让网络空间更有序
发布日期:2021/11/03文章来源:永利皇宫
随着网络当中资产类型的增加,相关的安全漏洞种类也在不断变多,安全风险的治理难度也在不断增加。不论在真实的网络攻击还是在攻防演练当中,致命的问题往往出现在暴露面风险当中,成为攻击者利用的主要途径。近年来频繁爆出的Struts2漏洞、WebLogic远程代码执行漏洞、Shiro反序列化漏洞等等,其所影响的框架或组件利用率很高,因此失陷后伴随的影响面也非常大,每次都可能带来大量损失。
根据CNCERT对2021年上半年我国互联网网络安全监测数据分析报告中的统计,国家信息安全漏洞共享平台(CNVD)收录通用型安全漏洞 13,083 个,同比增长 18.2%。其中高危漏洞收录数量为3,719 个, “零日”漏洞收录数量为7,107 个,受影响的是应用程序、Web应用和操作系统等。
背景需求
某农商银行经过多年来的信息化发展,网银、电子银行等业务平台大量对互联网开放,对整个信息安全的管理和控制都提出了更高的要求。银行对漏洞风险管理格外重视,组建了一支内部渗透测试团队,在系统开发、上线与运行期间进行同步安全检测与跟踪,因此需要一套综合高效的漏洞检查方案。永利皇宫为客户制定了一套资产与脆弱性风险管理解决方案,基于资产梳理和漏洞管理的思想出发,协助客户进行日常的安全巡检与管理工作。
建设方案
检查和基线核查功能于一体,可以针对网站、信息系统、操作系统、数据库、中间件、常用软件、应用系统、虚拟化系统、网络设备、安全设备和物联网设备等各种网络对象进行漏洞风险扫描,并支持基于内置和用户自定义的弱口令扫描检查,同时还可以结合系统基线、行业基线和等保基线进行配置合规检查,提供多维度的全面风险检查能力。另外,系统可以从资产和漏洞等维度出发,对整体脆弱性风险进行威胁等级评价、漏洞验证、修复指导和管理跟踪,为安全管理人员提供可靠的支撑平台。
针对农商行客户的安全检查需求,需要同时关注总行、各分行及营业网点的安全风险情况,因此针对不同的网络规模与环境,方案选用了三种形态的一体化漏洞扫描系统来分别应用。
◆ 针对总行环境,在安全管理区域部署标准的机架式设备,针对DMZ区域、办公区域和服务器区域等不同安全域的设备与信息系统进行安全检查;
◆ 针对分行等各二、三级单位,利用SOHO形态的设备,选择灵活的部署位置快速接入网络,实现高效的安全检查;
◆ 对于部分无法部署固定设备的营业网点,可以采用便携式形态设备即插即用,进行灵活的移动安全检查,简化设备的实施方式,减少网络资源的消耗。
方案优势
◆ 全面的风险检查类型
一体化漏洞扫描系统集系统扫描、Web扫描、数据库扫描、弱口令扫描和基线检查能力于一体,通过单台系统即可提供全面的脆弱性风险检查与评估方案。
◆ 丰富的漏洞库资源
一体化漏洞扫描系统内置了丰富的漏洞库资源,可覆盖全面的资产类型,并兼容CVE、CNCVE、CNNVD、CNVD、CVSS等多种漏洞标准,同时针对爆发的0day漏洞在24小时内提供响应,为漏洞管理工作提供了可靠支撑。
◆ 灵活的场景适应能力
一体化漏洞扫描系统包含了便携式、桌面式、机架式和虚拟化等多种规格形态,可以根据不同的网络和需求场景灵活选择,提升了场景的适应性。
方案价值
◆ 提升对热点漏洞的监控能力
方案可以帮助客户做到对热点漏洞的跟踪,通过及时的漏洞库更新和常态化的风险渗透测试,可以快速进行新增风险的定位与影响范围定损,及时制定相应的修复与整改方案,降低生产损失。
◆ 增强整体的安全管理能力
方案集成了资产识别、扫描检测、漏洞验证、修复建议和跟踪管理等一系列安全模块,提供了从发现到验证再到修复跟踪的闭环管理能力,可以很大程度上减轻一线运维人员的工作压力,提高安全管理工作的效率。同时,方案提供了资产和漏洞两种脆弱性管理的维度,方便运维人员从重点资产和热点漏洞两个方向进行风险跟踪,厘清暴露面风险。