天镜漏扫产品培训PPT.ppt

天镜漏扫系列产品培训,1 安全漏洞现状分析,2 天镜漏扫系列产品介绍,3 安装及使用,4 常见问题,安全漏洞现状分析,安全漏洞现状分析,当前漏洞数量剧增,NVD =国家计算机漏洞数据库 CERT =专门处理计算机网络安全问题的组织 OSVDB =开放源码的漏洞数据库,病毒事件,外部系统入侵,敏感信息窃取,拒绝服务攻击,渗透测试,来源：CSI/FBI 2007调查报告,金融欺诈,Web攻击,什么是安全漏洞？ 在计算机安全学中，存在于一个系统内的弱点或缺陷，系统对一个特定的威胁攻击或危险事件的敏感性，或进行攻击的威胁作用的可能性。 为什么存在安全漏洞？ 客观上技术实现 技术发展局限 永远存在的编码失误 环境变化带来的动态化 主观上未能避免的原因 默认配置 对漏洞的管理缺乏 人员意识,如何解决安全漏洞？ 一些基本原则 服务最小化 严格访问权限控制 及时的安装补丁 安全的应用开发 可使用工具和技术 安全评估与扫描工具 补丁管理系统 代码审计,有关安全漏洞的几个问题,漏洞的流行性和持续性,流行性：50%的最流行的高危漏洞的影响力会流行一年左右，一年后这 些漏洞将被一些新的流行高危漏洞所替代。 持续性：4%的高危漏洞的寿命很长，其影响会持续很长一段时间；尤其是对于企业的内部网络来说，某些漏洞的影响甚至是无限期的。,绝大多数漏洞的寿命,少数漏洞的寿命无限期,需要进行“未雨绸缪”的漏洞管理,99% of security breaches target known vulnerabilities for which there are existing countermeasures. CERT Coordination Center 事实证明，99%以上攻击都是利用已公布并有修补措施、但用户未修补的漏洞。,操作系统和应用漏洞能够直接威胁数据的完整性和机密性。 流行蠕虫的传播通常也依赖与严重的安全漏洞。 黑客的主动攻击往往离不开对漏洞的利用。,信息系统越庞大，越需要对网络和系统中的漏洞进行 有效管理。 对于主机设备较多的网络，即使采用传统的漏洞扫描器进行扫描，补丁修复工作量巨大，缺乏自动化的补丁修复过程,安全漏洞现状分析,天镜漏扫系列产品介绍,主要作用,隐患扫描、安全评估、脆弱性分析； 发现网络设备和主机系统的漏洞或泄漏； 提供系统的安全分析和整改报告； 提供完善的主机加固服务,公安、保密、安全机关组织的安全性检查 网络建设前后的安全规划评估和成效检验 安装新软件、启动新服务后的安全性检查 定期的网络安全自我检测、评估 网络承担重要任务前的安全性评估 网络安全事故后的分析调查,产品应用场合,发展历程,6032 修改了任务参数界面中不合理参数 增加了功能选项,6040 能修改windowsXP系统最大连接数 补充了功能说明 改进界面,6041 增加报表导出格式 增加报表实时导出功能 支持新系统 支持SQL2005 解决扫描慢问题,6042 增加对Windows 7中文版操作系统的支持 切换了硬件平台 增加了WSUS功能 增加了基于Web service的第三方开发接口,2009,2010,2009之前,产品介绍,6041天镜硬件版设备标准配置带有两个网口：一个为扫描网口，一个为管理网口 新硬件的扫描口数量从原来的1个扩展到6个，千兆光口工控机甚至可以提供10个扫描口（6电4光），相比友商有明显优势。CPU、内存、硬盘等主要元器件性能规格也大幅度提升；同时取消了键盘鼠标口，USB口增加到了2个。新硬件的操作系统也由原来的Windows XP升级到了Windows 7 Professional。,授权申请,部署方式,独立部署,多级分布,多级分布 多级网络结构 本地扫描 数据汇总、集中管理 不增添新的安全隐患,独立部署 网络较为集中 部署一台天镜设备 分权管理和使用,与传统扫描产品区别,与传统扫描产品区别：,常见扫描器关注阶段（漏洞扫描治标），漏洞管理关注全局（漏洞管理治本）。 常见扫描器关注漏洞，不关注风险；天镜从资产、漏洞和威胁三个角度关注风险。 常见扫描器关注漏洞发现，不关注漏洞修复有效性，只开方子，不管疗效；天镜关注漏洞发现和漏洞修复有效性，既开方子，又复查疗效。,安全漏洞现状分析,安装及使用,硬件版本登录使用,配置扫描网口IP:,天镜扫描引擎的扫描网口IP地址在出厂时默认配置为一个固定IP，用户可以通过远 程桌面连接的方式来修改：,默认连接IP:10.0.0.1 默认连接端口号：20010,点击【连接】按钮，在随后弹出的登录窗口中，用户名输入scanner，密码输入venus60，点击【确定】即可登录到引擎系统中,软件安装环境,软件安装,双击安装程序中setup.exe开始安装天镜6041,安装,天镜在扫描时必须绑定一个IP地址，如果本机存在多网卡、虚拟机等设置就需要设定扫描引擎与IP的绑定关系，以确保扫描速度和准确性。 安装时不设置，也可以后续在产品界面中设置。 设置IP绑定关系后，天镜每次启动都会检测，发现IP有变化再提示客户重新绑定。,安装,XP SP2/SP3，缺省的TCP/IP连接数限制都是10，对于天镜扫描来说太小了，所以在安装的时候提供了一个小工具，用来调整连接数。推荐更改为2048,原因：扫描时产生大量连接导致连接占满而无法继续扫描,授权申请,安装时提示申请授权，填好内容后会生成一个*.vku文件，商会根据该文件生成.vky授权文件，该授务权只能在授权申请机器上使用,安装时不申请也没问题，可以后续在产品主界面中选择申请,授权导入与查看,用户管理,“三权分立”的用户角色管理 用户管理员，只能用于创建、修改、删除其它帐号 管理员，只能用于登录天镜控制中心进行操作，不能登录用户管理审计模块 审计员，只能用于修改其它帐号的操作权限 细粒度的管理员权限分配,用户管理员： 用户名Admin，密码venus60 审计员： 用户名Audit， 密码venus60 管理用户： 用户名venus， 密码venus60,登陆,缺省用户名：venus 缺省口令：venus60,如果本机正在运行一些杀毒软件，天镜登陆后会提示建议关闭实施监控功能，以免影响扫描,创建任务,创建任务,先选择一个扫描策略，天镜6041缺省提供17个扫描策略； 用户还可以通过新建、修改来编辑策略,输入要扫描的IP地址 支持IP1-IP2一段主机 支持掩码模式，192.168.1.1/24 支持通配符，192.168.1.*,IP地址还支持从已经设定好的资产导入 还支持从一个文件导入 也可以将输入的IP地址导出，另存成一个文件，方便以后直接导入只用,创建任务,用于区分不同任务的优先级 当引擎同时要执行多个任务时，高优先级的任务优先执行,支持设定最大并行扫描的主机数，最大为50 支持设定每台主机最大的线程数，最大为50 两个的乘积不能超过500，即任务的总线程数为500,域扫描：当用户扫描主机在Windows的域管理环境中，可以采用“域扫描” 来加强天镜的网络扫描能力； 如果有必要，还可以设置天镜在扫描主机的时候会向被扫描主机发送message消息来通知主机；,任务执行,任务开始、停止、暂停扫描、继续扫描、断点续扫 其中，继续扫描是指对某个暂停任务继续执行扫描；而断点续扫是指当引擎端有扫描任务在执行，因为某些突发事件而不能正常工作（如机器意外重启、主机意外断电等），扫描任务会被意外中断 。天镜在上述情况下会保留扫描任务的已完成部分的结果，当机器重启之后，打开天镜，可以针对这些意外中断的扫描任务使用断点续扫 。,任务执行,任务查看区,扫描结果查看区 支持实时显示 可按各字段自由排序,扫描信息查看,扫描结果查看,扫描结果显示自定义,可以选择一个模板，对其进行显示配置； 也可以新建一个模板。,可详细定义需要显示的内容,报表分析_任务扫描报告,报表分析_部门扫描报告,报告自动发送设置,用户可以对历史扫描数据进行导入、导出、删除等操作,数据维护_历史扫描数据备份与查看,大范围扫描主机时，用户可能考虑到扫描速度等因素将一个大的扫描范围分成若干部分通过多个扫描任务来完成。扫描结束后，天镜提供了扫描结果合并的功能可以帮助用户将多个扫描任务的扫描结果合并为一个扫描任务的扫描数据，之后，用户可以利用报表系统来生成统一的报告,数据维护_数据库切换,天镜默认带的数据库为MS Access数据库，当用户已经具有MS SQL Server 数据库时，可以在安装天镜之后，利用此功能将天镜切换到MS SQL Server 数据库中运行 注意：数据库切换之后，原数据库中的扫描数据会全部丢失，所以建议用户如果需要切换数据库，则最好在安装之后立刻进行数据库的切换。,策略管理,注：不能对当前的17个模板本身做修改，可以改了另存,资产管理,从部门到所属资产的管理 资产的快速发现 基于部门/资产的快速扫描启动、报表展现,历史任务导入,启用新会话,资产,部门,资产,升级,工具,提供了一系列辅助的探测工具和漏洞验证工具，探测工具可以方便用户了解网络的一些关键信息；漏洞验证工具用于验证天镜扫描的漏洞 辅助的探测工具主要包括Arp探测、SNMP探测等工具，方便用户了解网络的一些关键信息 各工具用途： ARP主机探测工具：用来获得同一子网内已知IP地址主机的物理地址（物理地址即网卡的MAC地址）； SNMP服务探测工具：探测远程主机是否开启了SNMP服务； MSSQL服务探测工具：可以获取远程主机上的MSSQL服务信息 嗅探服务探测工具：用来发现网络上可能正在运行的嗅探服务； SasserEx蠕虫探测工具：用来探测远程主机是否感染“振荡波”病毒。,WSUS互动功能,选择工具WSUS配置通知，启动WSUS配置工具界面，如下图：,WSUS服务器：在内网部署了一台WSUS服务器，可以使用此服务器来提高主机windows系统升级补丁的效率。此处填写该WSUS服务器地址； 工作方式：可以选择“更新前提醒”和“自动更新”两种更新方式；,天镜的开放接口模块通过WebService对外提供接口服务,SOAP：简单对象访问协议，简单对象访问协议（SOAP）是一种轻量的、简单的、基于 XML 的协议，它被设计成在 WEB 上交换结构化的和固化的信息。 。,安全漏洞现状分析,常见问题,注意事项,1、天镜现不支持在Windows XP Home版系统上运行 2、天镜6041需要winpcap4.0的支持，如有需卸载掉低版本的在安装天镜 3、数据库切换，原数据库中的扫描数据会全部丢失,安装注意事项,扫描注意事项,1、天镜系统不支持在一个会话中多个策略同时扫描相同的主机的功能 2、天镜扫描引擎使用的winpcap，会和某些防火墙、防病毒软件发生冲突建议用户使用的扫描引擎时，关闭此类软件（如果是服务类型的，需要停止该服务） 3、windows XP操作系统下，最大连接主机数的数值,常见问题,用户不知道哪些策略会影响系统正常应用 用户反应之前自己测试只扫描了一台主机，但进度非常慢 为什么有些针对Windows系统的扫描没有结果,案例分析 光大银行 国家安全认证中心 神华财务 海监总队 ,问 题,谢 谢,