扫清漏洞,防患未然榕基扫描专项整顿
应用背景
近年来,福建省政府要求各级各部门按照“谁使用、谁主管、谁负责”的原则,增强网络安全意识和保密意识,切实搞好组织领导、制度建设、技术保障、应急响应等方面的工作,提高福建省信息网络安全的防范能力。从福建省政府最近组织的安全检测活动来看,福建省一定比例的计算机不同程度地被计算机病毒感染过或受到“黑客”的攻击,而且重复感染率高达90%以上。可是大多数单位信息网络安全意识淡薄,普遍存在重建设轻管理现象。福建省相当比例的信息网络系统尚未配备防火墙,很多网络不具备日志审计、网络实时监控、安全事件报警、安全事件响应等功能,80%的信息系统所在单位没有开展安全漏洞检测工作,给违法分子造成了可乘之机。
基于上述原因,由福建省信息网络安全领导小组办公室牵头,开展了为期3个月的全省信息网络安全专项整顿活动,公安、保密、信息产业、通讯管理等监督管理部门各司其责,重点检查党政机关、金融、证券、电力、电信、医疗等事关国计民生的部门,各市人民政府也相继开展了专项整治活动。
系统环境
参与信息安全整顿的部门均属于涉密的密级单位,在重要的业务网络和办公网之间、机要网络和办公网络之间都采用了安全隔离的措施,让重要的数据和外部的互联网没有物理上的连接,把政府部门内部可以上网的信息和不可以上网的信息隔离开来,让黑客无机可乘。
但是现有物理隔离技术存在一定的局限性,物理隔离技术仅仅只是一种被动的隔离开关,手段单一,没有其他的安全技术进行配合。由于内外网的存储介质都在本地,不能有效的防止内部人员的主动信息泄漏行为,而事实上主要的信息泄漏都来自于内部。物理隔离技术不能做到有效的取证工作,一旦发生信息泄漏的问题,无法确认信息泄漏行为人。
参与整顿的部门提供的网络服务主要是Web服务和数据库服务。服务器主要运行在Redhat7.0、Sun Solaris、Sco R5和Windwos2000(NT) Server。主要的网络设备有Cisco系列和华为等国产的路由器和交换机。网络协议除了证券系统的部分网络采用基于Novell4.11的Ipx/Spx,其他的均使用Tcp/Ip协议。
下图为典型的采用了安全隔离的系统
? 扫描过程
在整个信息网络安全专项整顿活动中,需要检查的单位的网络环境和系统环境各不相同,如果采用传统的机架方式的或者软件方式的扫描产品,就很难在短时间内有效地进行网络漏洞的扫描和扫描结果的反馈。榕基企业在配合政府部门进行网络隐患扫描的过程中充分的发挥了RJ-iTop网络隐患扫描系统的特点,圆满的完成了任务,得到了该政府部门和被检查单位的好评。
首先,榕基RJ-iTop网络隐患扫描系统分成手持式硬件设备和主机端软件。手持式硬件设备主要负责漏洞信息的收集,主机端软件负责安全评估统计分析和报表打印。在扫描被检测单位网络时,只需要单独使用手持式设备就可以了。手持式设备在使用过程中只需要一个用户提供一个端口,支持Tcp/Ip协议就可以开始扫描工作,与用户的网络环境相对独立,不需要额外的其他配置。相比软件方式的扫描工具,随着被查用户的不同,需要用户提供特定的运行环境和平台安装扫描软件,无形中花费了较多的时间,降低了工作效率。扫描的对象主要包括提供主要服务的核心区主机和网络设备(路由器、交换机、防火墙等),针对这些不同的情况,我们在扫描的过程中选择系统预设的扫描策略,进行针对服务和平台的扫描,提高了扫描的有效性,加快了扫描进度。
其次,扫描结束后,该政府部门需要将各个单位的扫描结果进行统计、分析并及时的反馈给被查单位。通过保存在手持式设备上的扫描结果,检查小组成员可以很方便的对所有结果文件进行横向和纵向的比较和分析,可以判断那些单位在什么方面做的较好,值得其他单位借鉴等等,并相应的给被查单位及时地提出解决方法和整改建议。相比,软件方式的扫描器在保存扫描结果文件上可能还需要用软盘等保存结果文件,带来了很大的不便。
榕基RJ-iTop可扫描的漏洞完全按照国际最新的CVE漏洞库,具有权威性,对用户来说有了更强的针对性,能够更好的消灭漏洞。
在对同一个单位进行扫描的时候可能需要扫描这家单位位于不同的防火墙或者是交换机后面的服务器,针对这种分布式的网络情况,RJ-iTop充分发挥了支持分布式扫描的特性,进行轻易的移动就可以完成扫描。
最后,手持式扫描设备完全固化,使软件自身安全得到更好的保障,在扫描的整个过程对被查单位的目标系统不会造成影响。目前,榕基的手持式扫描产品已经通过了多项国家和军队的安全测评和认证,得到了各行业用户的广泛认可。