绿盟漏洞扫描系统NSFOCUSRSASSv50知识讲解.docx

1、绿盟漏洞扫描系统NSFOCUSRSASSv50知识讲解1. 产品简介每年都有数以千计的网络安全漏洞被发现和公布，加上攻击者手段的不断变化，网络安全状况也在随着安全漏洞的增加变得日益严峻。事实证明，99%的攻击事件都利用了未修补的漏洞，使得许多已经部署了防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞攻击之苦，蒙受巨大的经济损失。寻根溯源，绝大多数用户缺乏一套完整、有效的漏洞管理工作流程，未能落实定期评估与漏洞修补工作。只有比攻击者更早掌握自己网络安全漏洞并且做好预防工作，才能够有效地避免由于攻击所造成的损失。 绿盟远程安全评估系统 （NSFOCUS Remote Security Asses

2、sment System， 简称：NSFOCUS RSAS）第一时间主动诊断安全漏洞并提供专业防护建议，让攻击者无机可乘，是您身边的“漏洞管理专家”。产品为国内开发，具备自主知识产权，并经过三年以上应用检验并提供产品用户使用报告的复印件；产品具有高度稳定性和可靠性。产品取得了中华人民共和国公安部的计算机信息系统安全专用产品销售许可证，中华人民共和国国家版权局计算机软件著作权登记证书，中国人民解放军信息安全产品测评认证中心的军用信息安全产品认证证书，国家保密局涉密信息系统安全保密测评中心涉密信息系统产品检测证书，中国信息安全测评中心信息技术产品安全测评证书-EAL3，中国信息安全认证中心中国国家

3、信息安全产品认证证书。厂商在信息安全领域有丰富的经验与先进的技术，须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力。产品使用了专门的硬件，基于嵌入式安全操作系统，大大提高了系统的工作效率和自身安全性。系统稳定可靠，无需额外存储设备即可运行，系统采用B/S设计架构，并采用SSL加密通信方式，用户可以通过浏览器远程方便的对产品进行管理。产品要求界面友好，并有详尽的技术文档；产品支持中英文图形界面，能够方便的进行语言选择，能够提供丰富的中英文语言的文档资料。通过CVE兼容性认证及英国西海岸实验室Checkmark认证等国际权威认证。2. 产品功能2.1 系统漏洞扫描功能1. 漏洞知识库从操作

4、系统、服务、应用程序和漏洞严重程度多个视角进行分类，需要给出具体的分类信息。2. 支持对漏洞信息的检索功能，可以从其中快速检索到指定类别或者名称的漏洞信息，并具体说明支持的检索方式。3. 提供漏洞知识库中包含的主流操作系统、数据库、网络设备的列表信息。4. 能够扫描常见的网络安全客户端软件（网络防病毒Symantec、TrendMicro、McAfee）的安全漏洞5. 能够扫描常见的应用软件漏洞（如IE浏览器、MSN、Mozilla Firefox、Yahoo Messenger、MS Office、多媒体播放器、VMware虚拟机和各种P2P下载软件）的安全漏洞。6. 提供专门针对DNS服务

5、的安全漏洞的检测，包括DNS投毒等漏洞检测能力。7. 漏洞知识库漏洞信息大于3000条，提供详细的漏洞描述和对应的解决方案描述；漏洞知识库与国际CVE标准兼容，并提供CVE Compatible证书。8. 漏洞知识库和漏洞检测规则支持手动升级和自动升级，支持本地升级和在线升级，在线升级支持代理方式升级；至少每两周进行一次定期升级，重大安全漏洞紧急响应时间，请给出公开定期发布升级包列表详细说明。9. 支持对多个扫描任务并发执行，支持多任务自动调度；单个任务允许扫描的最大扫描范围不小于一个B类网段。10. 系统内置不同的策略模板如针对Unix、Windows操作系统等模板，同时允许用户定制扫描策略

6、；用户可定义扫描范围、扫描使用的参数集、扫描并发主机数等具体扫描选项。11. 可以在扫描过程中人工指定包括SNMP、SMB等常见协议的登陆口令，登陆到相应的系统中对特定应用进行深入扫描。12. 可定义扫描端口范围、端口扫描策略。13. 是否具备单独口令猜测扫描任务，支持多种口令猜测方式，包括利用Telnet、Pop3、 Ftp、 Windows SMB、SQL Server、MySQL、Oracle、Sybase等协议进行口令猜测，允许外挂用户提供的字典档。14. 允许管理员配置扫描通知，在扫描任务运行开始时向被扫描的资产发送扫描通知；具体说明针对不同操作系统（如Windows、Linux、U

7、nix等）具体的实现方式。15. 请描述被扫描IP地址采用的授权方式。16. 提供扫描占用网络带宽控制措施，请描述具体实现技术和带宽占用指标。17. 请描述在提高扫描准确性和扫描速度两方面采用的具体实现技术。2.2 Web应用漏洞扫描1. 产品提供Web应用扫描能力，提供多种Web应用漏洞的安全检测，如SQL注入、跨站脚本、网站挂马、网页木马、CGI漏洞等。2. 可在界面中列出被检测网站的目录结构，点击相应的结构可以直接呈现当前页面的扫描结果。3. Javascript解析引擎的支持，能从Javascript代码中分析出url。4. 产品支持自定义Cookie进行深入检测。5. 支持基于bas

8、ic、NTLM、Cookie等认证方式的Web应用系统安全扫描。6. 支持登录预录制功能，能够根据用户操作，录制并指定Web扫描url，使产品能够扫描和分析一些常规页面爬取程序检测不到的url。2.3 漏洞分析1. 能够对扫描结果数据进行在线分析，能够根据端口、漏洞、BANNER信息、IP地址等关键字对主机信息进行查询并能将查询结果保存。2. 支持高级数据分析，能够进行历史数据查询、汇总查看、对比分析等，方便进行多个扫描任务或多个IP风险对比，能够在多个历史任务中，很快的检索到需要关注的资产IP点。3. 漏洞分析报告应提供在线浏览报告和离线打印报告；离线报表提供针对不同角色的默认模板，允许用户

9、定制报告的内容、报告的格式等。4. 离线报告可以输出到HTML、WORD、EXCEL（XML）等文件，报告可以直接下载或通过邮件直接发送给相应管理人员，并且输出报表美观可直接打印。5. 报表中对综述、主机、漏洞、脆弱帐号等信息进行分类显示；综述中应对风险类别和操作系统分布进行定量统计分析并展示；主机中应提供单主机的漏洞分布、风险值和风险等级信息，并能列出单主机的详细漏洞描述和解决建议，同时提供详细的安装软件信息、端口信息等，方便统一查看，了解资产信息；漏洞中应提供漏洞详细信息并可进行误报修正。2.4 漏洞管理7. 对扫描出来的资产的安全漏洞能够发送邮件给对应的资产管理员，通知其限期内修复漏洞并

10、自动对修复结果进行确认，实现对漏洞的有效跟踪。8. 提供对资产风险的多次分析能力，能够有效地分析网络整体和主机的漏洞分布和风险的趋势。9. 可提供资产树功能，通过资产树直观呈现网络资产的安全风险。10. 支持和微软WSUS补丁系统的联动，能够在发给主机管理员的邮件中附带自动配置WSUS的注册表文件，方便进行自动化的补丁修补。2.5 管理功能1. 安装、配置和管理维护较为简便；系统无须人工干预能够自动、周期运行，系统升级、扫描、结果分析和结果邮件自动发送等能够自动执行。2. 支持分布式部署，上级管理设备能够统一管理和控制下级设备，下级设备能够自动将扫描结果上传到上级管理设备；需要说明分布式部署使

11、用的通信端口和是否加密传输数据。3. 支持多用户分级权限管理；支持多管理员使用扫描器，对每个使用者能够设定其允许登陆的范围和允许扫描的范围。4. 提供审计功能，能够对登录日志、操作日志和异常报告进行记录和查询。5. 提供备份恢复机制，能够对扫描结果、日志、扫描模板、参数集等配置文件进行导出和导入操作；能够对系统创建还原点对系统进行备份和还原。十几年的学校教育让我们大学生掌握了足够的科学文化知识，深韵的文化底子为我们创业奠定了一定的基础。特别是在大学期间，我们学到的不单单是书本知识，假期的打工经验也帮了大忙。2.6 性能指标6. 7. 1 www。cer。net/artide/200402131

12、3098897。shtml。最大允许并发扫描60个IP地址 。8. 扫描一个C类网段，存活主机数为50%，不超过15分钟。一分钟内可扫描IP数为5个以上。3. 4. 人民广场地铁站有一家名为“漂亮女生”的饰品店，小店新开，10平方米不到的店堂里挤满了穿着时尚的女孩子。不几日，在北京东路、淮海东路也发现了“漂亮女生”的踪影，生意也十分火爆。现在上海卖饰品的小店不计其数，大家都在叫生意难做，而“漂亮女生”却用自己独特的经营方式和魅力吸引了大批的女生。主要技术指标据了解，百分之八十的饰品店都推出“DIY饰品”来吸引顾客，一方面顺应了年轻一代喜欢与众不同、标新立异的心理；另一方面，自制饰品价格相对较低

13、，可以随时更新换代，也满足了年轻人“喜新厌旧”的需要，因而很受欢迎。NSFOCUS RSAS技术指标我们女生之所以会钟爱饰品，也许是因为它的新颖，可爱，实惠，时尚，简单等。的确，手工艺品价格适中。也许还有更多理由和意义。那么大学生最喜欢哪种手工艺品呢?此次调查统计如下图（1-3）技术指标Web应用扫描模块专业版二、资料网址：应用类型HTTP 1.0和1.1标准的WEB应用系统 木质、石质、骨质、琉璃、藏银一颗颗、一粒粒、一片片，都浓缩了自然之美，展现着千种风情、万种诱惑，与中国结艺的朴实形成了鲜明的对比，代表着欧洲贵族风格的饰品成了他们最大的主题。标题：大学生究竟难在哪？创业要迈五道坎 200

14、4年3月23日Web 2.0/Ajax 应用 开了连锁店，最大的好处是让别人记住你。“漂亮女生”一律采用湖蓝底色的装修风格，简洁、时尚、醒目。“品牌效应”是商家梦寐以求的制胜法宝 。静态及动态页面 Web Services应用 Web底层支撑系统 认证方式（Cookie、NTLM等基本认证方式） HTTPS的WEB应用系统 漏洞类型SQL注入检测 跨站脚本检测 网页挂马检测 网马检测 表单类型检测 Cookie安全问题检测 CGI 漏洞检测 GOOGLE-HACK检测 伪造跨站点请求 无效链接发现 敏感文件检测 Web Services误配置检测 功能特性智能爬虫技术 后台数据库识别 WASC

15、漏洞分类标准 “一键式”自动扫描 网站结构立体呈现 定时、周期扫描 多线程、多任务并发扫描 数据分析及报表呈现 5. 产品详细功能参数NSFOCUS RSAS详细功能参数类别序号技术指标资质1产品需自主研发，产品无任何技术纠纷，并且具有国家版权局计算机软件著作权登记证书。2产品获得公安部计算机信息系统安全专用产品销售许可证。3产品获得国家保密局涉密信息系统产品检测证书产品形态1提供多层次扫描，能够进行全面深入的网络层、系统层及应用层扫描2采用专有硬件，基于嵌入式安全操作系统，大大提高了系统的工作效率和自身安全性。3设备即插即用，无需额外服务器安装，即可独立运行4系统采用B/S设计架构，并采用S

16、SL加密通信方式，用户可以通过浏览器远程方便的对产品进行管理。爬虫能力1产品支持HTTP 1.0和1.1标准的Web应用系统。2可在界面中列出被检测网站的目录结构，点击相应的结构可以直接呈现当前页面的扫描结果。3Javascript解析引擎的支持，能从Javascript代码中分析出url。4支持复杂应用环境下的页面链接获取能力，比如网页中出现的菜单等。5可支持通过解析flash来获得url。6产品支持自定义Cookie进行深入检测7产品支持自定义链接地址8支持基于basic、NTLM、Cookie等认证方式的Web应用系统安全扫描。9能自动过滤重复页面，以提高检测效率10支持基于HTTPS应

17、用系统的检测11支持自定义错误页面特征12产品同时提供支持深度优先（depth-first）及广度优先搜索算法（Breadth-First）爬行的能力，并且能定义爬行的目录深度。13产品支持大小写敏感或不敏感（case-sensitive/insensitive）的网页爬行方式。14提供自定义不扫描的页面列表（登出页面）功能15提供选择是否扫描子域名的控制功能。16支持Web 2.0/Ajax 应用17产品支持所有类型的动态及静态页面任务管理1检测任务创建2支持定时任务和周期任务的能力3支持快速下达扫描任务能力（一键式扫描）4产品具备扫描参数可另存为模板的能力5可进行任务的编辑6支持自定义扫描

18、的策略库和漏洞库，针对不同的扫描目标，可提供多种策略选择。检测功能1SQL注入（SQL Injection）：产品支持的SQL注入涵盖“字符型、数字型、搜索型” 等在内的及其变形的SQL注入方式；并且支持基于POST、GET、Cookie方式来提交数据；可以绕过普通过滤强度的注入过滤代码。2Cookie安全问题检测，包含Cookie注入、XSS检测、Cookie有效性检测。3跨站脚本攻击（Cross Site Scripting）：产品能够检测出不低于20种基于GET请求、POST请求的跨站攻击方法及变种（variants）。针对此类攻击支持对攻击结果进行重现。4伪造跨站点请求（Cross S

19、ite Request Forgery）：产品能够检测出是否可以冒充一个合法用户的身份在Web应用系统上执行操作。5网页木马（WebShell）：产品需要能支持多种目前流行的网页木马检测，例如“haiyangtop、一句话木马、PHPSHELL”等，并可以自定义新的网页木马特征标志。6配置管理（Configuration Management）：产品能够检测出常见Web服务器（如IIS、Tomcat、Apache、Resin、WebSphere、Weblogic等）的相关配置管理是否安全（例如：配置目录可以直接被列出、是否存服务器后台管理入口开放、文件是否可写、有没有多余的配置等）。7第三方软

20、件的误配置（3rd Party Mis-configuration）：产品能够检测出第三方软件当前配置是否正确，例如“动网BBS系统的Accsee数据库缺省配置”，以免任何已知的第三方软件错误的配置或者漏洞被黑客利用，并且可以进行自行定义。8检测隐藏字段（Hidden Field Manipulation）：产品能够检测出是否可能对隐藏字段进行恶意操纵，造成伪造提交数据。9支持Web路径下的目录扫描，并支持自动学习扩展敏感目录的名称和类型，同时支持自定义设置。10产品能够支持Web路径下敏感文件检测，例如页面文件的备份文件、数据库文件、密码文件等。11支持表单类型的发现并相应漏洞的检测。12支

21、持常见CGI Scan，涵盖主要web应用，如论坛、blog、新闻发布等。13支持Web路径下的目录访问遍历和跨越检测。14支持网页挂马扫描检测，主要是对网站或网页中是否存在被挂木马检测；15支持无效链接发现16产品支持Web服务（如IIS、Tomcat、Apache等）漏洞的检查17产品支持Web应用的承载系统（如Windows、Unix、Linux等）的安全漏洞检测。报表呈现1报表美观、直接，支持在线报表和离线报表两种报表形式。离线报表提供针对不同角色的默认模板，允许用户定制报告的内容、报告的格式等。2报表中需要提供详细的安全加固建议。3报表输出支持WORDPDFHTMLEXCELXML等

22、格式4产品生成的检测报告必须支持自定义模板，可以根据需要自定义模板布局。5产品报告必须支持中文输出。产品提供把报表至少分成两种不同报表的能力：一个报表用于显示基础架构存在的问题（针对管理员需要），另一个报表显示与应用相关的问题（针对开发人员需要）。6支持高级数据分析，能够进行历史数据查询、汇总查看、对比分析等，方便进行多个扫描任务或多个网站的风险对比。升级1提供在线升级和离线升级模式，升级内容包括检测功能更新以及产品功能更新。2产品升级周期至少两周升级一次，需提供以往升级列表。准确率1扫描误报率低于5%性能11000个页面检测速度，小于1小时2100个页面检测速度，小于20分钟管理功能1二次开

23、发支持。可与第三方系统联动，可通过接口对扫描器任务进行调用，并进行统一的数据分析。2安装、配置和管理维护较为简便；系统无须人工干预能够自动、周期运行，系统升级、扫描、结果分析和结果邮件自动发送等能够自动执行。3支持分布式部署，上级管理设备能够统一管理和控制下级设备，下级设备能够自动将扫描结果上传到上级管理设备；需要说明分布式部署使用的通信端口和是否加密传输数据。4支持多用户分级权限管理；支持多管理员使用扫描器，对每个使用者能够设定其允许登陆的范围和允许扫描的范围。5提供审计功能，能够对登录日志、操作日志和异常报告进行记录和查询。6提供备份恢复机制，能够对扫描结果、日志、扫描模板、参数集等配置文件进行导出和导入操作；能够对系统创建还原点对系统进行备份和还原。