漏洞扫描是一种主动的防范措施,可以有效避免黑客攻击行为,防患于未然。通过对网络的扫描,可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。
新潮漏洞扫描系统支持主机漏洞扫描、Web漏洞扫描、弱密码扫描。采用报表的形式对扫描结果进行分析,并且提供相应的漏洞解决方案,方便管理员对主机和应用的安全进行检查和分析,及时修复漏洞。
实施过程中需要遵守的原则包括但不限于:
(1)标准性原则:漏洞扫描方案的设计和实施应依据行业、国家、国际的相关标准进行。
(2)规范性原则:整个扫描工作过程和所有文档,应具有很好的规范性,以便于项目的跟踪和控制。
(3)可控性原则:在保证扫描质量的前提下,按计划进度执行,需要保证对漏洞扫描工作的可控性。漏洞扫描的工具、方法和过程要在双方认可的范围之内合法进行。
(4)整体性及有限性原则:漏洞扫描的内容应包括用户等各个层面,漏洞扫描的对象应包括和仅限于用户所指定的具体设备及系统,未经用户授权不得减小或扩大漏洞扫描的范围和对象。
(5)最小影响原则:漏洞扫描工作应避免影响系统和网络的正常运行,尽量不对正常运行的系统和网络构成破坏和造成停产。
(6)保密原则:漏洞扫描的过程和结果应严格保密,不能泄露扫描项目所涉及的任何打印和电子形式的有效数据和文件以及其它的网络数据。
项目经理与委托单位就漏洞扫描项目进行前期沟通,接收被测单位提交的网络状况资料,包括但不限于:网络拓补结构,网络IP配置信息,网络服务器相关资料等。前期沟通结束后,双方签署《网络安全服务协议》。
项目经理组织人员依据客户提供的文档资料和调查数据,编写制定《信息系统漏洞扫描方案》。
项目经理与客户沟通评估方案,确定漏洞扫描的具体日期、漏洞扫描的具体范围、我方实施评估人员和客户方配合的人员。
项目经理协助被测单位填写《信息系统漏洞扫描用户授权书》,并通知客户做好扫描前的准备工作。
如果项目需从被测单位的办公局域网内进行,扫描全过程需有客户方配合人员在场陪同。
项目经理明确项目组评估人员承担的测试项。评估完成后,项目组整理漏洞扫描数据,形成《漏洞扫描网络安全服务报告》。
实施过程中需要评估的项目包括但不限于:
(1)主机环境漏洞扫描。
(2)Web系统漏洞扫描。
(3)弱密码漏洞扫描。
实施过程中评估测试流程:
(1)扫描方案确定,开始执行扫描任务,按照客户的扫描要求配置漏洞扫描策略进行扫描。
(2)端口扫描阶段,本阶段主要是对目标对外开放的端口和服务进行扫描,从而收集相关的信息。
(3)主机漏洞扫描阶段,本阶段主要是对目标的主机环境进行安全扫描。
(4)Web漏洞扫描阶段,本阶段主要是对目标的Web系统进行安全扫描。
(5)弱密码检测阶段,本阶段主要是对目标的各种常用服务,如FTP、SQL Server、RDP远程终端服务等进行弱密码检测扫描。
(6)清除总结阶段,清除在客户系统中产生的痕迹和中间数据,然后根据以上阶段内容总结编写《漏洞扫描服务报告》。
由于漏洞扫描属于黑盒测试,因此可能对被测试目标造成不可预知的风险;此外对于性能比较敏感的测试目标,如一些实时性要求比较高的系统,由于扫描可能引起网络流量的增加,因此可能会引起被扫描目标的服务质量降低。因此需进行如下的风险规避措施:
一般会选择在夜间或安排在业务量不大的时段进行漏洞扫描。
根据系统的具体情况配置合理的扫描策略。
