等保2.0之漏洞扫描系统技术方案建议书文档格式.docx

1、4 XX 漏洞扫描器解决方案54.1 XX 漏洞扫描系统简介54.2 企业漏洞扫描器部署模式64.2.1 单机部署64.2.2 分布式部署74.3 应用场景74.3.1 金融行业互联网风险管理84.3.2 政府信息中心漏洞扫描器84.3.3 能源行业漏洞扫描器94.3.4 中小企业和分支机构漏洞扫描器94.3.5 大型企业漏洞扫描器104.3.6 教育行业漏洞扫描器114.4 企业网络安全解决方案优点总结115 XX 漏洞扫描系统给用户带来的价值125.1 快速部署125.2 一体化策略管理125.3 多功能综合评估126 XX 服务136.1 服务理念136.2 服务内容136.3 服务保障

2、131 概述在Internet飞速发展的今天，网络已成为企业的重要生产工具，员工可以通过网络进行办公、公司的核心数据也利用网络设备进行存储，但由于组网设备及开发人员的安全能力参差不齐，会使网络存在逻辑设计上的缺陷或错误，而产生安全隐患。面对愈加恶劣的网络环境，单纯的网络防护产品已经不能够为企业带来足够的安全， 越来越多的客户开始关注网络环境自身的安全性。XX漏洞扫描系统，集系统扫描、Web扫描、数据库扫描、安全基线及弱口令于一身，可对网络环境的各个环节进行全方位的安全评估。企业网络分析通过与企业进行深入的交流，我们对其网络进行了充分的了解与分析。企业网络现状此部分主要包括两个部分：1. 企业内

3、部网络拓扑图，明确各个区域分布及连通情况。2. 企业内部业务承载及分布情况企业网络主机及应用调研给出企业现网的主机及业务系统列表，可以根据主机及应用类型来制定扫描计划企业网络安全风险问题与分析此部分主要包括以下几个部分（主要根据与客户的沟通以及我们自己的分析给出：企业内部没有进行风险评估能力建设，无法有效感知到网内的安全风险；企业内部有重要业务系统，应用及数据库可能存在漏洞，存在信息泄露风险；3. 企业员工电脑可以连接互联网，可能存在被利用漏洞植入木马的风险；企业漏洞扫描系统需求针对企业漏洞扫描系统问题与分析给出简要的描述，例如：通过深入的交流与分 析，企业漏洞扫描系统需求分为四个部分：发现网

4、内主机风险、发现应用系统漏洞、发现数据库漏洞，提升整体网络环境安全。企业漏洞扫描系统设计原则根据企业对网络安全的需求以及XX公司对网络安全的积累，我们提出企业漏洞扫描系统设计必须满足以下原则：1. 安全性原则：充分保证系统的安全性。使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。2. 可靠性原则：保证产品质量和可靠性，对项目实施过程实现严格的技术管理和设备的冗余配置，保证系统的可靠性。3. 先进性原则：具体技术和技术方案应保证整个系统具有技术领先性和持续发展性。4. 可扩展性原则：IT 技术的发展和变化非常迅速，方案采用的技术具有良好的可扩展性，充分保护当前的

5、投资和利益。5. 可管理性原则：所有安全系统都应具备在线式的安全监控和管理模式。新增漏洞扫描系统，用以满足企业以下需求（根据企业漏洞扫描系统问题与分析给出需求）：企业漏洞扫描系统需求：1. 员工上网行为不规范，使主机漏洞被利用。2. 公司机密信息被窃取，遭受损失。3. 公司网络设备遭到攻击，办公网络无法使用。4. 公司业务系统遭受攻击，使得业务中断。政府漏洞扫描系统需求1. 政府网站被篡改，遭受政治风险。2. 在线政务系统被攻击，影响政府形象和办事效率。3. 办公电脑被攻击，导致敏感信息被窃取。4. 政府网站数据库被攻击，散布非法言论。教育行业漏洞扫描系统需求1. 学校网站被篡改，影响学校形象

6、。2. 学籍、学分系统数据被篡改3. 线上教学系统被攻击4. 4 XX 漏洞扫描器解决方案4.1 XX 漏洞扫描系统简介XX漏洞扫描系统是XX在充分了解客户和市场需求的基础上，通过成熟的系统设计推出的漏洞扫描器，具有准确的漏洞识别、全面的资产覆盖、高效的扫描速率等特点。XX漏洞扫描系统是国内业界漏洞收录最丰富的漏洞扫描器。该系列产品提供系统扫描、Web扫描、数据库扫描、基线扫描及弱口令等多项功能，为企业运维人员提供安全自查能力、营造安全可靠的网络环境、以及法规遵从提供了一体化的解决方案。企业漏洞扫描器部署模式根据对企业的需求分析选择以下的一个方案或者进行方案综合4.2.1 单机部署传统的组网中

7、，根据扫描目标的不同，可以把漏洞扫描器部署在某一个区域进行单区域扫描，或者是核心交换机旁边进行全网扫描。l 适用于小型企业用户，网络设备集中，XX 漏洞扫描器可以对网内各个主机及应用可达。l 扫描主机和Web 网站数量较少，单台设备能够完成扫描任务。Internet 用 户InternetSW3SW4心跳线Trunk 链 路访问前置服务器流量FW1FW2DMZSW1核心交换机SW2业务服务区1业务服务区2业务服务区NVSCAN图1.单机部署4.2.2 分布式部署每一个网络节点部署一个引擎，完成单个节点的扫描任务。网络可达处部署一台管控中心，有扫描任务的配置、调度、统计、展示等管理功能。整个网络

8、框架中，扫描引擎和管控中心都可以根据系统规模进行扩展，从而达到不同数量级别的扫描。l 适用于中大型企业用户，网络设备分散或是有多个分支机构，XX 漏洞扫描器可以在各个节点部署分布式扫描引擎，由管控中心进行统一的调度、统计；业务服务区1业务服务区2业务服务区3管控中心核心交换出口防火墙总部VSCAN之间相互通信的流量业务服务区引擎分公司1分公司2l 扫描主机和Web 网站数量较多，需要多台分布式引擎性能支撑能够完成扫描任务。图2.路由模式4.3 应用场景请根据具体项目场景选择4.3.1 金融行业互联网风险管理在总部和分支机构内网分别部署漏洞扫描器可以有效降低内网环境风险。在总部和分支机构分别部署

9、漏洞扫描器，通过漏洞扫描器分布式管理中心对漏洞扫描器分布式引擎进行集中统一管理。通过对集团总部及分支漏洞的统一发现、管理，可以宏观的感知集团内网环境的安全风险，防患于未然。该应用场景主要实现如下目的：l 运维投入集中，减少分支运维压力集团内运维资源往往集中于总部，分支机构运维能力薄弱，漏洞扫描器分布式部署， 可以由总部对分支引擎进行统一调度、管理，减少分支运维人员的投入。l 减少远程扫描误差分布式部署模式，可以将扫描引擎部署与各个分支机构内网进行本地扫描，之后将结果统一汇总至分布式管理中心，避免了探测流量在传输过程中的误拦截而产生误差。l 集团网内环境风险的宏观感知通过集中管理的优势，可以实时

10、的掌握整个集团内网的安全风险及风险变化趋势，通过对风险态势的判断，及时的采取相应的处置措施，在攻击到来之前排除隐患。4.3.2 政府信息中心漏洞扫描器政府机关网络一般包括政务外网和政务内网，电子政务规划，政务内网网内互联互 通，与互联网物理隔离，既可以由政务内网运营单位对网内所有资产进行统一探测，也可以在各个单位分别部署分布式探针进行探测。l 有效发现网内薄弱环节作为政务内网运营单位，有对网络的连通性、可用性和安全性进行保障的指责， 定期的对网内风险进行探测可以有效的定位和排除风险，防止个别单位的安全意识不足而成为整个政务网的薄弱环节。l 避免政务信息窃取政务内网是各个政府单位办公和存放重要政

11、务，对漏洞及时的发现和修补可以有效地避免攻击者通过漏洞而非法获取到内网数据。l 避免产生政治风险防止应用服务器上存在漏洞被攻击者利用，获得网站修改权限而对网站页面进行篡改，引发政治风险。l 合规性定期制定漏洞扫描工作，以符合国家等级保护及等级保护2.0 的管理要求。4.3.3 能源行业漏洞扫描器在网内核心交换机除部署漏洞扫描器，通过对网内终端、网络设备及应用的风险发现和修补，打造安全可靠的上网、办公环境。l 保护员工办公安全保证员工的办公电脑不存在高危漏洞，而被黑客利用，进行木马、病毒植入或是窃取员工电脑数据。l 保护内网服务器的数据安全避免攻击者利用服务器漏洞，达到越权的目的，而访问或是下载

12、权限外的数据。l 防止用户访问用户服务网站被挂马在线自服务网站，是现在能源企业销售资源的重要途径，及时的对在线网站进行漏洞排查修补，可以有效防止攻击者利用漏洞进行挂马的行为，从而保护客户不会在自服务时被下载木马。4.3.4 中小企业和分支机构漏洞扫描器旁路部署在内网交换机是漏洞扫描器产品在中小企业和分支机构中常见的应用场景。主要用于安全自检、风险自查，及时发现和修补内网的安全风险。将漏洞扫描器旁路部署在公司核心交换机，确保设备与内网各区域网络可达，通过对员工主机、网络设备、服务器以及应用风险的有效发现，可以帮助运维人员及时的修补，为企业打造安全可靠的网络环境。 该应用场景主要实现如下目的：l 保障办公网络高可用及时排查、整改网内网络设备的自身风险，防止攻击者利用网络设备漏洞造成企业网络中断。l 保证办公应用安全性对企业日常办公使用的OA、ERP、CRM 及财务等服务器、应用进行漏洞发现和修补，可以有效地防止企业内薪资泄密、客户数据泄露等事件的发生。4.3.5 大型企业漏洞扫描器大型企业在网络设计之初，往往会注重区域隔离设计，将不同密级、职能部门的网络进行区分和隔离，导致内网各个区域无法互联互通，此时便需要在多个区域同时部署漏洞扫描器，以达到漏洞发现能力能全网覆盖的目的。对企业日常办公使用