一. 攻防威脅的變化

利用安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊的互聯(lián)網(wǎng)安全問題，好像陽光下的陰影，始終伴隨著互聯(lián)網(wǎng)行業(yè)的應(yīng)用發(fā)展。近些年，網(wǎng)絡(luò)安全威脅的形式也出現(xiàn)了不同的變化，攻擊方式從單個(gè)興趣愛好者隨意下載的簡單工具攻擊，向有組織的專業(yè)技術(shù)人員專門編寫的攻擊程序轉(zhuǎn)變，攻擊目的從證明個(gè)人技術(shù)實(shí)力向商業(yè)或國家信息竊取轉(zhuǎn)變。

如圖 1.1，2013-2017 年，國家信息安全漏洞共享平臺(tái)（CNVD）所收錄的安全漏洞數(shù)量持續(xù)走高，CNVD 收錄的安全漏洞數(shù)量年平均增長率為 21.6%，但 2017 年較 2016 年收錄的安全漏洞數(shù)量增長 47.4%，達(dá)到 15955 個(gè)，收錄的安全漏洞數(shù)量達(dá)到歷史新高。2018 年趨于平緩，較 2017 年降低 12.4%。日益增多的漏洞數(shù)量，給安全防護(hù)帶來了巨大的挑戰(zhàn)。

新攻擊方式的變化，依然會(huì)利用各種漏洞，比如：Google 極光攻擊事件中被利用的 IE 瀏覽器溢出漏洞，Shady RAT 攻擊事件中被利用的 EXCEL 程序的 FEATHEADER 遠(yuǎn)程代碼執(zhí)行漏洞。其實(shí)攻擊者攻擊過程并非都會(huì)利用 0day 漏洞，比如 FEATHEADER 遠(yuǎn)程代碼執(zhí)行漏洞，與此相反，大多數(shù)攻擊都是利用的已知漏洞。對于攻擊者來說，IT 系統(tǒng)的方方面面都存在脆弱性，這些方面包括常見的操作系統(tǒng)漏洞、應(yīng)用系統(tǒng)漏洞、弱口令，也包括容易被忽略的錯(cuò)誤安全配置問題，以及違反最小化原則開放的不必要的賬號(hào)、服務(wù)、端口等。

在新攻擊威脅已經(jīng)轉(zhuǎn)變的情況下，網(wǎng)絡(luò)安全管理人員仍然在用傳統(tǒng)的漏洞掃描工具，每季度或半年，僅僅進(jìn)行網(wǎng)絡(luò)系統(tǒng)漏洞檢查，無法真正達(dá)到通過安全檢查事先修補(bǔ)網(wǎng)絡(luò)安全脆弱性的目的。網(wǎng)絡(luò)安全管理人員需要對網(wǎng)絡(luò)安全脆弱性進(jìn)行全方位的檢查，對存在的安全脆弱性問題一一修補(bǔ)，并保證修補(bǔ)的正確完成。這個(gè)過程的工作極為繁瑣，傳統(tǒng)的漏洞掃描產(chǎn)品從脆弱性檢查覆蓋程度，到分析報(bào)告對管理人員幫助的有效性方面，已經(jīng)無法勝任。

二. 環(huán)境變化帶來的問題

隨著 IT 建設(shè)的發(fā)展，很多政府機(jī)構(gòu)及大中型企業(yè)，都建立了跨地區(qū)的辦公或業(yè)務(wù)網(wǎng)絡(luò)，系統(tǒng)安全管理工作由不同地區(qū)的安全運(yùn)維人員承擔(dān)，總部集中監(jiān)管。按照安全掃描原則，漏洞掃描產(chǎn)品一般被部署到離掃描目標(biāo)最近的位置，這就形成了漏洞掃描產(chǎn)品分布式部署的要求。

對 IT 系統(tǒng)來說，網(wǎng)絡(luò)中每個(gè)點(diǎn)的安全情況都會(huì)對整個(gè) IT 系統(tǒng)造成威脅，運(yùn)維人員不但要關(guān)注某個(gè)地區(qū)的安全情況，還需要關(guān)注整個(gè) IT 系統(tǒng)的安全風(fēng)險(xiǎn)情況。這要求有相應(yīng)的漏洞管理平臺(tái)對整個(gè)網(wǎng)絡(luò)中的漏洞掃描產(chǎn)品進(jìn)行集中管理，收集信息，匯總分析，讓運(yùn)維人員掌握整體網(wǎng)絡(luò)安全狀況。

展開全文

另外，虛擬化系統(tǒng)也已經(jīng)在各個(gè)行業(yè)得到了廣泛應(yīng)用，IPv6 網(wǎng)絡(luò)也將實(shí)現(xiàn)商業(yè)化，新技術(shù)的應(yīng)用帶來了新的安全威脅，要求漏洞掃描產(chǎn)品能夠適應(yīng)新的的環(huán)境，實(shí)現(xiàn)完整的系統(tǒng)脆弱性掃描。

三. 新一代漏洞管理產(chǎn)品必備特性

攻防威脅的轉(zhuǎn)變和系統(tǒng)環(huán)境的變化，要求漏洞掃描產(chǎn)品能夠及時(shí)應(yīng)對這些變化，為系統(tǒng)安全脆弱性評(píng)估提供有力手段，新一代的漏洞管理產(chǎn)品應(yīng)該具備以下特性：

◆ 能夠全面發(fā)現(xiàn)信息系統(tǒng)存在的各種脆弱性問題，包括安全漏洞、安全配置問題、應(yīng)用系統(tǒng)安全漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不必要開放的賬號(hào)、服務(wù)、端口，形成整體安全風(fēng)險(xiǎn)報(bào)告

◆ 能夠快速定位風(fēng)險(xiǎn)類型、區(qū)域、嚴(yán)重程度，直觀展示安全風(fēng)險(xiǎn)

◆ 能夠結(jié)合安全管理制度，支持安全風(fēng)險(xiǎn)預(yù)警、檢查、分級(jí)管理、修復(fù)、審計(jì)流程，并監(jiān)督流程的執(zhí)行

◆ 能夠提供多種靈活部署方式，適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境下的部署，并盡量控制降低安全建設(shè)成本

◆ 能夠在虛擬化環(huán)境、IPv6 環(huán)境中部署和檢測其脆弱性

四. 綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)

綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)（NSFOCUS Remote Security Assessment System 簡稱：NSFOCUS RSAS）是綠盟科技結(jié)合多年的漏洞挖掘和安全服務(wù)實(shí)踐經(jīng)驗(yàn)，自主研發(fā)的新一代漏洞管理產(chǎn)品，它高效、全方位的檢測網(wǎng)絡(luò)中的各類脆弱性風(fēng)險(xiǎn)，提供專業(yè)、有效的安全分析和修補(bǔ)建議，并貼合安全管理流程對修補(bǔ)效果進(jìn)行審計(jì)，最大程度減小受攻擊面，是您身邊專業(yè)的“漏洞管理專家”。

◆ 全方位系統(tǒng)脆弱性發(fā)現(xiàn)：全面發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞、安全配置問題、應(yīng)用系統(tǒng)安全漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不必要開放的賬號(hào)、服務(wù)、端口，形成整體安全風(fēng)險(xiǎn)報(bào)告。

◆ 從海量數(shù)據(jù)中快速定位風(fēng)險(xiǎn)：提供儀表盤報(bào)告和分析方式，在大規(guī)模安全檢查后，快速定位風(fēng)險(xiǎn)類型、區(qū)域、嚴(yán)重程度，根據(jù)資產(chǎn)重要性進(jìn)行排序，可以從儀表盤報(bào)告直接定

位到具體主機(jī)具體漏洞。

◆ 融入并促進(jìn)安全管理流程：安全管理不只是技術(shù)，更重要的是通過流程制度對安全脆弱性風(fēng)險(xiǎn)進(jìn)行控制，產(chǎn)品結(jié)合安全管理制度，支持安全風(fēng)險(xiǎn)預(yù)警、檢查、分級(jí)管理、修復(fù)、審計(jì)流程，并監(jiān)督流程的執(zhí)行。

◆ 靈活的部署方案：支持單機(jī)單網(wǎng)絡(luò)、單機(jī)多網(wǎng)絡(luò)、分布式部署等多種接入方式，靈活適應(yīng)各種網(wǎng)絡(luò)拓?fù)洵h(huán)境，降低成本，便于擴(kuò)展。支持通過虛擬化鏡像方式在虛擬化環(huán)境下直接部署，支持 IPv6 網(wǎng)絡(luò)環(huán)境下的部署和漏洞掃描。

4.1 產(chǎn)品體系結(jié)構(gòu)

NSFOCUS RSAS V6.0 采用模塊化設(shè)計(jì)，內(nèi)部分為基礎(chǔ)平臺(tái)層、系統(tǒng)服務(wù)層、系統(tǒng)核心層、系統(tǒng)接入層，每層內(nèi)部劃分不同的功能模塊，整體工作架構(gòu)如圖 4.1 所示。

圖 4.1 NSFOCUS RSAS 整體架構(gòu)圖

4.1.1 基礎(chǔ)平臺(tái)層功能

基礎(chǔ)平臺(tái)包含專用硬件平臺(tái)和基礎(chǔ)軟件平臺(tái)。

專用硬件平臺(tái)包含五款綠盟科技基礎(chǔ)硬件平臺(tái)，分別對應(yīng)便攜型號(hào)、精簡型號(hào)、標(biāo)準(zhǔn)型號(hào)、以及企業(yè)版型號(hào)。

基礎(chǔ)軟件平臺(tái)包含了綠盟科技定制操作系統(tǒng)、文件系統(tǒng)、硬盤加密解密、應(yīng)用程序加密解密、輸入輸出加密解密、IPv4/IPv6 網(wǎng)絡(luò)服務(wù)、內(nèi)置數(shù)據(jù)庫、Web 服務(wù)、程序運(yùn)行環(huán)境等功能。

4.1.2 系統(tǒng)服務(wù)層功能

系統(tǒng)服務(wù)層包含數(shù)據(jù)處理引擎和系統(tǒng)服務(wù)引擎。

數(shù)據(jù)處理引擎是系統(tǒng)內(nèi)部的數(shù)據(jù)接口，提供了數(shù)據(jù)庫訪問、數(shù)據(jù)緩存、數(shù)據(jù)同步等功能。

數(shù)據(jù)處理引擎屏蔽了數(shù)據(jù)庫系統(tǒng)操作的細(xì)節(jié)，減少數(shù)據(jù)庫的連接，優(yōu)化數(shù)據(jù)庫的訪問，緩存常用和計(jì)算復(fù)雜的數(shù)據(jù)，集中處理數(shù)據(jù)的邏輯，降低了其他功能模塊的維護(hù)工作量。

系統(tǒng)服務(wù)引擎是系統(tǒng)內(nèi)部的功能接口，提供了任務(wù)數(shù)據(jù)導(dǎo)入導(dǎo)出等功能。系統(tǒng)服務(wù)引擎解耦了前臺(tái)操作和后臺(tái)操作，后臺(tái)功能以特定的權(quán)限運(yùn)行，增加了系統(tǒng)的安全性。

4.1.3 系統(tǒng)核心層功能

系統(tǒng)核心層是產(chǎn)品的核心，提供最具競爭力的功能，包含主機(jī)發(fā)現(xiàn)、操作系統(tǒng)識(shí)別、服務(wù)識(shí)別、弱口令檢測、漏洞掃描、配置核查、漏洞驗(yàn)證等，有較多可擴(kuò)展的模塊和插件。

報(bào)表引擎是報(bào)表展示的核心處理模塊，能夠提供 HTML、WORD、EXCEL、PDF、XML等多種報(bào)表格式。

調(diào)度引擎是掃描工作的協(xié)調(diào)中心，根據(jù)用戶操作的不同可能有立即執(zhí)行的任務(wù)、定時(shí)執(zhí)行的任務(wù)、周期執(zhí)行的任務(wù)等，檢測出任務(wù)的類型和優(yōu)先級(jí)，進(jìn)行漏洞掃描或者配置檢查、口令猜測。

狀態(tài)引擎是系統(tǒng)狀態(tài)的協(xié)調(diào)中心，主要包含系統(tǒng)資源狀態(tài)信息、系統(tǒng)的授權(quán)證書信息、BDB 配置項(xiàng)、任務(wù)執(zhí)行進(jìn)度信息、升級(jí)進(jìn)度信息等。

證書系統(tǒng)提供了產(chǎn)品可授權(quán)使用的信息，包含購買用戶、設(shè)備 HASH 值、授權(quán) IP 數(shù)、授權(quán)使用模塊、授權(quán)起止信息等。

升級(jí)系統(tǒng)提供了產(chǎn)品更新的能力，為掃描插件更新、產(chǎn)品功能更新、產(chǎn)品反饋修改等提供了可能。

4.1.4 系統(tǒng)接入層功能

系統(tǒng)接入層包含了用戶通過瀏覽器訪問 Web 頁面、通過串口訪問控制臺(tái)、通過數(shù)據(jù)接口進(jìn)行數(shù)據(jù)交互等方式，其中數(shù)據(jù)接口包含第三方平臺(tái)管理數(shù)據(jù)接口、SNMP Trap。

4.2 產(chǎn)品特色

4.2.1 全面發(fā)現(xiàn)系統(tǒng)漏洞、弱口令、配置隱患以及 Web 應(yīng)用漏洞

對于攻擊者來說，IT 系統(tǒng)的方方面面都存在脆弱性，這些方面包括常見的操作系統(tǒng)漏洞、應(yīng)用系統(tǒng)漏洞、弱口令，也包括容易被忽略的錯(cuò)誤安全配置問題，以及違反最小化原則開放的不必要的賬號(hào)、服務(wù)、端口等。

綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)能夠全方位檢測 IT 系統(tǒng)存在的脆弱性，發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞、安全配置問題、應(yīng)用系統(tǒng)安全漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不必要開放的

賬號(hào)、服務(wù)、端口，形成整體安全風(fēng)險(xiǎn)報(bào)告，幫助安全管理人員先于攻擊者發(fā)現(xiàn)安全問題，及時(shí)進(jìn)行修補(bǔ)。

4.2.2 容器鏡像部署前安全評(píng)估能力

容器技術(shù)在當(dāng)前環(huán)境中應(yīng)用越來越廣泛，然而目前大部分由公共鏡像倉庫提供的容器鏡像均存在中危甚至高危的漏洞，另一方面人們也往往容易忽視容器鏡像在部署前所存在安全問題，導(dǎo)致部署完成后投入大量的資源去解決本應(yīng)在部署前解決的安全問題。

綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)能夠?qū)θ萜麋R像進(jìn)行漏洞掃描以及配置核查，在容器鏡像部署前發(fā)現(xiàn)容器鏡像存在的漏洞及配置安全問題，以便安全管理員盡早發(fā)現(xiàn)容器鏡像存在的安全問題，控制問題鏡像的傳播范圍并制定標(biāo)準(zhǔn)應(yīng)對措施。

4.2.3 風(fēng)險(xiǎn)統(tǒng)一分析

目前市場上有很多獨(dú)立的漏洞掃描、配置檢查、Web 應(yīng)用掃描產(chǎn)品，對信息系統(tǒng)進(jìn)行安全檢查后，分別得到不同的檢查報(bào)告，互相之間沒有聯(lián)系，實(shí)際上不同脆弱性的掃描結(jié)果都從不同方面反映網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)狀態(tài)，要了解信息系統(tǒng)總體安全風(fēng)險(xiǎn)狀況，需要對脆弱性的所有方面統(tǒng)一進(jìn)行分析和評(píng)估。

綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)支持全方位的安全漏洞、安全配置、應(yīng)用系統(tǒng)安全漏洞掃描，通過綠盟科技專利安全風(fēng)險(xiǎn)計(jì)算方法，對網(wǎng)絡(luò)系統(tǒng)中多個(gè)方面的安全脆弱性統(tǒng)一進(jìn)行分析和風(fēng)險(xiǎn)評(píng)估，給出總體安全狀態(tài)評(píng)價(jià)，全面掌握信息系統(tǒng)安全風(fēng)險(xiǎn)。

4.2.4 靈活的部署方案

業(yè)務(wù)系統(tǒng)的多樣性，決定了 IT 網(wǎng)絡(luò)建設(shè)環(huán)境不盡相同，對于脆弱性管理產(chǎn)品來講，沒有靈活的部署方案適應(yīng)多種網(wǎng)絡(luò)環(huán)境，就意味著有些網(wǎng)絡(luò)無法接入或者建設(shè)成本極大增加。

綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)提供了多種靈活的部署方式，能夠滿足復(fù)雜的網(wǎng)絡(luò)環(huán)境下的部署，并且優(yōu)先應(yīng)用輕量級(jí)部署方案，最大程度降低安全建設(shè)成本。綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)支持單機(jī)單網(wǎng)絡(luò)、單機(jī)多網(wǎng)絡(luò)、分布式部署等多種接入方式，靈活適應(yīng)各種網(wǎng)絡(luò)拓?fù)洵h(huán)境，便于擴(kuò)展。

另外，考慮到虛擬化和 IPv6 網(wǎng)絡(luò)的逐步應(yīng)用，綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)支持通過虛擬化鏡像方式在虛擬化環(huán)境下直接部署，也支持 IPv6 網(wǎng)絡(luò)環(huán)境下的部署和漏洞掃描。

4.2.5 獨(dú)創(chuàng)便攜工控設(shè)備，隨時(shí)監(jiān)督檢查

安全管理體系中，定期或不定期的現(xiàn)場安全監(jiān)督檢查是必不可少的重要環(huán)節(jié)，安全檢查工具是否便攜，成為監(jiān)督檢查人員除了性能之外的重要考慮因素。

綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)獨(dú)創(chuàng)便攜式工控設(shè)備，小巧輕便，普通筆記本包即可攜帶，在保證快速安全脆弱性掃描的基礎(chǔ)上，方便攜帶進(jìn)行現(xiàn)場監(jiān)督檢查，實(shí)現(xiàn)了性能和便攜要求的和諧統(tǒng)一。

4.2.6 結(jié)合資產(chǎn)從海量數(shù)據(jù)快速定位風(fēng)險(xiǎn)

IT 系統(tǒng)規(guī)模越來越大，資產(chǎn)數(shù)量、漏洞數(shù)量、更多的脆弱性問題越來越多，匯總成大量的風(fēng)險(xiǎn)數(shù)據(jù)，傳統(tǒng)的關(guān)注掃描漏洞、補(bǔ)丁修補(bǔ)的安全管理工作方式會(huì)使安全管理人員疲于應(yīng)付，又不能保證對重要資產(chǎn)的及時(shí)修補(bǔ)。

綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)在上線后，首先盡量收集 IT 系統(tǒng)環(huán)境信息，建立起 IT 資產(chǎn)關(guān)系列表。準(zhǔn)備工作完成后，系統(tǒng)基于資產(chǎn)信息進(jìn)行脆弱性掃描和分析報(bào)告。綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)脆弱性掃描分析結(jié)果以儀表盤方式展示，從風(fēng)險(xiǎn)發(fā)生區(qū)域、類型、嚴(yán)重程度進(jìn)行不同維度的分類分析報(bào)告，用戶可以全局掌握安全風(fēng)險(xiǎn)，關(guān)注重點(diǎn)區(qū)域、重點(diǎn)資產(chǎn)，對嚴(yán)重問題優(yōu)先修補(bǔ)。對于需要定位主機(jī)安全脆弱性的安全維護(hù)人員，通過直接點(diǎn)擊儀表盤風(fēng)險(xiǎn)數(shù)據(jù)，可以逐級(jí)定位風(fēng)險(xiǎn)，直至定位到具體主機(jī)具體漏洞。綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)也提供了強(qiáng)大的搜索功能，可以根據(jù)資產(chǎn)范圍、風(fēng)險(xiǎn)程度等條件搜索定位風(fēng)險(xiǎn)。

4.2.7 融入并促進(jìn)安全管理流程

安全管理不只是技術(shù)，更重要的是通過流程制度對安全脆弱性風(fēng)險(xiǎn)進(jìn)行控制，很多公司制定了安全流程制度，但仍然有安全事故發(fā)生，人員對流程制度的執(zhí)行起到關(guān)鍵作用，如何融入管理流程，并促進(jìn)流程的執(zhí)行是安全脆弱性管理產(chǎn)品需要解決的問題。

安全管理流程制度一般包括預(yù)警、檢測、分析管理、修補(bǔ)、審計(jì)等幾個(gè)環(huán)節(jié)，結(jié)合綠盟科技 NSFOCUS 安全研究團(tuán)隊(duì)的工作，綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)能夠參與安全流程中的預(yù)警、檢測、分析管理、審計(jì)環(huán)節(jié)，并通過事件告警督促安全管理人員進(jìn)行風(fēng)險(xiǎn)修補(bǔ)。

4.2.8 識(shí)別非標(biāo)準(zhǔn)端口，準(zhǔn)確掃描服務(wù)漏洞

在 IT 系統(tǒng)安全管理中，經(jīng)常會(huì)遇到由于業(yè)務(wù)需要而改變默認(rèn)應(yīng)用服務(wù)端口的情況，改變協(xié)議默認(rèn)端口能夠規(guī)避業(yè)務(wù)沖突、減少設(shè)備投入、充分利用資源，但某種協(xié)議在非標(biāo)準(zhǔn)端口上如何識(shí)別和掃描也成為安全管理產(chǎn)品需要解決的問題。

綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)應(yīng)用先進(jìn)的非標(biāo)準(zhǔn)端口識(shí)別技術(shù)、以及豐富的協(xié)議指紋庫，能夠快速準(zhǔn)確的識(shí)別非標(biāo)準(zhǔn)端口上的應(yīng)用服務(wù)類型，并進(jìn)一步進(jìn)行漏洞檢測，極大的避免了掃描過程 中的漏報(bào)和誤報(bào)。

4.2.9 豐富的漏洞、配置知識(shí)庫

綠盟科技 NSFOCUS 安全小組，有多位專職的研究員進(jìn)行漏洞跟蹤和漏洞前瞻性研究，到目前為止已經(jīng)獨(dú)立發(fā)現(xiàn)了 200 余個(gè)關(guān)于常見操作系統(tǒng)、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備的漏洞，并且為國際上的知名網(wǎng)絡(luò)安全廠商提供相關(guān)漏洞的規(guī)則支持。NSFOCUS 安全小組負(fù)責(zé) NSFOCUS RSAS 的漏洞知識(shí)庫和檢測規(guī)則的維護(hù)，除定期的每兩周的升級(jí)外，重大漏洞的升級(jí)在全球首次發(fā)現(xiàn)后兩天內(nèi)完成。

依靠專業(yè)的 NSFOCUS 安全小組的研究積累，NSFOCUS RSAS 產(chǎn)品知識(shí)庫已經(jīng)有超過16 萬條系統(tǒng)漏洞信息，涵蓋所有主流基礎(chǔ)系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備等網(wǎng)元對象；知識(shí)庫中還提供 9 大類 40 多種產(chǎn)品上百個(gè)版本的系統(tǒng)的配置檢查庫，提供綠盟科技作為專業(yè)安全廠商的加固修補(bǔ)建議，以及多個(gè)行業(yè)的安全配置檢查標(biāo)準(zhǔn)。

4.3 典型應(yīng)用方式

4.3.1 監(jiān)督檢查或小規(guī)模網(wǎng)絡(luò)安全運(yùn)維

小規(guī)模網(wǎng)絡(luò)下單獨(dú)部署漏洞掃描產(chǎn)品，完成全部網(wǎng)絡(luò)的安全檢查，是傳統(tǒng)使用方法。綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)可以部署應(yīng)用在小規(guī)模網(wǎng)絡(luò)安全運(yùn)維環(huán)境中，另外，針對需要攜帶設(shè)備到現(xiàn)場的監(jiān)督檢查使用要求，提供了便攜式工業(yè)硬件的 RSAS NX3-P 型號(hào)以及 RSAS NX3-A型號(hào)。使用一套綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)，通過簡單部署即可全面檢查業(yè)務(wù)系統(tǒng)的各種安全脆弱性問題。

4.3.2 中小規(guī)模多子網(wǎng)安全運(yùn)維

對于中小企業(yè)，網(wǎng)絡(luò)規(guī)模不大，但一般會(huì)劃分為多個(gè)業(yè)務(wù)子網(wǎng)，每個(gè)子網(wǎng)都分別部署漏洞管理系統(tǒng)成本過高，而要求子網(wǎng)防火墻開放漏洞管理設(shè)備的訪問權(quán)限，又帶來安全風(fēng)險(xiǎn)。

綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)提供多條鏈路掃描方式，系統(tǒng)提供多個(gè)掃描口，每個(gè)掃描口可以通過配置接入不同子網(wǎng)，無需防火墻單獨(dú)開放規(guī)則，節(jié)約成本的同時(shí)也避免了風(fēng)險(xiǎn)。

4.3.3 大規(guī)?？绲貐^(qū)網(wǎng)絡(luò)安全運(yùn)維

在大中型企業(yè)中，通常是大規(guī)模跨地區(qū)的網(wǎng)絡(luò)，漏洞管理產(chǎn)品分布式部署在各地區(qū)，在總部進(jìn)行集中管理，通過綠盟威脅和漏洞管理平臺(tái)（TVM）或綠盟企業(yè)安全中心（ESPC），實(shí)現(xiàn)系統(tǒng)的分布式部署能力。大型企業(yè)中通常網(wǎng)絡(luò)環(huán)境復(fù)雜，上述綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)多鏈路掃描也可能會(huì)混合應(yīng)用在大規(guī)模部署環(huán)境中。

五. 結(jié)論

每年都有數(shù)以千計(jì)的網(wǎng)絡(luò)安全漏洞被發(fā)現(xiàn)和公布，再加上攻擊者手段的不斷變化，用戶的網(wǎng)絡(luò)安全狀況也隨著被公布安全漏洞的增加而日益嚴(yán)峻。因此，安全評(píng)估對于絕大多數(shù)用戶都是不容忽視的，用戶必須比攻擊者更早掌握自己網(wǎng)絡(luò)安全漏洞并且做好適當(dāng)?shù)男扪a(bǔ)，才能夠有效地預(yù)防入侵事件的發(fā)生。