榕基漏洞扫描技术白皮书.docx

《榕基漏洞扫描技术白皮书.docx》由会员分享，可在线阅读，更多相关《榕基漏洞扫描技术白皮书.docx（21页珍藏版）》请在三一文库上搜索。

1、络隐患扫描系统技术白皮书福建榕基软件开发说明本白皮书中的信息是为方便用户了解我公司产品而编写和印刷的，福建榕基软件开发对本书中可能引起的理解错误、编辑错误或疏忽不承当责任；对于在安装、操作或使用本资料过程中发生的意外事故或间接损失也不承当赔偿责任。RJ-iTop及安拓榕基是注册的商品标志，未经所有人授权许可，任何组织和个人不得使用于任何商业目的。本资料包含的信息受版权法保护。未经授权，不得以任何方式影印或复制本文档的局部或全部。详情请访问产品网站：/目录第一章概述21.1 网络平安现状分析21.2 信息平安理念31. 3网络隐患扫描系统的必要性4防火墙的局限性4入侵检测系统的局限性5网络隐患扫

2、描系统的必要性5第二章网络隐患扫描简介61.1 网络隐患无处不在62. 2扫描技术的开展7第三章榕基企业简介9第四章产品简介91. 1产品概述9产品特性简介10产品外观104. 2产品体系结构10第五章产品特性115. 1863成果转化产品115. 2领先的扫描产品线115. 3领先的扫描技术Il高扫描速度H高准确率11强大的漏洞库125. 4分布式扫描126. 5完善的检测报表13丰富的报表格式与样式13扫描目标的漏洞概要信息13漏洞类别概要信息13详细的漏洞描述与解决方案136.6 自身高平安性136.7 完善的三级效劳体系14第六章系列产品特色146.1手持式产品146.2机架式产品15

3、6.3软件版产品156.4增强型产品16第七章性能指标与产品规格167.1性能指标16漏洞检测类别16扫描速度17占用系统资源18占用带宽187.2硬件规格18第八章系统应用领域及场合188.1 应用领域188.2 应用场合和时宜208.3 产品典型应用21第九章技术支持21第一章概述1.1网络平安现状分析随着计算机网络技术的迅猛开展，计算机网络向世界各个角落延伸，人们生活与计算机网络越来越密不可分。政府、企业等单位都纷纷建立网站，建立企业内部网Intranet与互联网Imernet的连接。电子政务、电子商务、网络办公等已成为政府办公、企业开展的重要手段。但网络在给人们带来便利的同时它的平安问

4、题已成为信息时代人类共同面临的挑战，而国内的网络平安问题也日益突出。具体表现为：计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已形成重要威胁；信息根底设施面临网络平安的挑战；信息系统在预测、反响、防范和恢复能力方面存在许多薄弱环节等。如何使人们在享受网络带来的便捷和机遇的同时确保网络平安，已是急需解决的问题。据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)统计，2004年CNCERT/CC全年共收到国内外通过应急热线、网站、电子邮件等报告的网络平安事件64686件，同2003年全年收到1万3千多件报告数量相比，2004年网络平安事件报告数量大大增加。公安部2004年对70

5、72家重要信息网络、信息系统使用单位进行调查时发现，发生网络平安事件的比例为58%,而引起这些平安事件的主要原因就是病毒、黑客攻击、漏洞没有及时补上。因此平安形势不容乐观。主要原因是现在互联网上，黑客站点随处可见，黑客工具可以任意下载，攻击越来越容易，对网络平安威胁越来越大。数据统计显示，已有大量主机被入侵、资料被窃取、网页被篡改、主机被拒绝效劳、病毒肆虐等，给各单位造成了严重损失。提高互联网络的防卫能力，保证信息平安已经成为当务之急。1.2信息平安理念随着网络攻击数量的增加、攻击技术的进步，为了防范从外、从内发起的攻击保证网络平安，网络单位需要建立综合立体的防护体系。下面是著名的网络平安P2

6、DR模型：平安策略、防护、检测、响应涵盖了对现代信息系统保护的各个方面，构成了一个完整的体系，使信息平安建筑在更坚实的根底之上。信息运行平台开展到今天已极为复杂，数据平安、平台平安、效劳平安要求用完整的信息保障体系来保障。平安策略(Policy)：平安策略是平安管理的核心。要想实施动态网络平安循环过程，必须首先制定企业的平安策略，如制定系统的平安目标和平安范围等，所有的防护、检测、响应都是依据平安策略实施的，企业平安策略为平安管理提供管理方向和支持手段。对于一个策略体系的建立包括：平安策略的制订、平安策略的评估、平安策略的执行等。保护(ProteCtion):保护包括传统平安概念的继承，用加解

7、密技术、访问控制技术、数字签名等技术,从数据静态存储、授权使用、可验证的信息交换过程等方面到对数据及其网上操作等加以保护。检测(DeteCtion)：检测的含义是，对信息传输内容的可控性检测，对信息平台访问过程的甄别检测，对违规与恶意攻击的检测，对系统与网络漏洞的检测等。检测使信息平安环境从单纯的被动防护演进到在对整体平安状态认知根底上的有针对性的对策，并为进行及时有效的平安响应以及更加精确的平安评估奠定了根底。响应(Response)：在复杂的信息环境中，保证在任何时候信息平台能高效正常运行，要求平安体系提供有力的响应机制。这包括在遇到攻击和紧急事件时及时采取措施，例如关闭受到攻击的效劳器；

8、还击进行攻击的网站；按系统的重要性加强和调整平安措施等等。P2DR平安模型在整体平安策略Policy的控制和指导下，综合运用防护工具PrOteCtion(如防火墙、加密机、防病毒等手段)的同时，利用检测工具DeteCtiOn(如隐患扫描、入侵检测等)了解和评估系统的平安状态，通过适当的平安响应Response将系统调整到“最平安”和“风险最低”的状态，构成一个动态自适应的综合防范体系。1. 3网络隐患扫描系统的必要性网络隐患扫描产品使用方便，简单高效，能够准确发现网络中各主机、设备存在的网络平安漏洞，并给出详细的描述和解决方案，从根本解决网络平安问题，起着评估整个系统平安的重要作用，是一个完整

9、的平安解决方案中的一个关键局部。让我们来看看现阶段网络上使用最多的平安设备防火墙和入侵检测。为了确保网络的平安使用，研究它们的局限性十分必要。1.1.1 防火墙的局限性防火墙是不同网络或网络平安域之间信息的唯一出入口，能根据我们的平安政策控制(允许、拒绝、监测)出入网络的信息流。我们认为防火墙是必要的，因为它能挡住绝大局部来自外部网络的攻击，但是它也存在很大的局限性：(1)、防火墙不能防范不经过防火墙的攻击(如拨号上网等)。(2)、不能解决来自内部网络的攻击和平安问题。(3)、对效劳器合法开放的端口的攻击大多无法阻止。(4)、无法解决TCP/IP等协议本身的漏洞。(5)、不能防止本身平安漏洞的

10、威胁。防火墙也是一个操作系统，也有着其硬件系统和软件，因此依然有着漏洞。所以其本身也可能受到攻击。一般防火墙都只是在网络层过滤，对应用层数据包的检测较少，特别指出防火墙对内网用户发起的连接根本不加检测，现在的黑客也专门针对这点开发了一系列渗透技术，如端口反弹和Umnel等技术。1.1.2 入侵检测系统的局限性入侵检测系统（IDS）好比网络中不间断的摄像机，通过旁路监听的方式不间断的收取网络数据，判断其中是否含有攻击的企图，通过各种手段向管理员报警、执行响应。不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说入侵检测是网络平安的第二道闸门，是防火墙的必要补充。但是它也存在一定的局限性：1

11、1）、旁路在网络中，容易因网络流量太大和系统资源紧张造成丢包，而漏过检测。现在网络到桌面已经根本上是百兆、甚至千兆，骨干交换机流量IOG以上，而目前绝大局部入侵检测产品还只是百兆、千兆级别，而且千兆级别以上入侵检测价格昂贵。（2）、防御手段存在缺陷。对发现的攻击通常采用TCP重置和防火墙策略。TCP重置：当IDS判断出一个攻击发生和发送TCP重置有一时间段，而这时封包可能已经传送到目标地址，攻击可能已经完成；另外TCP重置只能针对TCP协议，对DNS等UDP协议无效。防火墙策略：可能影响正常业务使用，例如，攻击者用一个大的INTERNET效劳提供商的代理效劳器地址进行欺骗，IDS发现后，发信号

12、到防火墙来阻止该IP地址，此时整个IP都被防火墙过滤了，其它正常访问也无法进行了。（3）、对网管人员要求高。基于签名检测（模式匹配）和协议异常检测，检测精度可能不够，可能造成高误报率，每天可能发出成百上千的虚假报警信息。对警报的分析也对网管人员提出了更高的要求。13.3网络隐患扫描系统的必要性目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统，由于其开发厂商的各种原因（软件开发者设计不完善、编码错误等）存在平安漏洞，这些平安漏洞有可能存在重大平安隐患（例如在极端测试下造成程序溢出，进而让攻击者取得权限）。因此，建立一个完全平安的没有漏洞的系统

13、是不可能的，一个最正确方法是，建立比拟容易实现的平安系统，同时按照一定的平安策略建立相应的平安辅助系统，漏洞扫描器就是这样一类系统。漏洞扫描系统是一种主动检测本地或远程主机系统平安性弱点的程序，采用模仿黑客入侵的手法对目标网络中的工作站、效劳器、数据库等各种系统以及路由器、交换机、防火墙等网络设备可能存在的平安漏洞进行逐项检查，测试该系统上有没有平安漏洞存在，然后将扫描结果向系统管理员提供周密可靠的平安性分析报告，从而让管理人员从扫描出来的平安漏洞报告中了解网络中效劳器提供的各种效劳及这些效劳呈现在网络上的平安漏洞，在系统平安防护中做到有的放矢，及时修补漏洞，从根本上解决网络平安问题，有效地阻

14、止入侵事件的发生。漏洞扫描技术是网络平安防御中的一项重要技术，它的成功应用，在网络平安体系的建设中可以大规模减少平安管理员的负担，有利于保持整个网络平安政策的统一和稳定。虽然亡羊补牢可贵，未雨绸缪才是理想境界。第二章网络隐患扫描简介2.1 网络隐患无处不在信息的应用参军事、科技、文化和商业渗透到当今社会的各个领域，在社会生产、生活中的作用日益显著。因此在任何情况下，必须保证信息的平安和可靠。Internet通过网络共享资源。自Imemet问世以来，资源共享和信息平安一直作为一对矛盾体存在着。计算机网络资源共享的进一步加强随之而来的信息平安问题也日益突出，各种计算机病毒和网上黑客(Hackers

15、)对Internet的攻击越来越剧烈，许多网站遭受破坏的事例不胜枚举。那么，黑客的攻击为什么屡屡得手呢？主要有以下几个原因： 现有网络系统具有内在平安的脆弱性软件业巨头微软的WindoWSXP的sp2去年刚发布没多久，微软的“平安效劳”还没喊响之际，就爆出10多个IE漏洞。因此不断出现的操作系统平安漏洞也给我们的平安带来了很大的隐患。我们举出大家熟知的“震荡波”、“冲击波”等病毒来说说平安漏洞的危害性。震荡波(Sasser)病毒在短短一个星期时间之内就感染了全球1800多万台电脑。它利用的就是微软公布的Lsass漏洞进行传播，可感染Windows2000/XP等操作系统，开启上百个线程去攻击其

16、他网上的用户，造成机器运行缓慢、网络堵塞。“震荡波”病毒在全球带来的损失超过5亿美元。据相关统计，“震荡波”造成的损害一73%需要防毒公司解救中毒的计算机,63%的中毒者工作被影响；30%的人说,为“震荡波”善后花了至少10个小时,而估计处理“震荡波”造成的计算机损害要花9.97亿美元。另外去年爆发的“冲击波”病毒正是利用了RPC接口相关漏洞在网络上发送攻击包，造成企业局域网瘫痪，电脑系统崩溃等情况，无数企业受到损失。 网络和信息系统复杂性的增加使系统脆弱性降低 没有采取正确的平安策略和平安机制 缺乏先进的网络平安技术、工具、手段和产品对网络的管理思想麻痹主要表现在没有重视黑客攻击所造成的严重

17、后果，舍不得投入必要的人力、财力、物力来加强网络平安性。从下面两图可以看出，随着系统复杂性的增加，系统越来越容易受到攻击。攻击者也从传统的黑客高手，变为大多由初学者或自动程序来完成。黑客高手的工作逐步转为发现和公布漏洞，并提供自动攻击漏洞的工具，充当“教父”的脚色。脆弱性程度信息网络系统的复杂性增加2.2扫描技术的开展软件从最初的专门为单个系统编写的一些只具有简单功能的小程序，开展到现在，已经出现了运行在各种操作系统平台上的、具有复杂功能的商业程序。今后的开展趋势有以下几点： 支持CVE(CommonVulnerabilitiesandExposures)国际标准关于漏洞的一个老问题就是在设计

18、扫描程序或应对策略时，不同的厂商对漏洞的称谓也会完全不同。MITRE创立了CVE,将漏洞名称进行标准化，参与的厂商也就顺理成章按照这个标准开发漏洞扫描产品。CVE的URL地址是:/cve.mitre,orgo 软件固化和平安的OS平台由于隐患扫描产品是模拟攻击性的平安工具，对该类产品本身的平安性提出了很高的要求。本身的平安性主要指产品的抗攻击性能，如果产品本身或者软件产品运行平台的平安性无法保证，有可能感染病毒、木马等有害程序，就会对被扫描系统产生危害，影响用户使用的信心。由于软件产品无法彻底杜绝被感染的可能，隐患扫描产品在向硬件化的趋势开展，高档的产品还在FLASH、文件系统、通信接口等方面

19、采用非通用程序，以便彻底杜绝被攻击和感染的可能。 支持分布式扫描目前的用户网络越来越复杂，没有划分VLAM的单一网络越来越少见。多个子网之间一般都有访问限制，有些高平安的网络的子网之间还有防火墙。这些限制会对跨网段的扫描产生影响，使扫描结果不准确。今后的扫描产品必须能够进行分布式的扫描，以便对网络接点进行彻底、全面的检查。 平安评估专家和漏洞的修补效劳由平安扫描程序到平安评估专家系统。最早的平安扫描程序只是简单的把各个扫描测试项的执行结果罗列出来，直接提供应测试者而不对信息进行任何分析处理。而当前较成熟的扫描系统都能够将对单个主机的扫描结果整理，形成报表，能够并对具体漏洞提出一些解决方法，但对

20、网络的状况缺乏一个整体的评估，对网络平安没有系统的解决方案。未来的平安扫描系统，应该不但能够扫描平安漏洞，还能够智能化的协助网络信息系统管理人员评估本网络的平安状况，给出平安建议，成为一个平安评估专家系统。 及时、可靠的漏洞升级升级不仅要求厂家组织平安人员实时跟踪各类平安公告，而且在系统的软件体系结构的设计上也要考虑特殊的地方，保证频繁的升级不影响系统的稳定性。目前的升级模式包括插件和更高级的脚本两种方式。使用插件(Plugin)或者叫做功能模块技术。每个插件都封装一个或者多个漏洞的测试手段，主扫描程序通过调用插件的方法来执行扫描。仅仅是添加新的插件就可以使软件增加新功能，扫描更多漏洞。在插件

21、编写标准公布的情况下，用户或者第三方公司甚至可以自己编写插件来扩充软件的功能。同时这种技术使软件的升级维护都变得相对简单，并具有非常强的扩展性。使用专用脚本语言。这其实就是一种更高级的插件技术，用户可以使用专用脚本语言来扩充软件功能。这些脚本语言语法通常比拟简单易学，往往用十几行代码就可以定制一个简单的测试，为软件添加新的测试项。脚本语言的使用，简化了编写新插件的编程工作，使扩充软件功能的工作变得更加容易、快速。采用脚本的扫描工具的升级不仅及时，而且更可靠. 与平安管理中心集成网络平安需要建立一个综合的防护体系，体系中包含防火墙、防病毒、隐患扫描、入侵检测等产品，将这些产品都纳入统一的平安管理

22、中心管理将大大减少管理员的工作量。要求隐患扫描产品能够方便的集成到平安管理中心中，和防火墙、入侵检测产品进行联动，更好的保障网络平安。 与补丁管理中心集成隐患扫描很好的发现了系统漏洞，提供了漏洞修补方案、补丁下载地址等。但如果手工的为每个客户端安装补丁，对于大型网络将是一个繁重、繁琐的工作，而一旦没有及时修补，又将面临攻击的威胁。补丁管理中心的出现大大方便了这项工作，提供了高效、简便、灵活的补丁分发方案。第三章榕基企业简介榕基企业是国家科技部认定的国家火炬方案重点高新技术企业,国家863方案成果转化基地,是中国软件行业协会的团体会员，也是国家规划布局内的重点软件企业。榕基企业成立于1993年，

23、现以政务信息化、企业信息化和高新技术成果产品转化为主业。十几年来，榕基企业一直以开展民族信息产业、报效国家为己任，先后承建了福建省公安交警全省广域网、福建省电力全省广域网、广东省检验检疫全省广域网等大型广域网建设工程，并对福建省各地市电力公司局域网、郑州市中级人民法院办公局域网、天津石化办公局域网、福州海关园区网等集成工程做了规划和建设，企业为此获得了国家计算机信息系统集成的一级资质认证。自1999年以来，榕基企业便逐步完成了向以产品和效劳为主导方向的转型，先后推出了RJ-eGov政务信息化解决方案、RJ-eFlow办公自动化系统、RJ-iTop网络隐患扫描系统、RJ-easy电子单证系统、R

24、J-NetyoU网络效劳集成系统、RJ-CTl计算机集成系统平台等一批优秀软件和经典解决方案。目前,这些成熟的软件和解决方案正平稳地运行在企业为用户构建的高性能集成系统平台上，并获得了政府机关、电力、公安、司法、质检、海关、医院、金融、电信、石化、军队等行业用户的充分信任与广泛支持。2005年的今天，榕基已成为一个快速开展的高科技民营企业，目前已在北京、上海、深圳、杭州、郑州等全国二十几座城市设立了分公司和办事机构，业务及效劳范围普及全国。准确定位市场需求、精心打造优质产品、尽力提供完善效劳是榕基不变的追求。我们将用智慧创造软件开发的应用典范，为振兴民族信息产业、增强中国企业的全球竞争力而一如

25、既往，上下求索。第四章产品简介4.1 产品概述榕基网络隐患扫描系统严格按照计算机信息系统平安的国家标准、相关行业标准设计、编写、制造。榕基网络隐患扫描系统可以对不同操作系统下的计算机（在可扫描IP范围内）进行漏洞检测。主要用于分析和指出有关网络的平安漏洞及被测系统的薄弱环节，给出详细的检测报告，并针对检测到的网络平安隐患给出相应的修补措施和平安建议。榕基网络隐患扫描系统最终目标是成为加强中国网络信息系统平安功能，提高内部网络平安防护性能和抗破坏能力，检测评估已运行网络的平安性能，为网络系统管理员提供实时平安建议等的主流工具。网络隐患扫描系统作为一种积极主动的平安防护技术，提供了对内部攻击、外部

26、攻击和误操作的实时保护，在网络系统受到危害之前可以提供平安防护解决方案。并可根据用户需求对该系统功能进行升级。4.1.1 产品特性简介特点简要说明863成果产品国家863方案信息平安技术应急工程“网络隐患扫描”工程成果转化产品。领先的漏洞扫描产品线为了满足不同的用户的应用需求，提供手持式、机架式、软件版、增强型四款系列化产品。领先的扫描技术先进的扫描引擎，集合了智能效劳识别、多重效劳检测、脚本依赖、脚本智能调度、信息动态抛出、平安扫描、优化扫描、拒绝效劳脚本顺序扫描、断点恢复等先进技术，确保了扫描的高准确性、高速度。强大的检测漏洞库漏洞按效劳分为22大类别，按风险分为紧急、高、中、低、信息五个

27、级别，。现漏洞库数量己经超过2000。每周至少升级漏洞库一次，每月数量大于20条。支持CVE国际标准基于国际CVE标准建立的平安漏洞库，及时升级与国际标准同步。强大的报表分析可以预定义、自定义和多角度多层次的分析结果文件，提供html、Word、pdf、txt等多种格式；提供行政主管、技术人员和平安专家及自定义报表样式；提供详尽的漏洞描述与漏洞修补建议。支持分布式扫描具备分布式扫描部署能力，完全适应大型和超大型网络。自身高度平安可扫描的IP地址范围被严格锁定和限制；基于平安优化的UNUX系统；系统的分级分层授权；基于SSL的远程管理和扫描。完善的三级效劳体系包括：产品本身（提供详细的解决方案）

28、产品网站（为用户提供周到会员制效劳）、平安专业小组（免费800咨询效劳）。4.1.2 产品外观手持式扫描仪软件版扫描系统机架式扫描效劳器4.2 产品体系结构榕基网络隐患扫描系统主要由用户界面模块、系统调用程序、平安设置模块、报表生成模块、数据库接口模块和软件升级模块组成。行信息，进行扫描线程调度和脚本解释器工作等系统调用程序接受界面模块的指令，将相应的扫描内容转换成可执行的程序段，驱动脚本解释器工作平安设置模块设置平安可扫描的范围，主机是否被检测、扫描级别和检测强度等报表生成模块将检测的结果通过分析和统计后用报表的形式提供应用户数据库接口模块保存历史和当前的扫描检测结果，供用户查询、分析和维

29、护软件升级模块提供扫描解释程序、漏洞库、平安设置模块等升级第五章产品特性5.1 863成果转化产品工程来源国家科技部高技术研究方案（863方案）信息平安技术应急工程“网络隐患扫描”工程的成果转化产品。课题组以黑客入侵防范软件研究获得1999年中国科学院科技进步一等奖以及2000年国家科技进步二等奖。取得国内所有许可证榕基网络隐患扫描系统已经取得了公安部、平安部、解放军和保密局的许可证。5.2 领先的扫描产品线为了满足不同的用户的应用需求，提供手持式、机架式、软件版、增强型四款系列化产品。5.3领先的扫描技术5.3.1 高扫描速度产品采用先进的调度算法和执行引擎，在保证正确率的前提下大幅提高了检

30、测的效率，扫描的速度大大高于其它同类型扫描产品。5.3.2 高准确率榕基网络隐患扫描系统由专业漏洞小组人员确保脚本编写的标准准确，另外我们也采用各项技术使检测的结果更加准确:智能端口识别：能对开放端口运行的效劳进行智能效劳识别,而不是固定地依据默认值去判断，即使WEB效劳运行在67端口也能被正确地检测出来。多重效劳检测：如果系统有两个ftp效劳一个在21端口，一个在28端口，那么我们就会对这两个端口分别进行ftp漏洞检测。也就是说同一个脚本会对这两个端口都检测一遍。脚本依赖：扫描模块会自动根据其逻辑依赖关系执行而不是无目的盲目执行，从而提高了扫描准确性。信息抛出：支持保存扫描脚本中动态抛出的信

31、息，从而获得更多、更准确的信息。扫描一台主机（开放135、139、445、1025端口，允许空连接，guest空口令的情况），能够获取主机的netbios名、主机名、工作组/域名、MAC地址、SID名、用户名列表、弱密码、密码不过期、密码未改变、共享列表、系统效劳列表、注册表完全访问等信息。拒绝效劳脚本顺序扫描：提高准确性、减少误报。断点恢复：在扫描程序运行到一半的时候如果系统意外掉电等，可以通过查看扫描状态进行重新扫描或者继续扫描，如果选择继续扫描的话，前面扫描到的结果会保存下来和后面的结果一起合并生成结果文件。5.3.3 强大的漏洞库全面的漏洞库与即时的更新能力。漏洞库按效劳分为22大类别

32、按风险分为紧急、高、中、低、信息五个级别，基于国际CVE标准建立，漏洞数量超过2000条。每条漏洞都包含详细漏洞描述和可操作性强的解决方案。可通过互联网进行在线升级或通过本地数据包进行本地升级，每周至少升级漏洞库一次,每月数量大于20条。5. 4分布式扫描随着网络规模的逐步庞大、逐步复杂，核心级网络、部门级网络、终端/个人用户级网络的建设，各个网络之间存在着防火墙、交换机等过滤机制，隐患扫描发送的数据包大局部将被这些设备过滤，降低了扫描的时效性和准确性。针对这种分布式的复杂网络，不能依旧采用传统的软件安装方式产品，榕基网络隐患扫描系统手持端产品能够充分发挥自身可移动的优势，能够很好的适应分布

33、式网络扫描。榕基网络隐患扫描系统机架式产品运用B/S架构实现的分布式漏洞扫描与平安评估，它通过分布在网络的多个扫描器（各节点），并在中央扫描器进行集中管理的方式，实现了对大规模网络的实时及定时漏洞扫描和风险评估。55完善的检测报表榕基网络隐患扫描系统采用报表和图形的形式对扫描结果进行分析，可以方便直观地对用户进行平安性能评估和检查。现拥有强大的结果文件分析能力，可以预定义、自定义和多角度多层次的分析结果文件，提供html、Word、pdf、txt等多种格式，并提供行政主管、技术人员、平安专家等预定义报表格式及自定义报表样式。5.1.1 丰富的报表格式与样式5.1.2 扫描目标的漏洞概要信息5.

34、1.3 漏洞类别概要信息5.1.4 详细的漏洞描述与解决方案榕基网络隐患扫描系统提供全中文界面，提供完善的漏洞风险级别、漏洞类别、漏洞描述、漏洞类型、漏洞解决方法及扫描返回信息，并提供有关问题的国际权威机构记录（包括CVE编号支持），以及与厂商补丁相关的链接。漏洞描述与解决方案截图5.6自身高平安性IP地址限定每个扫描系统所能扫描的IP地址范围被严格锁定和限制，并在国家授权机关进行平安备案，杜绝了榕基网络隐患扫描系统被恶意使用的可能。抗攻击设计扫描系统运行的操作系统是经过专门优化的LINUX系统，对操作系统的漏洞进行了全面的修补，并对扫描系统本身进行了各种攻击下的防范测试。多级的平安权限系统有

35、完备的平安设计，防止超越权限操作现象发生；系统分级分层授权，以保证信息的平安和保密；充分考虑在网络、操作系统、数据库、应用等方面的平安性。传输数据的加密采用多种数据加密方法对重要数据进行加密，保证数据的平安读取与传输。不管是扫描脚本还是用户的扫描结果，都以严格加密的形式进行传送。保证用户的评估情况不会泄漏。5. 7完善的三级效劳体系第一级：产品本身每个扫描系统本身都携带有漏洞的解释，根据这些提示，用户可以方便地学习相关知识，并根据CVE编号检索漏洞的相关知识。第二级：产品网站榕基企业为隐患扫描产品专门建立了产品网站，并为用户提供周到的会员制效劳。用户可以使用账户和密码登录产品网站的会员区域，在

36、这里，可以查询到十分详细的漏洞相关知识。每一条漏洞的信息都包括漏洞成因、漏洞危害、漏洞修补建议、修补的操作步骤、相关知识介绍、信息订阅效劳等。通过这些信息的提示，用户可以按照提示一步步地操作，直到解除隐患。第三级：专业平安小组榕基企业的网络平安小组长期从事网络平安的研究，对平安产品和全面的平安方案有丰富的经验，对各种漏洞的成因和修补有较深厚的知识积累。当用户通过前两级效劳仍不能解决问题时,可以通过800免费和产品网站与平安小组直接交流，榕基的平安小组可为用户提供一对一的专业指导和协助，为用户建立严密的平安体系提供支持。第六章系列产品特色5.1 手持式产品便携：手持式产品设计，手掌大小，用户可非

37、常方便的携带接入目标网络进行平安漏洞检测。硬件化技术的实现使网络平安隐患扫描仪的操作更简单、更方便实用和易于推广，非常适合公安、保密、政府等部门进行平安检查和验收。分布式扫描：在分布式部署的网络中，各个网络之间存在着防火墙、交换机等过滤机制的存在，传统隐患扫描器发送的数据包有可能将被这些设备过滤，手持式产品能够充分发挥自身方便移动的优势，能够很好的适应这种分布式网络扫描。使用方便：榕基网络隐患扫描系统软件与硬件紧密结合，触摸笔操作，完全中文和图形化的界面，靓丽的外观工业设计，勾勾点点之间即可确保您的网络平安。自我防护：扫描软件完全固化，并有多种抗攻击的保护措施，可以抵抗其它网络平安软件所不能承

38、受的攻击，使软件自身平安得到更好的保障，以完善之身助您走平安之路。联动效劳：本模块对外提供联动接口，当启动联动效劳后，防火墙、入侵检测等产品可按协议通过本接口调用扫描仪进行扫描。5.2 机架式产品基于B/S模式：用户可通过B/S模式进行使用、管理，浏览器操作，无须安装客户端，管理、使用简单方便。严密灵活的权限管理：可建立各个级别的用户，针对几十个模块分别授权，或授予一个角色。可定义每个用户的允许登录IP和可扫描IP。对象管理：可按部门、操作系统、用途、重要性等不同类型划分设备定义对象组合，使漏洞扫描器能够和企业的网络逻辑拓扑结构相结合，扫描时直接指定对象组合进行扫描，使用和管理都非常方便。同时

39、可根据每个设备的重要性、需要保护程度等定义每个设备的资产分值，该分值用于计算最终的网络风险，从而得出更准确的风险判断。分布式扫描，在超大型网络中部署的扫描器分为中心和节点两个角色，能够跨地域对多个网络同时进行扫描。节点扫描器将扫描数据同步发送到中心扫描器数据库，上层平安管理人员可以查看下层扫描器的扫描结果，也可以给下层扫描器指派任务，以便评估整个网络的平安漏洞情况。使用方便：机架式产品设计，使用户随时随地可以对局域网内的计算机进行平安漏洞检测。用户只须在浏览器上输入该产品的URL地址，登录后就可以进行各种操作。硬件化技术的实现使网络平安隐患扫描系统的操作更简单、更方便实用和易于推广。高度平安：

40、每件产品所能扫描的IP地址范围被严格限定和加密，杜绝了RJ-iTop网络隐患扫机架式产品被恶意使用的可能，有效防止利用RJ-iTop从事危害国家利益、集体利益和公民合法利益的活动。特色功能：可建立一个只有本机扫描权限的用户，公开帐户名、密码给所有员工，那么所有员工可用该帐户登录系统，但只能扫描登录的本机，即平安又方便管理。联动效劳：防火墙、入侵检测等产品可按协议通过本接口调用RJ-iTop扫描器进行扫描。扫描速度：采用并发规那么、并发任务扫描等多项技术，并采用独创的脚本引擎调度算法，在保证准确率的前提下，大大提高的检测的效率。5.3 软件版产品WindoWS安装平台：支持Win2000、Win

41、XP、Win2003操作系统。使用方便：软件版产品设计，使用户随时随地可以对局域网内的计算机进行平安漏洞检测。只需在局域网内的任意主机内安装，就可以进行各种操作。眄ndovs操作界面，使用简单方便。扫描技术：多种独创的脚本引擎调度技术，可以多角度全方位的对目标系统进行快速准确的系统评估。扫描速度：采用并发规那么、并发任务扫描等多项技术，并采用独创的脚本引擎调度算法，在保证准确率的前提下，大大提高的检测的效率。特色功能：管理员扫描（主要是网络系统管理员使用）可通过网络登录到远程网络主机，快速、准确地检测目标系统的平安情况。5.4 增强型产品同时具备机架式产品的强大功能和手持式产品的便携移动，适用

42、于高端用户，胜任大规模复杂网络的隐患扫描、平安评估工作。高性能中心扫描效劳器：配备的高性能中心扫描效劳器扫描速度超过3IP/分钟，让您快速得出网络的平安情况。分布式部署：可在网络中部署多级扫描效劳器，能够跨地域对多个网络同时进行扫描。下级扫描效劳器将扫描数据同步发送到上级扫描效劳器数据库，上层平安管理人员可以查看下层扫描效劳器的扫描结果，也可以给下层扫描效劳器指派任务，以便评估整个网络的平安漏洞情况。超高扫描速度：通过部署高性能的中心扫描效劳器和多个下级效劳器，可使系统到达超过IOIP/分钟的超高扫描速度，让您快速得出整个网络系统的平安情况。便携手持端：同时配备的手持式扫描仪让您随意移动接入任

43、何网络点进行检测，如可用于对下级单位的检查等。统一管理：能够统一调度下级扫描器同时执行扫描、上报结果，向整个网络发布消息、发布补丁等，让您更方便统一的保障整个网络平安。第七章性能指标与产品规格7.1 性能指标7.1.1 漏洞检测类别榕基网络隐患扫描系统将漏洞主要分为以下类别:1.CGl攻击测试2.DNS测试4. FTP测试7. RPC测试10. SSL测试13. Windows 测试16.防火墙测试19.数据库测试22.邮件系统测试5.杂项测试8. SNMP测试11. VPN测试14.打印效劳测试17.后门测试20.网络设备测试6. LDAP测试9. SSH效劳测试12. WEB效劳测试15.

44、注册表测试18.类UNIX测试21.信息获取测试7.1.2扫描速度机架式产品：测试环境：10/100M局域网，默认扫描参数：50脚本并发、15主机并发、平安优化完全扫描1731个脚木、单个脚本60秒超时、扫描典型端口，只开一个任务进行扫描。进行网段扫描160%以上主机在线）,平均每台在线主机扫描时间约2030秒，平均2-31P/分钟。扫描主机数量扫描时间ITO台5分钟10-20台8分钟20-40台18分钟I个C类网段（60%以上主机在线）1.5小时软件版产品：测试环境：10/10OM局域网，P4L6G主机,Win2000操作系统。默认扫描参数：100脚本并发、20主机并发、平安优化完全扫描17

45、31个脚本、单个脚本60秒超时、扫描典型端口，只开一个任务进行扫描。进行网段扫描（60%以上主机在线），平均每台在线主机扫描时间约2030秒，平均23IP/分钟。手持式产品：测试环局域网，默认脚本并发、5安优化完全扫描主机数量扫描时间境：10/100M扫描参数：30主机并发、平扫描1731个ITO台5分钟10-20台9分钟20-40台20分钟1个C类网段（60%以上主机在线）V1.6小时脚本、单个脚本60秒超时、扫描典型端口，只开一个任务进行扫描。进行网段扫描（60%以上主机在线平均每台在线主机扫描时间约6090秒。扫描主机数量扫描时间110台15分钟10-20台30分钟20-40台1小时1个

46、C类网段（60%以上主机在线）4小时7.1.3 占用系统资源软件版产品扫一个C类网段时160%主机在线），内存消耗和CPU占有率很低。这主要是缘于采用了先进脚本引擎调度算法来实现。7.1.4 占用带宽典型工作情况下带宽占用2080KB/S7.2硬件规格规格手持式产品机架式产品系统说明掌上电脑实现，扫描软件固化1Unit,19”标准上架式硬件配置CPU：PXA255400MHz64MBSDRAM内存32MBFLASHROM存储容量嵌入式LinUX操作系统CPU：P42.8GIGB内存250G硬盘4个10/100/1000M自适应网口尺寸57.6亳米x76.82亳米（96亳米对角线）480x300

47、x44mmIU19”可上架平均无故障时间（MTBF）80,00010,0000运行环境工作温度：050摄氏度工作湿度：10%96%非凝露第八章系统应用领域及场合8.1应用领域政府机关网络管理部门“政府上网工程”实施以来，网上泄密问题日益引起重视。为确保国家平安，除了制定严格的保密制度外，还必须采取相应技术手段，才能解决网上泄密问题。应尽快在网络管理系统中安装榕基网络隐患扫描系统，实现对网络平安的自测、自检、自查，发现漏洞隐患随时补救。公安、保密等国家授权的网络平安监察部门公安系统是政府执法部门，其工作直接关系到社会的安定和社会秩序的稳定。公安业务管理信息系统的平安与否，不仅涉及部门内部的工作秩序是否顺畅，也关系到对社会的管理是否始终有效。同时，公安信息系统属涉密网范围，理应尽快配备榕基网络隐患扫描系统，加强网络平安防护工作。国家保密局及下属保密系统，负责国家核心机密的传输、保存等重大任务。同时担负着对各类涉密网建设方案审批及工