产品说明天融信网络卫士脆弱性扫描与管理系统.docx

1、产品说明天融信网络卫士脆弱性扫描与管理系统网络卫士脆弱性扫描与管理系统TopScanner系列产品说明天融信TOPSEC北京市海淀区上地东路1号华控大厦 100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-8008105119版权声明本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。版权所有 不得翻印 2011 天融信公司商标声明本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。TOPSEC 天融信公司信息反馈

2、1产品概述天融信网络卫士脆弱性扫描与管理系统简称TopScanner，是北京天融信公司基于多年网络安全产品研发经验推出的包括应用检测、漏洞扫描、弱点识别、风险分析、综合评估的脆弱性扫描与管理评估产品。TopScanner不但可分析和指出有关网络的安全漏洞及被测系统的薄弱环节，给出详细的检测报告，并针对检测到的网络安全隐患给出相应的修补措施和安全建议。TopScanner为提高内部网络安全防护性能和抗破坏能力，检测评估已运行网络的安全性能，为网络系统管理员提供实时安全建议提供一种有效实用的脆弱性评估工具。TopScanner采用标准的机架式独立硬件设计，系统采用B/S设计架构，采用旁路方式接入网

3、络，支持以独立或以分布的方式灵活的部署在客户的网络内。分布式部署支持两级和两级以上的分布式、分层部署，能够同时管理多个扫描引擎，并对扫描引擎的扫描结果信息可以集中查询、分析；支持上下级单位消息发布、接收，补丁发布，补丁下载等，TopScanner有利于网络管理员交流，共享补丁库，共享信息，保障整体安全。TopScanner采用先进的扫描引擎，集合了智能服务识别、多重服务检测、脚本依赖、脚本智能调度、信息动态抛出、安全扫描、优化扫描、拒绝服务脚本顺序扫描、断点恢复等先进技术，确保了扫描的高准确性、高速度。TopScanner的扫描引擎采用基于主机、目标的漏洞、网络、应用的检测技术，最大限度的增强

4、漏洞识别的精度。TopScanner采用基于应用的检测技术，被动的非破坏性的办法检查应用软件包的设置，发现安全漏洞。TopScanner采用基于主机的检测技术，被动的非破坏性的办法检测系统的内核，文件的属性，操作系统的补丁等问题。这种技术还包括口令解密，把一些简单的口令剔除。因此，这种技术可以非常准确的定位系统的问题，发现系统的漏洞。TopScanner采用基于目标的漏洞检测技术，被动的非破坏性的办法检查系统属性和文件属性，如数据库，注册号等。通过消息文摘算法，对文件的加密数进行检验。技术实现通过在一个运行的闭环上，不断地处理文件，系统目标，系统目标属性，然后产生检验数，把这些检验数同原来的检

5、验数相比较，发现改变即通知管理员。TopScanner采用基于网络的检测技术，积极的非破坏性的办法来检验系统被攻击崩溃的可能性。利用一系列的脚本模拟对系统进行攻击的行为，然后对结果进行分析，针对已知的网络漏洞进行检验。网络检测技术常被用于发现一系列平台的漏洞，穿透实验和安全审计，使TopScanner成为辅助网络系统管理员进行穿透实验，安全审计，提供实时安全建议的有效脆弱性评估工具。2产品特点2.1产品特性简介产品型号描述TopScanner7000TSC-7214独立扫描评估设备；分布部署中的子节点；适用于中小型企业的网络。1U，包括标配4个10/100/1000 BASE-T接口 TSC-

6、7424独立扫描评估设备；分布部署中的子节点；适用于中型企业的网络。1U机型，4个10/100/1000BASE-T接口（其中2个可作为HA口和管理口），2个SFP插槽， 2个可插拨的扩展槽最大可配置26个接口TSC-7524独立扫描评估设备；分布部署中的中心节点或者二级中心节点；适用于大型企业的分布式网络2U机型，4个10/100/1000BASE-T接口（其中2个可作为HA口和管理口），2个SFP插槽， 2个可插拨的扩展槽最大可配置26个接口，支持双电源，默认为1个产品特色 基于B/S模式：用户可通过B/S模式进行使用、管理，浏览器操作，无须安装客户端，管理、使用简单方便。严密灵活的权限管

7、理：可建立各个级别的用户，针对几十个模块分别授权，或授予一个角色。可定义每个用户的允许登录IP和可扫描IP。对象管理：可按部门、操作系统、用途、重要性等不同类型划分设备定义对象组合，使漏洞扫描器能够和企业的网络逻辑拓扑结构相结合，扫描时直接指定对象组合进行扫描，使用和管理都非常方便。同时可根据每个设备的重要性、需要保护程度等定义每个设备的资产分值，该分值用于计算最终的网络风险，从而得出更准确的风险判断。分布式扫描：在超大型网络中部署的扫描器分为中心和节点两个角色，能够跨地域对多个网络同时进行扫描。节点扫描器将扫描数据同步发送到中心扫描器数据库，上层安全管理人员可以查看下层扫描器的扫描结果，也可

8、以给下层扫描器指派任务，以便评估整个网络的安全漏洞情况。使用方便：机架式产品设计，使用户随时随地可以对局域网内的计算机进行安全漏洞检测。用户只须在浏览器上输入该产品的URL地址，登录后就可以进行各种操作。硬件化技术的实现使网络安全隐患扫描系统的操作更简单、更方便实用和易于推广。高度安全：每件产品所能扫描的IP地址范围被严格限定和加密，杜绝产品被恶意使用的可能，有效防止利用NETSCANNER从事危害国家利益、集体利益和公民合法利益的活动。特色功能：可建立一个只有本机扫描权限的用户，公开帐户名、密码给所有员工，则所有员工可用该帐户登录系统，但只能扫描登录的本机，即安全又方便管理。联动服务：防火墙

9、、入侵检测、安全管理等产品可按协议通过接口调用扫描器进行扫描。扫描速度：采用并发规则、并发任务扫描等多项技术，并采用独创的脚本引擎调度算法，在保证准确率的前提下，大大提高的检测的效率。产品资质中华人民共和国国家版权局 计算机软件著作权登记证书；中国人民共和国公安部 增强级计算机信息系统安全专用产品销售许可证；2.2先进的扫描技术2.2.1高扫描速度产品采用先进的调度算法和执行引擎，在保证正确率的前提下大幅提高了检测的效率，扫描的速度大大高于其它同类型扫描产品。2.2.2高准确率网络卫士脆弱性扫描与管理系统由专业漏洞小组人员确保脚本编写的规范准确，另外我们也采用各项技术使检测的结果更加准确：智能

10、端口识别：能对开放端口运行的服务进行智能服务识别,而不是固定地依据默认值去判断，即使 WEB 服务运行在67端口也能被正确地检测出来。多重服务检测: 如果系统有两个ftp服务一个在21端口，一个在28端口，那么我们就会对这两个端口分别进行ftp漏洞检测。也就是说同一个脚本会对这两个端口都检测一遍。脚本依赖：扫描模块会自动根据其逻辑依赖关系执行而不是无目的盲目执行，从而提高了扫描准确性。信息抛出：支持保存扫描脚本中动态抛出的信息，从而获得更多、更准确的信息。扫描一台主机（开放135、139、445、1025端口，允许空连接，guest空口令的情况），能够获取主机的netbios名、主机名、工作组

11、/域名、MAC地址、SID名、用户名列表、弱密码、密码不过期、密码未改变、共享列表、系统服务列表、注册表完全访问等信息。拒绝服务脚本顺序扫描：提高准确性、减少误报 。断点恢复：在扫描程序运行到一半的时候如果系统意外掉电等，可以通过查看扫描状态进行重新扫描或者继续扫描，如果选择继续扫描的话，前面扫描到的结果会保留下来和后面的结果一起合并生成结果文件。2.2.3强大的漏洞库全面的漏洞库与即时的更新能力。漏洞库按服务分为22大类别，按风险分为紧急、高、中、低、信息五个级别，基于国际CVE标准建立，漏洞数量超过3000条。每条漏洞都包含详细漏洞描述和可操作性强的解决方案。可通过互联网进行在线升级或通过

12、本地数据包进行本地升级，每周至少升级漏洞库一次，每月数量大于20条。2.3灵活的部署方式随着网络规模的逐步庞大、逐步复杂，核心级网络、部门级网络、终端/个人用户级网络的建设，各个网络之间存在着防火墙、交换机等过滤机制，隐患扫描发送的数据包大部分将被这些设备过滤，降低了扫描的时效性和准确性。针对这种分布式的复杂网络，网络卫士脆弱性扫描与管理系统运用B/S架构实现的分布式漏洞扫描与安全评估，支持两级和两级上的分布式、分层部署方式，通过管理中心的统一管理，可以支持多台扫描器的级联配置，上下级单位消息发布、接收，有利于网络管理员分层管理，共享信息，保障整体安全，完全适用于大型网络中的分布式部署，实现了

13、对大规模网络的实时及定时漏洞扫描和风险评估。2.4完善的检测报表网络卫士脆弱性扫描与管理系统采用报表和图形的形式对扫描结果进行分析，可以方便直观地对用户进行安全性能评估和检查。现拥有强大的结果文件分析能力，可以预定义、自定义和多角度多层次的分析结果文件，提供html、word、pdf、txt等多种格式，并提供行政主管、技术人员、安全专家等预定义报表格式及自定义报表样式。2.4.1丰富的报表格式与样式2.4.2扫描目标的漏洞概要信息2.4.3漏洞类别概要信息2.4.4详细的漏洞描述与解决方案网络卫士脆弱性扫描与管理系统提供全中文界面，提供完善的漏洞风险级别、漏洞类别、漏洞描述、漏洞类型、漏洞解决

14、办法及扫描返回信息，并提供有关问题的国际权威机构记录（包括CVE编号支持），以及与厂商补丁相关的链接。漏洞描述与解决方案截图2.5自身高安全性IP地址限定每个扫描系统所能扫描的IP地址范围被严格锁定和限制，并在国家授权机关进行安全备案，杜绝了网络卫士脆弱性扫描与管理系统被恶意使用的可能。抗攻击设计扫描系统运行的操作系统是经过专门优化的LINUX系统，对操作系统的漏洞进行了全面的修补，并对扫描系统本身进行了各种攻击下的防范测试。多级的安全权限系统有完备的安全设计，防止超越权限操作现象发生；系统分级分层授权，以保证信息的安全和保密；充分考虑在网络、操作系统、数据库、应用等方面的安全性。传输数据的加

15、密采用多种数据加密方法对重要数据进行加密，保证数据的安全读取与传输。不论是扫描脚本还是用户的扫描结果，都以严格加密的形式进行传送。保证用户的评估情况不会泄漏。2.6完善的三级服务体系第一级：产品本身每个扫描系统本身都携带有漏洞的解释，根据这些提示，用户可以方便地学习相关知识，并根据CVE编号检索漏洞的相关知识。第二级：产品网站天融信为隐患扫描产品专门建立了产品网站，并为用户提供周到的会员制服务。用户可以使用账户和密码登录产品网站的会员区域，在这里，可以查询到十分详细的漏洞相关知识。每一条漏洞的信息都包括漏洞成因、漏洞危害、漏洞修补建议、修补的操作步骤、相关知识介绍、信息订阅服务等。通过这些信息

16、的提示，用户可以按照提示一步步地操作，直到解除隐患。第三级：专业安全小组天融信的网络安全小组长期从事网络安全的研究，对安全产品和全面的安全方案有丰富的经验，对各种漏洞的成因和修补有较深厚的知识积累。当用户通过前两级服务仍不能解决问题时，可以通过800免费电话和产品网站与安全小组直接交流，天融信的安全小组可为用户提供一对一的专业指导和协助，为用户建立严密的安全体系提供支持。3产品功能功能功能说明产品形态机架式B/S管理模式系统稳定可靠产品部署支持分布式扫描部署能力，支持用户进行两级和两级上的分布式、分层部署方式； 支持独立式部署方式 分布式部署中支持上下级单位消息发布、接收，有利于网络管理员交流

17、，共享信息，保障整体安全自身安全性定制linux系统，不加载无关服务传输数据加密可以限制可扫描的IP地址范围可以限制用户的登录IP地址基于SSL 的远程管理和扫描支持系统的分级分层授权支持分区域、分权限管理，可以设置账号，通过分配权限，扫描指定的区域，防止扫描权限滥用提供审计功能，能够对登录日志、操作日志和异常报告进行记录和查询安全配置检测支持包括账号、弱口令检查扫描扫描结果需反映系统自身的安全脆弱性漏洞管理具有丰富的漏洞检查列表，漏洞库的数量需超过3000条以上支持国际CVE标准 漏洞库可以涵盖当前系统常见的漏洞和攻击特征支持按漏洞编号、CVE编号、查询、漏洞名称、漏洞类别、风险级别查询扫描

18、功能支持多任务扫描模式能对扫描目标的安全脆弱性进行全面检查，检查内容包括缺少的安全补丁、暴露的危害信息、不安全的服务配置等提供Web应用、Web 服务及支撑系统等多层次的各种类型安全漏洞扫描漏洞风险分为紧急、高、中、低、信息五个级别每周至少升级漏洞库一次，每月数量大于20条可检测的目标主机的系统包括但不限于：IBM 的AIX、OS400、Hewlett-Packard的HP-UX 、Sun的Solaris 、Compaq的Tru64 Unix、Redhat Linux、Turbo Linux、Bluepoint、Xterm、红旗Linux、Slackware、FreeBSD、NetBSD、SC

19、O Unix、WinNT、Win2000、WinXP、Win98、WinMe、NovellNetware5等可检测的主流数据库包括但不限于：Sybase、SQL Server、Oracle、MySql、DB2等能够检测的漏洞类别包括但不限于：FTP测试、CGI攻击测试、后门测试、Windows测试、Finger攻击测试、杂项测试、端口扫描、RPC测试、SNMP测试、网络设备测试、信息获取测试、WEB服务器测试、邮件系统测试、类UNIX测试、DNS测试、防火墙测试、打印服务测试、数据库测试、SSH测试、注册表测试、LDAP测试、VPN测试、SSL测试等能够设置多种扫描方式：可以单IP扫描、多IP

20、扫描、网段扫描；并支持周期扫描，定时扫描；支持多重服务检测支持智能端口识别检测支持脚本依赖检测等功能，并可选择进行相应的安全、优化扫描支持多主机、多线程并发扫描可以随时暂停、终止扫描 可以关闭浏览器扫描页面保持扫描在后台执行 可以随时重新查看后台扫描任务的实时扫描信息支持智能服务识别支持多重服务检测支持脚本依赖支持脚本智能调度支持信息动态抛出支持安全扫描支持优化扫描支持拒绝服务脚本顺序扫描支持断点恢复报表功能扫描报告包含：安全漏洞和这些安全漏洞的危险级别 同时针对安全漏洞提供有效安全解决建议并支持多任务报告分析完全中文本地化产品产品的检测报告提供直观的多类型图形化的扫描结果报告，对所有发现的漏

21、洞逐个解释，提供解决办法，包括应下载的补丁程序的url、建议升级到的版本号和建议的配置策略等 报表支持Word、 Html、Pdf、txt等格式扫描结果方便查看，允许合并、对比多个扫描结果，可单独生成扫描任务中任意主机或网段的报表，可灵活定义报表生成内容可以预定义、自定义和多角度多层次的分析结果文件提供行政主管、技术人员和安全专家及自定义报表样式提供详尽的漏洞描述与漏洞修补建议扫描器管理功能具备基于角色的权限管理功能，可以对用户分级，提供不同的操作权限具备地址薄管理功能，能对扫描对象按类别分组管理，并可执行扫描任务具备日志管理功能，可以对用户的操作进行查询策略配置提供多种预定义的扫描策略，并且

22、允许自定义扫描策略和扫描参数，实现不同内容、不同级别、不同程度的扫描提供无限可扫描IP授权，不对可扫描的目标IP做限定要求提供全自动定时扫描，按照指定的时间对指定的对象自动扫描系统升级产品升级方式支持在线升级、定时升级、离线升级等多种升级方式并具备漏洞库、扫描策略、知识库升级功能二次开发接口提供XML和HTTP等二次开发接口给其他的安全产品或者安全管理平台调用，并且提供具体接口的说明文档4产品规格产品型号TopScanner7000PINTSC-7214TSC-7424TSC-7524描述1U机型，标配4个10/100/1000 BASE-T接口1U机型，4个10/100/1000BASE-T

23、接口（其中2个可作为HA口和管理口），2个SFP插槽， 2个可插拨的扩展槽最大可配置26个接口2U机型，4个10/100/1000BASE-T接口（其中2个可作为HA口和管理口），2个SFP插槽， 2个可插拨的扩展槽最大可配置26个接口，支持双电源，默认为1个处理器Intel双核处理器Intel双核处理器Intel双核处理器内存2G 2G 4G 外村320G320G320G高度44mm 44mm 89mm深度450mm 520mm 570mm宽度426mm 426mm426mm电源电压：AC 100240V 频率：4763HZ 电流：42A功率：200W (MAX) 冗余：不支持电压：AC 1

24、00240V 频率：6050HZ 电流：85A功率：350W (MAX) 冗余：不支持电压：AC 100240V 频率：6050HZ 电流：85A功率：400W (MAX) 冗余：支持工作温度0 40摄氏度0 40摄氏度0 40摄氏度非运行温度-20 85摄氏度-40 70-20 65相对湿度5 90% RH，非冷凝10 90% RH，非冷凝10 90% RH，非冷凝国家标准GB/T18336-2001 GB/T18019-1999 GB/T18020-1999 GB/T18336-2001 GB/T18019-1999 GB/T18020-1999 GB/T18336-2001 GB/T18

25、019-1999 GB/T18020-1999 参考的安全规范及标准(相对参考)GB4943-2001 UL 1950 TUV-IEC 950GB4943-2001 UL 1950 TUV-IEC 950GB4943-2001 UL 1950 TUV-IEC 950电磁兼容标准GB9254-1998 GB17618-1998 FCC Class A IEC 61000-4-2 （静电放电ESD抗扰度） IEC 61000-4-3 （射频电磁场抗扰度） IEC 61000-4-4 （电快速瞬变EFT抗扰度） IEC 61000-4-5 （浪涌Surge抗扰度）GB9254-1998 GB1761

26、8-1998 FCC Class A IEC 61000-4-2 （静电放电ESD抗扰度） IEC 61000-4-3 （射频电磁场抗扰度） IEC 61000-4-4 （电快速瞬变EFT抗扰度） IEC 61000-4-5 （浪涌Surge抗扰度）GB9254-1998 GB17618-1998 FCC Class A IEC 61000-4-2 （静电放电ESD抗扰度） IEC 61000-4-3 （射频电磁场抗扰度） IEC 61000-4-4 （电快速瞬变EFT抗扰度） IEC 61000-4-5 （浪涌Surge抗扰度）5典型应用网络卫士脆弱性扫描与管理系统使用简单，操作方便。用户只

27、要将网络卫士脆弱性扫描与管理系统接入网络进行简单的网络配置等即可正常使用，其可扫描范围为授权IP地址范围。5.1独立式部署 对于电子商务、电子政务、教育行业、中小型企业和独立的IDC等用户，由于其数据相对集中，并且网络结构较为简单，建议使用独立式部署方式。独立式部署就是在网络中只部署一台TopScanner设备，接入网络并进行正确的配置即可正常使用，其工作范围通常包含用户企业的整个网络地址。用户可以从任意地址登录TopScanner系统并下达扫描评估任务，检查任务的地址必须在产品和分配给此用户的授权范围内。 下图为典型的网络卫士脆弱性扫描与管理系统独立式部署模式。5.2分布式部署 对于政府行业

28、、军工行业、电力行业、电信运营商、金融行业、证券行业和一些规模较大传统企业，由于其组织结构复杂、分布点多、数据相对分散等原因，采用的网络结构较为复杂。对于一些大规模和分布式网络用户，建议使用分布式部署方式。在大型网络中采用多台TopScanner系统共同工作，可对各系统间的数据共享并汇总，方便用户对分布式网络进行集中管理。TopScanner支持用户进行两级和两级上的分布式、分层部署。下图为典型的网络卫士脆弱性扫描与管理系统分部式部署模式。分布式部署可支持如下功能：单位管理-对上级和下级单位的机架式服务器进行登记管理。包括增加、修改、删除上下级单位，查看单位拓扑图。单位检测-单位检测可检测所有

29、登记的单位的信息。包括单位IP地址、是否在线等。如果在线，还将检测单位的机架式程序版本号以及漏洞库版本号。消息管理-消息管理页面中列出了所有发送和接收的消息。可在此模块对消息进行发送、查看、删除等管理。结果上传-可在此模块选择扫描结果上传到上级单位。任务下达-将设置好的扫描任务发送给下级单位进行扫描，下级单位扫描完毕后系统自动将扫描结果发送回来。策略下达-将设置好的扫描策略发送给选择的下级单位。5.3典型应用 在核心交换机上部署一台网络卫士脆弱性扫描与管理系统，对应不同的网络分配系统网口地址，或在不同网络单独配置分布式漏洞扫描系统，定期地对网络中多个不同的网段的主机进行检测，同时给出相应的解决

30、建议，用户根据这些解决建议来做出相应的防护。6产品资质证书名称认证机构计算机信息系统安全专用产品销售许可证 增强级公安部公共信息网络安全监督局计算机软件著作权登记证书中华人民共和国国家版权局7系统应用介绍7.1应用领域政府机关网络管理部门“政府上网工程”实施以来，网上泄密问题日益引起重视。为确保国家安全，除了制定严格的保密制度外，还必须采取相应技术手段，才能解决网上泄密问题。应尽快在网络管理系统中安装网络卫士脆弱性扫描与管理系统，实现对网络安全的自测、自检、自查，发现漏洞隐患随时补救。公安、保密等国家授权的网络安全监察部门公安系统是政府执法部门，其工作直接关系到社会的安定和社会秩序的稳定。公安业务管理信息系统的安全与否，不仅涉及部门内部的工作秩序是否顺畅，也关系到对社会的管理是否始终有效。同时，公安信息系统属涉密网范围，理应尽快配备网络卫士脆弱性扫描与管理系统，加强网络安全防护工作。国家保密局及下属保密系统，负责国家核心机密的传输、保存等重