配 用户管理员：用户名Admin，密码venus60 审计员：用户名Audit， 密码venus60 管理用户：用户名venus， 密码venus60 26 登陆 缺省用户名：venus 缺省口令：venus60 如果本机正在运行一些杀毒软件，天镜登陆后 会提示建议关闭实施监控功能，以免影响扫描 27 创建任务 28 创建任务 u先选择一个扫描策略，天镜 6041缺省提供17个扫描策略； u用户还可以通过新建、修改来编 辑策略 u输入要扫描的IP地址 u支持IP1-IP2一段主机 u支持掩码模式，192.168.1.1/24 u支持通配符，192.168.1.* uIP地址还支持从已经设定好的资产导入 u还支持从一个文件导入 u也可以将输入的IP地址导出，另存成一个文 件，方便以后直接导入只用 29 创建任务 u用于区分不同任务 的优先级 u当引擎同时要执行 多个任务时，高优 先级的任务优先执 行 u支持设定最大并行 扫描的主机数，最 大为50 u支持设定每台主机 最大的线程数，最 大为50 u两个的乘积不能超 过500，即任务的总 线程数为500 u域扫描：当用户扫描主机在 Windows的域管理环境中， 可以采用“域扫描” 来加强 天镜的网络扫描能力； u如果有必要，还可以设置天 镜在扫描主机的时候会向被 扫描主机发送message消息 来通知主机； 30 任务执行 任务开始、停止、暂停扫描、继续扫描、断点 续扫 其中，继续扫描是指对某个暂停任务继续执行 扫描；而断点续扫是指当引擎端有扫描任务在 执行，因为某些突发事件而不能正常工作（如 机器意外重启、主机意外断电等），扫描任务 会被意外中断 。天镜在上述情况下会保留扫描 任务的已完成部分的结果，当机器重启之后， 打开天镜，可以针对这些意外中断的扫描任务 使用断点续扫 。 31 任务执行 任务查看区 扫描结果查看区 支持实时显示 可按各字段自由排序 扫描信息查看 32 扫描结果查看 33 扫描结果显示自定义 可以选择一个模板，对其进 行显示配置； 也可以新建一个模板。 可详细定义需要显示的内容 34 报表分析_任务扫描报告 任 务 扫 描 报 告 主机扫描报告提供了每个主机的操作系统、开放端口、可用帐户，以及每个主机 上发现的所有漏洞的详细描述与修补建议。 漏洞扫描报告统计总体漏洞数量、统计不同操作系统类型的主机数量、统计了所 有开发端口、可用帐户、列出每一个漏洞所存在的主机、详细描述 与修补建议。 扫描全报告相当于“漏洞扫描报告”“主机扫描报告”。 其中针对每一个漏洞给出详细描述与修补建议，不包括每个主机上 所有漏洞的详细描述与修补建议。 对比分析报告对于同一个网段对比分析可以获知下列信息：新增加的在线主机、 减少的在线主机、同一主机新增加的漏洞/减少的漏洞/保持不变的 漏洞、同一主机新发现的端口/减少端口/保持不变的端口等。 趋势分析报告对于同一个网段的多次扫描结果进行趋势分析可以获知下列信息： 各种级别漏洞数量的变化趋势、在线主机数量的变化趋势、不同安 全状态级别的主机数量变化趋势。 35 报表分析_部门扫描报告 部 门 扫 描 报 告 最新安全状态报 告 可以查看到指定部门内所有主机最后一次被扫描获得的结果。 针对指定部门内所有IP，汇集了每个IP最后一次的扫描结果（ 即便部门内所有IP分在多个扫描任务中被扫描）来提供部门内 所有IP的最新安全状态信息。 历史安全状态报 告 可以针对指定部门的某次扫描生成扫描报告。报告中提供了部 门内每个在线主机的操作系统、开放端口、可用帐户，以及每 个主机上发现的所有漏洞的详细描述与修补建议。 对比分析报告可以对同一部门前后不同的扫描结果进行对比分析，以获得同 一个部门的安全管理状况；也可以对不同部门的扫描结果进行 对比分析，以获得不同部门安全状态的差异。 趋势分析报告可以对同一部门的最后若干次扫描结果进行趋势分析；也可以 对同一部门的指定多次扫描结果进行趋势分析。分析信息主要 包括：各种级别漏洞数量的变化趋势、在线主机数量的变化趋 势、不同安全状态级别的主机数量变化趋势。 36 报告自动发送设置 37 用户可以对历史扫描数据进 行导入、导出、删除等操作 数据维护_历史扫描数据备份与查看 大范围扫描主机时，用户 可能考虑到扫描速度等因 素将一个大的扫描范围分 成若干部分通过多个扫描 任务来完成。扫描结束后 ，天镜提供了扫描结果合 并的功能可以帮助用户将 多个扫描任务的扫描结果 合并为一个扫描任务的扫 描数据，之后，用户可以 利用报表系统来生成统一 的报告 38 数据维护_数据库切换 u天镜默认带的数据库为MS Access数据库，当用户已经具有MS SQL Server 数据库时，可以在安装天镜之后，利用此功能将天 镜切换到MS SQL Server 数据库中运行 u注意：数据库切换之后，原数据库中的扫描数据会全部丢失， 所以建议用户如果需要切换数据库，则最好在安装之后立刻进行 数据库的切换。 39 策略管理 注：不能对当前的17个模板本身做修改，可以改了另存 40 资产管理 从部门到所属资产的管理 资产的快速发现 基于部门/资产的快速扫描启动、报表展现 历史任务导入 启用新会话 资产 部门资产 41 升级升级 42 工具 u提供了一系列辅助的探测工具和漏洞验证工具，探测工具 可以方便用户了解网络的一些关键信息；漏洞验证工具用 于验证天镜扫描的漏洞 u辅助的探测工具主要包括Arp探测、SNMP探测等工具， 方便用户了解网络的一些关键信息 u各工具用途： uARP主机探测工具：用来获得同一子网内已知IP地址 主机的物理地址（物理地址即网卡的MAC地址）； uSNMP服务探测工具：探测远程主机是否开启了 SNMP服务； uMSSQL服务探测工具：可以获取远程主机上的 MSSQL服务信息 u嗅探服务探测工具：用来发现网络上可能正在运行的 嗅探服务； uSasserEx蠕虫探测工具：用来探测远程主机是否感染 “振荡波”病毒。 43 WSUS互动功能 选择工具WSUS配置通