掃清漏洞，防患未然榕基掃描專項整頓

    應用背景

    近年來，福建省政府要求各級各部門按照“誰使用、誰主管、誰負責”的原則，增強網絡安全意識和保密意識，切實搞好組織領導、制度建設、技術保障、應急響應等方面的工作，提高福建省信息網絡安全的防范能力。從福建省政府最近組織的安全檢測活動來看，福建省一定比例的計算機不同程度地被計算機病毒感染過或受到“黑客”的攻擊，而且重復感染率高達90％以上。可是大多數單位信息網絡安全意識淡薄，普遍存在重建設輕管理現象。福建省相當比例的信息網絡系統尚未配備防火墻，很多網絡不具備日志審計、網絡實時監(jiān)控、安全事件報警、安全事件響應等功能，80％的信息系統所在單位沒有開展安全漏洞檢測工作，給違法分子造成了可乘之機。

    基于上述原因，由福建省信息網絡安全領導小組辦公室牽頭，開展了為期3個月的全省信息網絡安全專項整頓活動,公安、保密、信息產業(yè)、通訊管理等監(jiān)督管理部門各司其責，重點檢查黨政機關、金融、證券、電力、電信、醫(yī)療等事關國計民生的部門，各市人民政府也相繼開展了專項整治活動。

    系統環(huán)境

    參與信息安全整頓的部門均屬于涉密的密級單位，在重要的業(yè)務網絡和辦公網之間、機要網絡和辦公網絡之間都采用了安全隔離的措施，讓重要的數據和外部的互聯網沒有物理上的連接，把政府部門內部可以上網的信息和不可以上網的信息隔離開來，讓黑客無機可乘。

    但是現有物理隔離技術存在一定的局限性，物理隔離技術僅僅只是一種被動的隔離開關，手段單一，沒有其他的安全技術進行配合。由于內外網的存儲介質都在本地，不能有效的防止內部人員的主動信息泄漏行為，而事實上主要的信息泄漏都來自于內部。物理隔離技術不能做到有效的取證工作，一旦發(fā)生信息泄漏的問題，無法確認信息泄漏行為人。

    參與整頓的部門提供的網絡服務主要是Web服務和數據庫服務。服務器主要運行在Redhat7.0、Sun Solaris、Sco R5和Windwos2000(NT) Server。主要的網絡設備有Cisco系列和華為等國產的路由器和交換機。網絡協議除了證券系統的部分網絡采用基于Novell4.11的Ipx/Spx，其他的均使用Tcp/Ip協議。

    下圖為典型的采用了安全隔離的系統

? 掃描過程

    在整個信息網絡安全專項整頓活動中，需要檢查的單位的網絡環(huán)境和系統環(huán)境各不相同，如果采用傳統的機架方式的或者軟件方式的掃描產品，就很難在短時間內有效地進行網絡漏洞的掃描和掃描結果的反饋。榕基企業(yè)在配合政府部門進行網絡隱患掃描的過程中充分的發(fā)揮了RJ-iTop網絡隱患掃描系統的特點，圓滿的完成了任務，得到了該政府部門和被檢查單位的好評。

    首先，榕基RJ-iTop網絡隱患掃描系統分成手持式硬件設備和主機端軟件。手持式硬件設備主要負責漏洞信息的收集，主機端軟件負責安全評估統計分析和報表打印。在掃描被檢測單位網絡時，只需要單獨使用手持式設備就可以了。手持式設備在使用過程中只需要一個用戶提供一個端口，支持Tcp/Ip協議就可以開始掃描工作，與用戶的網絡環(huán)境相對獨立，不需要額外的其他配置。相比軟件方式的掃描工具，隨著被查用戶的不同，需要用戶提供特定的運行環(huán)境和平臺安裝掃描軟件，無形中花費了較多的時間，降低了工作效率。掃描的對象主要包括提供主要服務的核心區(qū)主機和網絡設備（路由器、交換機、防火墻等），針對這些不同的情況，我們在掃描的過程中選擇系統預設的掃描策略，進行針對服務和平臺的掃描，提高了掃描的有效性，加快了掃描進度。

    其次，掃描結束后，該政府部門需要將各個單位的掃描結果進行統計、分析并及時的反饋給被查單位。通過保存在手持式設備上的掃描結果，檢查小組成員可以很方便的對所有結果文件進行橫向和縱向的比較和分析，可以判斷那些單位在什么方面做的較好，值得其他單位借鑒等等，并相應的給被查單位及時地提出解決方法和整改建議。相比，軟件方式的掃描器在保存掃描結果文件上可能還需要用軟盤等保存結果文件，帶來了很大的不便。

    榕基RJ-iTop可掃描的漏洞完全按照國際最新的CVE漏洞庫，具有權威性，對用戶來說有了更強的針對性，能夠更好的消滅漏洞。

    在對同一個單位進行掃描的時候可能需要掃描這家單位位于不同的防火墻或者是交換機后面的服務器，針對這種分布式的網絡情況，RJ-iTop充分發(fā)揮了支持分布式掃描的特性，進行輕易的移動就可以完成掃描。

    最后，手持式掃描設備完全固化，使軟件自身安全得到更好的保障，在掃描的整個過程對被查單位的目標系統不會造成影響。目前，榕基的手持式掃描產品已經通過了多項國家和軍隊的安全測評和認證，得到了各行業(yè)用戶的廣泛認可。