天镜漏扫产品培训

1天镜漏扫系列产品培训21 安全漏洞现状分析 2 天镜漏扫系列产品介绍 3 安装及使用 4 常见问题3安全漏洞现状分析安全漏洞现状分析4当前漏洞数量剧增NVD=国家计算机漏洞数据库CERT=专门处理计算机网络安全问题的组织 OSVDB=开放源码的漏洞数据库5病毒事件外部系统入侵敏感信息窃取拒绝服务攻击渗透测试来源：CSI/FBI 2007调查报告金融欺诈 Web攻击6l什么是安全漏洞？在计算机安全学中，存在于一个系统内的弱点或缺陷，系统对一个特定的威胁攻击或危险事件的敏感性，或进行攻击的威胁作用的可能性。l为什么存在安全漏洞？客观上技术实现技术发展局限永远存在的编码失误环境变化带来的动态化主观上未能避免的原因默认配置对漏洞的管理缺乏人员意识如何解决安全漏洞？如何解决安全漏洞？一些基本原则 服务最小化 严格访问权限控制 及时的安装补丁 安全的应用开发可使用工具和技术 安全评估与扫描工具 补丁管理系统 代码审计有关安全漏洞的几个问题7漏洞的流行性和持续性l流行性：50%的最流行的高危漏洞的影响力会流行一年左右，一年后这 些漏洞将被一些新的流行高危漏洞所替代。l持续性：4%的高危漏洞的寿命很长，其影响会持续很长一段时间；尤其是对于企业的内部网络来说，某些漏洞的影响甚至是无限期的。绝大多数漏洞的寿命少数漏洞的寿命无限期8需要进行“未雨绸缪”的漏洞管理99%of security breaches target known vulnerabilities for which there are existing countermeasures.CERT Coordination Center 事实证明，99%以上攻击都是利用已公布并有修补措施、但用户未修补的漏洞。l操作系统和应用漏洞能够直接威胁数据的完整性和机密性。l流行蠕虫的传播通常也依赖与严重的安全漏洞。l黑客的主动攻击往往离不开对漏洞的利用。信息系统越庞大，越需要对网络和系统中的漏洞进行信息系统越庞大，越需要对网络和系统中的漏洞进行 有效管理。有效管理。对于主机设备较多的网络，即使采用传统的漏洞扫描对于主机设备较多的网络，即使采用传统的漏洞扫描器进行扫描，补丁修复工作量巨大，缺乏自动化的补丁器进行扫描，补丁修复工作量巨大，缺乏自动化的补丁修复过程修复过程9安全漏洞现状分析天镜漏扫系列产品介绍10隐患扫描、安全评估、脆弱性分析；发现网络设备和主机系统的漏洞或泄漏；提供系统的安全分析和整改报告；提供完善的主机加固服务11l公安、保密、安全机关组织的安全性检查l网络建设前后的安全规划评估和成效检验l安装新软件、启动新服务后的安全性检查l定期的网络安全自我检测、评估l网络承担重要任务前的安全性评估l网络安全事故后的分析调查产品应用场合12 6032 修改了任务参数界面中不合理参数 增加了功能选项 6040 能修改windowsXP系统最大连接数 补充了功能说明 改进界面 6041 增加报表导出格式 增加报表实时导出功能 支持新系统 支持SQL2005 解决扫描慢问题 6042 增加对Windows 7中文版操作系统的支持 切换了硬件平台 增加了WSUS功能 增加了基于Web service的第三方开发接口200920102009之前136041天镜硬件版设备标准配置带有两个网口：一个为扫描网口，一个为管理网口新硬件的扫描口数量从原来的1个扩展到6个，千兆光口工控机甚至可以提供10个扫描口（6电4光），相比友商有明显优势。CPU、内存、硬盘等主要元器件性能规格也大幅度提升；同时取消了键盘鼠标口，USB口增加到了2个。新硬件的操作系统也由原来的Windows XP升级到了Windows 7 Professional。新百兆工控机新千兆电口工控机新千兆光口工控机扫描端口6个10/100M电口（其中一个可同时做扫描端口和管理端口）6个10/100/1000M电口（其中一个可同时做扫描端口和管理端口）6个10/100/1000M电口（其中一个可同时做扫描端口和管理端口）4口SFP（不含SFP模块）管理端口1个10/100M电口（可同时做扫描口）1个10/100/1000M电口（可同时做扫描口）1个10/100/1000M电（可同时做扫描口）1415独立部署独立部署多级分布多级分布 多级分布多级分布 多级网络结构 本地扫描 数据汇总、集中管理 不增添新的安全隐患 独立部署独立部署 网络较为集中 部署一台天镜设备 分权管理和使用16与传统扫描产品区别：常见扫描器关注阶段（漏洞扫描治标），漏洞管理关注全局（漏洞管理治本）。常见扫描器关注漏洞，不关注风险；天镜从资产、漏洞和威胁三个角度关注风险。常见扫描器关注漏洞发现，不关注漏洞修复有效性，只开方子，不管疗效；天镜关注漏洞发现和漏洞修复有效性，既开方子，又复查疗效。17安全漏洞现状分析安装及使用18配置扫描网口IP:l天镜扫描引擎的扫描网口IP地址在出厂时默认配置为一个固定IP，用户可以通过远 程桌面连接的方式来修改：默认连接默认连接IP:10.0.0.1IP:10.0.0.1默认连接端口号：默认连接端口号：2001020010l点击【连接】按钮，在随后弹出的登录窗口中，用户名输入scanner，密码输入venus60，点击【确定】即可登录到引擎系统中19软件安软件安装装硬件环境CPU：不低于2.4G的Pentium 处理器或其它兼容X86处理器内存：不小于512M硬盘：10G以上的硬盘空间网卡：至少一块10/100Mbps以太网卡操作系统环境支持中文版Windows 2003 Server with SP2支持中文版Windows 2000 Server with SP4支持中文版Windows 2000 Professional with SP4支持中文版Windows XP Professional with SP2支持中文版Windows Vista支持中文版Windows 2008数据库环境支持MSDE（自带）支持中文版SQL Server 2000支持中文版SQL Server 2005浏览器环境支持IE6.0及以上版本20双击安装程序中setup.exe开始安装天镜604121u天镜在扫描时必须绑定一个IP地址，如果本机存在多网卡、虚拟机等设置就需要设定扫描引擎与IP的绑定关系，以确保扫描速度和准确性。u安装时不设置，也可以后续在产品界面中设置。u设置IP绑定关系后，天镜每次启动都会检测，发现IP有变化再提示客户重新绑定。22XP SP2/SP3XP SP2/SP3，缺省的，缺省的TCP/IPTCP/IP连连接数接数限制都是限制都是1010，对于天镜扫，对于天镜扫描来说太小了，所以在安装的描来说太小了，所以在安装的时候提供了一个小工具，用来时候提供了一个小工具，用来调整连接数。推荐更改为调整连接数。推荐更改为20482048原因：扫描时产生大量连接导致连接占满而无法继续扫描23安装时提示申请授权，填好内容后会安装时提示申请授权，填好内容后会生成一个生成一个*.vku.vku文件，商会根据该文件文件，商会根据该文件生成生成.vky.vky授权文件，该授务权只能在授授权文件，该授务权只能在授权申请机器上使用权申请机器上使用安装时不申请也没问题，可以后续在产品主界面中选择申请2425u“三权分立三权分立”的用户角色管理的用户角色管理l用户管理员，只能用于创建、修改、删除其它帐号l管理员，只能用于登录天镜控制中心进行操作，不能登录用户管理审计模块l审计员，只能用于修改其它帐号的操作权限u细粒度的管理员权限分配细粒度的管理员权限分配用户管理员：用户名Admin，密码venus60审计员：用户名Audit，密码venus60管理用户：用户名venus，密码venus6026缺省用户名：venus缺省口令：venus60如果本机正在运行一些杀毒软件，天镜登陆后会提示建议关闭实施监控功能，以免影响扫描2728u先选择一个扫描策略，天镜先选择一个扫描策略，天镜60416041缺省提供缺省提供1717个扫描策略；个扫描策略；u用户还可以通过新建、修改来编用户还可以通过新建、修改来编辑策略辑策略u输入要扫描的输入要扫描的IPIP地址地址u支持支持IP1-IP2IP1-IP2一段主机一段主机u支持掩码模式，支持掩码模式，192.168.1.1/24192.168.1.1/24u支持通配符，支持通配符，192.168.1.192.168.1.*uIPIP地址还支持从已经设定好的资产导入地址还支持从已经设定好的资产导入u还支持从一个文件导入还支持从一个文件导入u也可以将输入的也可以将输入的IPIP地址导出，另存成一个文地址导出，另存成一个文件，方便以后直接导入只用件，方便以后直接导入只用29u用于区分不同任用于区分不同任务的优先级务的优先级u当引擎同时要执当引擎同时要执行多个任务时，行多个任务时，高优先级的任务高优先级的任务优先执行优先执行u支持设定最大并行支持设定最大并行扫描的主机数，最扫描的主机数，最大为大为5050u支持设定每台主机支持设定每台主机最大的线程数，最最大的线程数，最大为大为5050u两个的乘积不能超两个的乘积不能超过过500500，即任务的总，即任务的总线程数为线程数为500500u域扫描：当用户扫描主机在域扫描：当用户扫描主机在WindowsWindows的域管理环境中，的域管理环境中，可以采用可以采用“域扫描域扫描”来加强来加强天镜的网络扫描能力；天镜的网络扫描能力；u如果有必要，还可以设置如果有必要，还可以设置天天镜在扫描主机的时候会向被镜在扫描主机的时候会向被扫描主机发送扫描主机发送messagemessage消息消息来通知主机；来通知主机；30任务开始、停止、暂停扫描、继续扫描、断点续扫其中，继续扫描是指对某个暂停任务继续执行扫描；而断点续扫是指当引擎端有扫描任务在执行，因为某些突发事件而不能正常工作（如机器意外重启、主机意外断电等），扫描任务会被意外中断。天镜在上述情况下会保留扫描任务的已完成部分的结果，当机器重启之后，打开天镜，可以针对这些意外中断的扫描任务使用断点续扫。31任务查看区任务查看区扫描结果查看区扫描结果查看区支持实时显示支持实时显示可按各字段自由排序可按各字段自由排序扫描信息查看扫描信息查看3233可以选择一个模板，对其进可以选择一个模板，对其进行显示配置；行显示配置；也可以新建一个模板。也可以新建一个模板。可详细定义需要显示的内容可详细定义需要显示的内容34任务扫描报告主机扫描报告提供了每个主机的操作系统、开放端口、可用帐户，以及每个主机上发现的所有漏洞的详细描述与修补建议。漏洞扫描报告统计总体漏洞数量、统计不同操作系统类型的主机数量、统计了所有开发端口、可用帐户、列出每一个漏洞所存在的主机、详细描述与修补建议。扫描全报告相当于“漏洞扫描报告”“主机扫描报告”。其中针对每一个漏洞给出详细描述与修补建议，不包括每个主机上所有漏洞的详细描述与修补建议。对比分析报告对于同一个网段对比分析可以获知下列信息：新增加的在线主机、减少的在线主机、同一主机新增加的漏洞/减少的漏洞/保持不变的漏洞、同一主机新发现的端口/减少端口/保持不变的端口等。趋势分析报告对于同一个网段的多次扫描结果进行趋势分析可以获知下列信息：各种级别漏洞数量的变化趋势、在线主机数量的变化趋势、不同安全状态级别的主机数量变化趋势。35部门扫描报告最新安全状态报告可以查看到指定部门内所有主机最后一次被扫描获得的结果。针对指定部门内所有IP，汇集了每个IP最后一次的扫描结果（即便部门内所有IP分在多个扫描任务中被扫描）来提供部门内所有IP的最新安全状态信息。历史安全状态报告可以针对指定部门的某次扫描生成扫描报告。报告中提供了部门内每个在线主机的操作系统、开放端口、可用帐户，以及每个主机上发现的所有漏洞的详细描述与修补建议。对比分析报告可以对同一部门前后不同的扫描结果进行对比分析，以获得同一个部门的安全管理状况；也可以对不同部门的扫描结果进行对比分析，以获得不同部门安全状态的差异。趋势分析报告可以对同一部门的最后若干次扫描结果进行趋势分析；也可以对同一部门的指定多次扫描结果进行趋势分析。分析信息主要包括：各种级别漏洞数量的变化趋势、在线主机数量的变化趋势、不同安全状态级别的主机数量变化趋势。3637用户可以对历史扫描数据进用户可以对历史扫描数据进行导入、导出、删除等操作行导入、导出、删除等操作 大范围扫描主机时，用户可能考虑到扫描速度等因素将一个大的扫描范围分成若干部分通过多个扫描任务来完成。扫描结束后，天镜提供了扫描结果合并的功能可以帮助用户将多个扫描任务的扫描结果合并为一个扫描任务的扫描数据，之后，用户可以利用报表系统来生成统一的报告38u天镜默认带的数据库为MS Access数据库，当用户已经具有MS SQL Server 数据库时，可以在安装天镜之后，利用此功能将天镜切换到MS SQL Server 数据库中运行u注意：数据库切换之后，原数据库中的扫描数据会全部丢失，所以建议用户如果需要切换数据库，则最好在安装之后立刻进行数据库的切换。39注：不能对当前的17个模板本身做修改，可以改了另存40 从部门到所属资产的管理从部门到所属资产的管理 资产的快速发现资产的快速发现 基于部门基于部门/资产的快速扫描启动、报表展现资产的快速扫描启动、报表展现历史任务导入启用新会话资产部门资产4142u提供了一系列辅助的探测工具和漏洞验证工具，探测工具可以方便用户了解网络的一些关键信息；漏洞验证工具用于验证天镜扫描的漏洞u辅助的探测工具主要包括Arp探测、SNMP探测等工具，方便用户了解网络的一些关键信息u各工具用途：uARP主机探测工具：用来获得同一子网内已知IP地址主机的物理地址（物理地址即网卡的MAC地址）；uSNMP服务探测工具：探测远程主机是否开启了SNMP服务；uMSSQL服务探测工具：可以获取远程主机上的MSSQL服务信息u嗅探服务探测工具：用来发现网络上可能正在运行的嗅探服务；uSasserEx蠕虫探测工具：用来探测远程主机是否感染“振荡波”病毒。43WSUS互动功能 选择工具WSUS配置通知，启动WSUS配置工具界面，如下图：WSUS服务器：在内网部署了一台WSUS服务器，可以使用此服务器来提高主机windows系统升级补丁的效率。此处填写该WSUS服务器地址；工作方式：可以选择“更新前提醒”和“自动更新”两种更新方式；4445天镜的开放接口模块通过WebService对外提供接口服务SOAP：简单对象访问协议，简单对象访问协议（SOAP）是一种轻量的、简单的、基于 XML 的协议，它被设计成在 WEB 上交换结构化的和固化的信息。46安全漏洞现状分析常见问题47注意事项1、天镜现不支持在Windows XP Home版系统上运行2、天镜6041需要winpcap4.0的支持，如有需卸载掉低版本的在安装天镜3、数据库切换，原数据库中的扫描数据会全部丢失安装注意事项扫描注意事项1、天镜系统不支持在一个会话中多个策略同时扫描相同的主机的功能2、天镜扫描引擎使用的winpcap，会和某些防火墙、防病毒软件发生冲突建议用户使用的扫描引擎时，关闭此类软件（如果是服务类型的，需要停止该服务）3、windows XP操作系统下，最大连接主机数的数值48用户不知道哪些策略会影响系统正常应用用户不知道哪些策略会影响系统正常应用用户反应之前自己测试只扫描了一台主机，但进度非常慢用户反应之前自己测试只扫描了一台主机，但进度非常慢为什么有些针对为什么有些针对Windows系统的扫描没有结果系统的扫描没有结果案例分析光大银行国家安全认证中心神华财务海监总队.49问问 题题50谢 谢