绿盟远程安全评估系统安全基线管理系列产品白皮书© 2011 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录一. 脆弱性的危害 (1)1.1漏洞危害越来越严重 (1)1.2配置错误频出，合规检查困难 (2)1.3不必要进程、端口带来的风险 (3)二. 信息安全主管们面临的问题 (3)2.1安全漏洞管理的现状 (3)2.2运维工作中的烦恼 (4)2.3思考安全工作的需求 (4)三. 绿盟基于基线的安全管理工具 (5)3.1建立安全基线 (6)3.1.1 安全配置 (6)3.1.2 安全漏洞 (7)3.1.3 重要信息 (7)3.2使用安全基线自动化风险控制 (7)3.3产品特色 (8)3.3.1 基于实践的安全基线管理及展示 (8)3.3.2 基于用户行为模式的管理架构 (8)3.3.3 权威、完备的基线知识库 (9)3.3.4 高效、智能的弱点识别技术 (9)3.3.5 集成专业的Web应用扫描模块 (10)3.3.6 多维、细粒度的统计分析 (11)3.4典型应用 (12)3.4.1 部署方式 (12)3.4.2 应用场景 (14)3.5产品价值 (16)3.5.1 安全基线模型助力全面掌控信息系统风险状况 (16)3.5.2 为运维人员提高工作效率 (17)3.5.3 为主管领导洞察全局 (17)四. 结论 (17)一. 脆弱性的危害漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统，在计算机安全领域，安全漏洞（Security Hole）通常又称作脆弱性（Vulnerability）。

其实这是一个概括性的描述，很多专业人员给出的定义都不同。

从技术角度而言，漏洞的存在主要是因为：◆客观上技术实现⏹技术发展的局限，软件或协议设计、实现时无法完全避免逻辑错误，使其存在漏洞。

⏹环境的变化，使软件在异常状态下的不正确处理，例如，没有进行数据内容和大小检查，没有进行成功/失败检查，不能正常处理资源耗尽的情况。

◆主观上失误或疏忽⏹系统和网络错误配置，如：系统的配置文件不当，口令选择失误都会被恶意破坏者所利用。

⏹缺乏高效有序的管理手段⏹人员安全意识不足。

专业全面的漏洞检查软件应该不但要能发现操作系统、应用服务软件等本身存在的漏洞，还应该能发现管理员疏忽造成的系统配置错误。

另外，由于大多数软件和服务都存在缺陷、薄弱点和安全漏洞，运行不必要的服务、进程对系统安全带来更大的风险隐患，而且系统、服务、进程开放的端口，重要的文件等都是决定系统安全的重要因素。

1.1 漏洞危害越来越严重⏹2009年6月9日，微软发布补丁修复31个位于Windows、Office和数据中心软件中的漏洞，这是微软公司当时单日发布补丁最多的一次。

⏹2009年10月14日凌晨，微软向全球用户发布10月安全更新，一次性提供了13个安全补丁，补丁数量之多，刷新了此前最高为12个的历史纪录。

8个补丁的安全等级为最高的“严重”级别，5个为“重要”等级，并首次修复了Windows7操作系统的5个安全漏洞，其中一个为“重要”等级。

⏹2010年2月9日微软针对26个安全漏洞发布13个安全补丁，4年来微软公司在2月份发布安全补丁数量最多的一次。

⏹2010年6月8日微软会发布十个补丁修复34个漏洞，主要涉及WINDOWS、OFFICE、和IE。

⏹2010年8月11日凌晨，微软8月安全更新一举发布14个安全公告，用来修复Windows、IE浏览器以及Office等软件中的34个安全漏洞，使微软的月度补丁数量创下了历史最高值。

微软产品漏洞不断发现，安全补丁数量不断创下历史新高，从一个侧面看漏洞问题愈演愈烈。

从目前看，漏洞发现技术越来越自动和智能化，导致被发现的漏洞数量剧增；越来越多的漏洞研究组织使漏洞被利用的时间不断缩短；更多的安全漏洞集中在IE和MS Office等应用软件上；Web应用安全漏洞的危害日益严重；利用漏洞的手法更为隐蔽，更具有“社会工程学”的特性；漏洞的发现、利用不仅仅局限于常见的网络设备、操作系统，而且更多的第三方软件的漏洞也是发现和利用的目标。

1.2 配置错误频出，合规检查困难安全配置漏洞并不是由协议或软件本身的问题造成的，而是由服务和软件的不正确部署和配置造成的。

通常这些软件安装时都会有一个默认配置，如果管理员不更改这些配置，服务器仍然能够提供正常的服务，但是入侵者就能够利用这些配置对服务器造成威胁。

例如，SQL Server的默认安装就具有用户名为sa、密码为空的管理员账号，这确实是一件十分危险的事情。

另外，对FTP服务器的匿名账号也同样应该注意权限的管理。

大多数系统管理员都认识到正确进行安全配置的重要性，一些组织与行业也制定了统一的安全配置标准。

但是当前的现状是业务系统的网络结构越来越复杂，重要应用和服务器的数量及种类日益增多，一旦发生人员的误操作，或者忽略某个系统的某个配置细节，就可能会极大的影响系统的正常运转。

虽然这些情况的出现看似偶尔，但随着时间的推移，系统规模的增加，难免会成为必然。

通过采用统一的安全配置标准来规范技术人员在各类系统上的日常操作，让运维人员有了检查默认风险的标杆，但是面对网络中种类繁杂、数量众多的设备和软件，真正完成合规性的系统配置检查和修复，却成为一个费时费力的事情：⏹安全配置检查及问题修复都需人工进行，对检查人员的技能和经验要求较高；⏹做一次普及性的细致检查耗费时间较长，而如果改成抽查则检查的全面性就很差；⏹自查和检查都需要登录系统进行，对象越多工作越繁琐，工作效率也不高；⏹每项检查都要人工记录，稍有疏漏就需要重新补测；⏹……1.3 不必要进程、端口带来的风险第三方软件漏洞在漏洞利用中占有的比重越来越大，它已经成为了网络安全必须要面对的严重威胁。

与微软每月发布更新的操作系统相比，人们更容易忽略电脑中数量庞大，种类繁多的第三方软件的问题。

当黑客们绕过微软的补丁给系统筑就的“马其诺防线”，直接利用第三方应用软件的漏洞进行入侵的时候，用户往往猝不及防，关闭不必要的进程会极大的降低安全风险。

作为计算机系统和外界的接口，开放的端口代表了某种服务，和支撑该服务的应用软件。

一般来讲，开放的端口越多，系统面临的风险就越多。

另外，一些病毒、蠕虫等恶意软件也会在后台偷偷开放端口，这时系统已经成为不设防的状态。

二. 信息安全主管们面临的问题随着对安全风险管理的重视，许多企事业单位都建立了自身的安全检查机制，制度上的建立在安全风险管理上迈出了扎实的一步，但是仍然面临着许多现实的问题。

2.1 安全漏洞管理的现状◆网络环境越来越复杂⏹对网络日渐依赖，大多数企事业单位办公系统、业务系统都实现了网络为基础的计算机自动化。

⏹业务需求的快速增长，使业务系统不断扩容，要管理的网络节点越来越多，设备的型号、版本也不断变化。

⏹企业发展对互联网需求越来越高，用户直接面对来自互联网的威胁不可避免。

◆安全漏洞问题日益复杂和严重⏹病毒木马扩散，黑客入侵，数据丢失，机密信息泄露，服务器瘫痪，网络安全问题防不胜防⏹由于客户端、第三方软件安全漏洞危害日益增大，传统的远程扫描已经不能满足日益变化的安全漏洞形式⏹需要不停的更新补丁，修补漏洞。

统计表明，19.4%的攻击来自于利用管理配置错误，而利用已知的一个系统漏洞入侵成功的占到了15.3%。

事实证明，绝大多数的网络攻击事件都是利用厂商已经公布而用户未及时修补的漏洞◆判断风险缺乏依据⏹调查显示，60%-70%的IT人员大都是靠经验之谈来评定安全风险的高低。

人员水平的不同，人员一念之间的判断都会影响最后的评定结果。

⏹缺乏理论支撑，对风险问题如何改进无所适从。

安全工作是“面”的防护，黑客攻击却是“点”的突破，没有依据的评定结果无法有效指导后继的改进措施，很容易在改进过程中出现遗漏。

⏹漏洞、配置问题不断被修补，又不断出现，无法判定所做的改进工作是否有效果。

2.2 运维工作中的烦恼◆网络资产众多，手工检查需要花费巨大人力物力。

◆不同的系统、应用，检查的项目各不相同，很难面面俱到，容易出现错误◆从各资产获得的信息量大，没有经过归纳分析的结果极难阅读◆对运维人员安全知识要求过高，不是每个人都是专家。

◆一般安全产品的报告都是简单罗列数据，无法掌握网络总体安全状况，不能跟踪整改后的效果。

无效率的报告不能得到领导认可，不能取得进一步的支持，难以进行深入的改进工作，形成恶性循环。

2.3 思考安全工作的需求◆理论支撑的需求⏹安全风险检查方法和过程具有充足的评估依据，符合国家标准、行业标准、企业标准等不同层次的安全要求⏹网络安全风险评定需要能够定性及定量的进行评估◆节省资源和时间的需求⏹自动发现和多种方式获得资产信息，能够根据业务和组织结构统一划分资产归属⏹自动识别资产类型，对不同的系统和应用制定对应的检查策略⏹无需深厚的专业知识，采用标准化、流程化的检查方法⏹丰富专业的分析报告，一目了然的掌握系统宏观风险，快速定位安全风险位置⏹自动周期对网络主机进行补丁更新、配置检查和状态检查◆核心功能的需求⏹能够高效全面的扫描系统中存在的漏洞和配置问题，及时跟踪系统运行状态，定性和定量评估网络安全风险状况⏹量化安全状态，跟踪安全风险变化趋势，度量安全改进工作效果⏹重点关注关键设备、关键应用，降低危害出现的机会⏹运维过程能够针对重点系统或者应用服务，制定较高的安全标准◆控制成本的需求⏹漏洞扫描、配置检查、WEB服务重点扫描，不同的工作在统一的安全检查系统中实现⏹产品实现工具化，只要少量的人员，简单的培训既可正确操作。

⏹提供正确有效的改进参考，减少损失发生后亡羊补牢的成本。

三. 绿盟基于基线的安全管理工具基于多年安全服务的执着实践，结合用户对脆弱性检查的实际应用需要，绿盟科技经过研究论证，提出了全面脆弱性检查的安全基线检查模型，同时自主研发了绿盟远程安全评估系统——安全基线管理系列（NSFOCUS RSAS-AAS Series，以下简称安全基线管理产品或RSAS-AAS），该产品使用安全基线检查模型，为运维工作提供了实用高效的安全检查自动化工具。

安全基线管理产品基于绿盟科技完备的基线知识库，采用高效、智能的弱点识别技术，对影响系统安全的脆弱性因素进行全面检查和分析，为系统安全建设提供可信的度量依据，能够整体提高网络安全管理水平。

安全基线管理产品为网络系统建立适用于本地业务的安全检查基线，自动化执行脆弱性检查，参照安全基线自动对比分析检查数据，让管理员及时全面掌握网络安全状态，轻松准确的完成安全运维任务，极大的提供工作效率。