绿盟远程安全评估系统安全基线管理系列产品白皮书

绿盟远程安全评估系统

安全基线管理系列

产品白皮书

2011 绿盟科技

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

一. 脆弱性的危害 . ................................................................................................................................ 1

1.1 漏洞危害越来越严重 . ................................................................................................................. 1

1.2 配置错误频出，合规检查困难................................................................................................... 2

1.3 不必要进程、端口带来的风险................................................................................................... 3

二. 信息安全主管们面临的问题 .......................................................................................................... 3

2.1 安全漏洞管理的现状 . ................................................................................................................. 3

2.2 运维工作中的烦恼 ..................................................................................................................... 4

2.3 思考安全工作的需求 . ................................................................................................................. 4

三. 绿盟基于基线的安全管理工具 ...................................................................................................... 5

3.1 建立安全基线 ............................................................................................................................. 6

3.1.1 安全配置 ............................................................................................................................. 6

3.1.2 安全漏洞 ............................................................................................................................. 7

3.1.3 重要信息 ............................................................................................................................. 7

3.2 使用安全基线自动化风险控制................................................................................................... 7

. .................................................................................................................................... 8 3.3 产品特色

3.3.1 基于实践的安全基线管理及展示........................................................................................ 8

3.3.2 基于用户行为模式的管理架构 ........................................................................................... 8

3.3.3 权威、完备的基线知识库 . .................................................................................................. 9

3.3.4 高效、智能的弱点识别技术 ............................................................................................... 9

. ......................................................................................... 10 3.3.5 集成专业的Web 应用扫描模块

3.3.6 多维、细粒度的统计分析 . ................................................................................................ 11

. .................................................................................................................................. 12 3.4 典型应用

3.4.1 部署方式 ........................................................................................................................... 12

3.4.2 应用场景 ........................................................................................................................... 14

. .................................................................................................................................. 16 3.5 产品价值

3.5.1 安全基线模型助力全面掌控信息系统风险状况 . .............................................................. 16

3.5.2 为运维人员提高工作效率 . ................................................................................................ 17

3.5.3 为主管领导洞察全局 ........................................................................................................ 17

四. 结论 . ............................................................................................................................................. 17

一. 脆弱性的危害

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统，在计算机安全领域，安全漏洞（Security Hole）通常又称作脆弱性（Vulnerability ）。其实这是一个概括性的描述，很多专业人员给出的定义都不同。

从技术角度而言，漏洞的存在主要是因为：

◆ 客观上技术实现

⏹ 技术发展的局限，软件或协议设计、实现时无法完全避免逻辑错误，使其存在

漏洞。

⏹ 环境的变化，使软件在异常状态下的不正确处理，例如，没有进行数据内容和

大小检查，没有进行成功/失败检查，不能正常处理资源耗尽的情况。

◆ 主观上失误或疏忽

⏹ 系统和网络错误配置，如：系统的配置文件不当，口令选择失误都会被恶意破

坏者所利用。

⏹ 缺乏高效有序的管理手段

⏹ 人员安全意识不足。

专业全面的漏洞检查软件应该不但要能发现操作系统、应用服务软件等本身存在的漏洞，还应该能发现管理员疏忽造成的系统配置错误。另外，由于大多数软件和服务都存在缺陷、薄弱点和安全漏洞，运行不必要的服务、进程对系统安全带来更大的风险隐患，而且系统、服务、进程开放的端口，重要的文件等都是决定系统安全的重要因素。

1.1 漏洞危害越来越严重

⏹ 2009年6月9日，微软发布补丁修复31个位于Windows 、Office 和数据中心软件中

的漏洞，这是微软公司当时单日发布补丁最多的一次。

⏹ 2009年10月14日凌晨，微软向全球用户发布10月安全更新，一次性提供了13个

安全补丁，补丁数量之多，刷新了此前最高为12个的历史纪录。8个补丁的安全等级为最高的“严重”级别，5个为“重要”等级，并首次修复了Windows7操作系统的5个安全漏洞，其中一个为“重要”等级。

⏹ 2010年2月9日微软针对26个安全漏洞发布13个安全补丁，4年来微软公司在2

月份发布安全补丁数量最多的一次。

⏹ 2010年6月8日微软会发布十个补丁修复34个漏洞，主要涉及WINDOWS 、OFFICE 、

和IE 。

⏹ 2010年8月11日凌晨，微软8月安全更新一举发布14个安全公告，用来修复

Windows 、IE 浏览器以及Office 等软件中的34个安全漏洞，使微软的月度补丁数量创下了历史最高值。

微软产品漏洞不断发现，安全补丁数量不断创下历史新高，从一个侧面看漏洞问题愈演愈烈。从目前看，漏洞发现技术越来越自动和智能化，导致被发现的漏洞数量剧增；越来越多的漏洞研究组织使漏洞被利用的时间不断缩短；更多的安全漏洞集中在IE 和MS Office等应用软件上；Web 应用安全漏洞的危害日益严重；利用漏洞的手法更为隐蔽，更具有“社会工程学”的特性；漏洞的发现、利用不仅仅局限于常见的网络设备、操作系统，而且更多的第三方软件的漏洞也是发现和利用的目标。

1.2 配置错误频出，合规检查困难

安全配置漏洞并不是由协议或软件本身的问题造成的，而是由服务和软件的不正确部署和配置造成的。通常这些软件安装时都会有一个默认配置，如果管理员不更改这些配置，服务器仍然能够提供正常的服务，但是入侵者就能够利用这些配置对服务器造成威胁。例如，SQL Server的默认安装就具有用户名为sa 、密码为空的管理员账号，这确实是一件十分危险的事情。另外，对FTP 服务器的匿名账号也同样应该注意权限的管理。

大多数系统管理员都认识到正确进行安全配置的重要性，一些组织与行业也制定了统一的安全配置标准。但是当前的现状是业务系统的网络结构越来越复杂，重要应用和服务器的数量及种类日益增多，一旦发生人员的误操作，或者忽略某个系统的某个配置细节，就可能会极大的影响系统的正常运转。虽然这些情况的出现看似偶尔，但随着时间的推移，系统规模的增加，难免会成为必然。

通过采用统一的安全配置标准来规范技术人员在各类系统上的日常操作，让运维人员有了检查默认风险的标杆，但是面对网络中种类繁杂、数量众多的设备和软件，真正完成合规性的系统配置检查和修复，却成为一个费时费力的事情：

⏹ 安全配置检查及问题修复都需人工进行，对检查人员的技能和经验要求较高；

⏹ 做一次普及性的细致检查耗费时间较长，而如果改成抽查则检查的全面性就很差； ⏹ 自查和检查都需要登录系统进行，对象越多工作越繁琐，工作效率也不高；

⏹ 每项检查都要人工记录，稍有疏漏就需要重新补测；

⏹ ……

1.3 不必要进程、端口带来的风险

第三方软件漏洞在漏洞利用中占有的比重越来越大，它已经成为了网络安全必须要面对的严重威胁。与微软每月发布更新的操作系统相比，人们更容易忽略电脑中数量庞大，种类繁多的第三方软件的问题。当黑客们绕过微软的补丁给系统筑就的“马其诺防线”，直接利用第三方应用软件的漏洞进行入侵的时候，用户往往猝不及防，关闭不必要的进程会极大的降低安全风险。

作为计算机系统和外界的接口，开放的端口代表了某种服务，和支撑该服务的应用软件。一般来讲，开放的端口越多，系统面临的风险就越多。另外，一些病毒、蠕虫等恶意软件也会在后台偷偷开放端口，这时系统已经成为不设防的状态。

二. 信息安全主管们面临的问题

随着对安全风险管理的重视，许多企事业单位都建立了自身的安全检查机制，制度上的建立在安全风险管理上迈出了扎实的一步，但是仍然面临着许多现实的问题。

2.1 安全漏洞管理的现状

◆ 网络环境越来越复杂

⏹ 对网络日渐依赖，大多数企事业单位办公系统、业务系统都实现了网络为基础

的计算机自动化。

⏹ 业务需求的快速增长，使业务系统不断扩容，要管理的网络节点越来越多，设

备的型号、版本也不断变化。

⏹ 企业发展对互联网需求越来越高，用户直接面对来自互联网的威胁不可避免。

◆ 安全漏洞问题日益复杂和严重

⏹ 病毒木马扩散，黑客入侵，数据丢失，机密信息泄露，服务器瘫痪，网络安全

问题防不胜防

⏹ 由于客户端、第三方软件安全漏洞危害日益增大，传统的远程扫描已经不能满

足日益变化的安全漏洞形式

⏹ 需要不停的更新补丁，修补漏洞。统计表明，19.4%的攻击来自于利用管理配

置错误，而利用已知的一个系统漏洞入侵成功的占到了15.3%。事实证明，绝

大多数的网络攻击事件都是利用厂商已经公布而用户未及时修补的漏洞

◆ 判断风险缺乏依据

⏹ 调查显示，60%-70%的IT 人员大都是靠经验之谈来评定安全风险的高低。人员

水平的不同，人员一念之间的判断都会影响最后的评定结果。

⏹ 缺乏理论支撑，对风险问题如何改进无所适从。安全工作是“面”的防护，黑

客攻击却是“点”的突破，没有依据的评定结果无法有效指导后继的改进措

施，很容易在改进过程中出现遗漏。

⏹ 漏洞、配置问题不断被修补，又不断出现，无法判定所做的改进工作是否有效

果。

2.2 运维工作中的烦恼

◆ 网络资产众多，手工检查需要花费巨大人力物力。

◆ 不同的系统、应用，检查的项目各不相同，很难面面俱到，容易出现错误

◆ 从各资产获得的信息量大，没有经过归纳分析的结果极难阅读

◆ 对运维人员安全知识要求过高，不是每个人都是专家。

◆ 一般安全产品的报告都是简单罗列数据，无法掌握网络总体安全状况，不能跟踪整

改后的效果。无效率的报告不能得到领导认可，不能取得进一步的支持，难以进行

深入的改进工作，形成恶性循环。

2.3 思考安全工作的需求

◆ 理论支撑的需求

⏹ 安全风险检查方法和过程具有充足的评估依据，符合国家标准、行业标准、企

业标准等不同层次的安全要求

⏹ 网络安全风险评定需要能够定性及定量的进行评估

◆ 节省资源和时间的需求

⏹ 自动发现和多种方式获得资产信息，能够根据业务和组织结构统一划分资产归

属

⏹ 自动识别资产类型，对不同的系统和应用制定对应的检查策略

⏹ 无需深厚的专业知识，采用标准化、流程化的检查方法

⏹ 丰富专业的分析报告，一目了然的掌握系统宏观风险，快速定位安全风险位置

⏹ 自动周期对网络主机进行补丁更新、配置检查和状态检查

◆ 核心功能的需求

⏹ 能够高效全面的扫描系统中存在的漏洞和配置问题，及时跟踪系统运行状态，

定性和定量评估网络安全风险状况

⏹ 量化安全状态，跟踪安全风险变化趋势，度量安全改进工作效果

⏹ 重点关注关键设备、关键应用，降低危害出现的机会

⏹ 运维过程能够针对重点系统或者应用服务，制定较高的安全标准

◆ 控制成本的需求

⏹ 漏洞扫描、配置检查、WEB 服务重点扫描，不同的工作在统一的安全检查系统

中实现

⏹ 产品实现工具化，只要少量的人员，简单的培训既可正确操作。

⏹ 提供正确有效的改进参考，减少损失发生后亡羊补牢的成本。

三. 绿盟基于基线的安全管理工具

基于多年安全服务的执着实践，结合用户对脆弱性检查的实际应用需要，绿盟科技经过研究论证，提出了全面脆弱性检查的安全基线检查模型，同时自主研发了绿盟远程安全评估系统——安全基线管理系列（NSFOCUS RSAS-AAS Series，以下简称安全基线管理产品或RSAS-AAS ），该产品使用安全基线检查模型，为运维工作提供了实用高效的安全检查自动化工具。

安全基线管理产品基于绿盟科技完备的基线知识库，采用高效、智能的弱点识别技术，对影响系统安全的脆弱性因素进行全面检查和分析，为系统安全建设提供可信的度量依据，能够整体提高网络安全管理水平。安全基线管理产品为网络系统建立适用于本地业务的安全检查基线，自动化执行脆弱性检查，参照安全基线自动对比分析检查数据，让管理员及时全面掌握网络安全状态，轻松准确的完成安全运维任务，极大的提供工作效率。安全基线管理产品基于安全基线的检查方式，为网络脆弱性分析提供了切合实际的一致性度量标准，通过多维度分析对比，让管理者直观了解网络脆弱性所在，为系统安全建设提供数据支撑。

◆ 结合绿盟科技提出的安全基线模型，RSAS-AAS 能够对网络系统的漏洞、安全配置、端

口、进程/服务、重要文件进行全面周期性的脆弱性评估与度量，给出有据可依的分析报告和趋势报告，以方便繁杂的安全运维作业工作。

◆ 依托专业的NSFOCUS 安全服务团队，提供完善的安全配置知识库，通过该知识库可以

全面的指导IT 信息系统的安全配置及加固工作；

◆ 依托专业的NSFOCUS 安全小组，综合运用信息重整化（NSIP ）等多种领先技术，自动、

高效、及时准确地发现网络资产存在的安全漏洞；

专业的Web 应用扫描模块，可以自动化进行Web 应用、Web 服务及支撑系统等多层次

全方位的安全漏洞扫描，简化安全管理员发现和修复 Web 应用安全隐患的过程；

3.1 建立安全基线

建立可用于度量安全风险的标准是最重要与困难的部分，这要求能够识别不同业务系统，根据业务系统的特性分析可能存在的威胁。绿盟科技引入了安全基线的概念，包括了安

全漏洞，安全配置、系统重要信息等脆弱性因素，作为一个概念模型，可以为不同业务系统量身定制，而对各脆弱性因素技术上的覆盖面和有效性就成为了安全基线实现的关键。

图 1 安全基线实现

针对安全基线模型理论的三个方面，结合绿盟科技多年的技术积累，在RSAS-AAS 产品中完成了安全基线的实现。

3.1.1 安全配置

安全配置问题通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP 通信等方面内容，反映了系统自身的安全脆弱性。安全配置方面与系统的相关性非常大，同一个配置项在不同业务环境中的安全配置要求是不一样的，如在WEB 系统边界防火墙中需要开启HTTP 通信，但一个内网网关边界就没有这样的需求。因此，在设计业务系统安全基线的时候，首先建立安全配置要求是一个需要关注的重点。

绿盟科技安全服务团队基于多年安全服务的执着实践，形成了国内最完善的专业安全服务体系和专业安全服务方法论，积累了科学完善的安全配置知识库。通过该知识库可以全面的指导IT 信息系统的安全配置及加固工作，而且使用该知识库，配合自动化工具，非常容易实现自动化的安全配置检查。绿盟科技安全服务团队，拥有多位PMP 、CISA 、BS7799 LA 、ISO 27001 LA、CISSP 、CISP 、CCIE 、CIW 、COBIT 、ITIL 等国际/国内认证专家，

他们不断在安全服务实践中进行Checklist 知识库的完善，持续关注IT 行业发展，对知识库不断维护和更新，能够始终提供最有力的技术保障。

3.1.2 安全漏洞

安全漏洞通常是属于系统自身的问题引起的安全缺陷，使攻击者在未授权的情况下访问或破坏系统。一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等，反映了系统自身的安全脆弱性。

依托国内权威中文漏洞知识库和已在国际上享有盛名的NSFOCUS 安全小组，绿盟科技持续进行漏洞跟踪和漏洞前瞻性研究，保障了安全基线技术的完备性和权威性。

3.1.3 重要信息

重要信息包含系统运行状态、网络端口状态、账户权限、进程、端口以及重要日志文件的监视等。这些内容反映了系统当前所处环境的安全状况，有助于我们了解业务系统运行的动态情况。

3.2 使用安全基线自动化风险控制

建立安全基线后， NSFOCUS RSAS-AAS 会将其应用到安全检查、脆弱性度量、结果分析评估等各个环节，最终到达风险控制和改善的目的。

首先，安全检查是风险控制的第一步，安全基线的应用使安全检查具有全面性。安全基线的内容覆盖了安全漏洞、系统配置、端口、服务、进程、重要文件等影响系统脆弱性的各个方面，保证最终进行风险控制的准确。

其次，脆弱性度量是安全基线模型的核心能力，安全基线参与度量过程，把各种安全要素融合在一起，作为度量维度，进行统一衡量，使度量体系更加完整，得出的数据更加可靠。另外，使用安全基线让度量过程可预测、可重复，避免了人力物力上的重复性浪费。

最后，要对度量结果进行归纳、分析。分析是建立在对各安全脆弱性维度的充分理解的基础上的，目的是为了发现和识别脆弱性，记录并分类进行直观的报告。安全基线提供了有力的理论依据，让分析过程简化，数据呈现直观，针对性强。

3.3 产品特色

3.3.1 基于实践的安全基线管理及展示

绿盟安全基线管理产品中提出的安全基线模型，覆盖了系统脆弱性的多个方面，包括漏洞，安全配置，开放的端口，系统中运行的进程和服务，重要文件的变化状态等，而且该模型是一个开放式的模型，能够紧跟安全威胁的发展趋势，把绿盟科技的最新研究成果添加到产品中来。

根据安全基线模型建立安全基线的过程是一个对业务系统中资产安全状况的分析、评估、再分析、再评估的过程，建立基线过程本身就是一个对系统脆弱性全面了解的过程。首先建立基线是分析网络脆弱性的基础，可以是管理人员对整个网络系统的安全状态有个感性认识，需要知道网络中是否存在风险，影响范围多大，风险影响严重性程度有多大；然后进一步需要了解网络系统中存在风险的类别有哪些，这些风险的分布情况是什么样，这些风险在什么时间出现的；再进行进一步的分析，比较不同区域的差异，比较风险变化的趋势，了解风险出现和地域、时间因素的关系；最后，根据分析结果有针对性的加强相关网络安全建设。对网络安全状况的改进过程是一个循环上升的过程，随着时间的推移，这个过程也要持续的进行。

NSFOCUS RSAS-AAS提供图形化的资产管理方式，紧密结合业务系统资产，通过可量化的安全基线，帮助用户对当前网络的安全状态有一个整体、直观的认识，实时掌握网络安全状态变化，为安全建设和事故应急提供有数据支撑的决策支持。

NSFOCUS RSAS-AAS能够对组织、部门、主机等不同层次进行基线安全安全检查，能够完全配合不同业务系统对不同安全配置检查侧重点的要求。并且系统提供由绿盟科技安全服务团队多年实践建立起来的基线模板库，方便用户在此基础上定义符合切实需求的安全基线。

绿盟科技众多专家组成的专业安全服务团队，和国际上享有盛名的NSFOCUS 安全小组，为安全基线模型提供了理论和实践上的双重保障，为安全基线模型概念的发展提供了持续的动力。

3.3.2 基于用户行为模式的管理架构

作为用户体验性很强的产品，NSFOCUS RSAS-AAS始终秉承“以人为本”的理念，在产品设计过程充分考虑了实际用户需求和使用习惯，从用户角度完善了很多管理功能。“一

键式”智能任务模式、快速结果报表、智能摘要技术等，最大限度的满足了易用性和高效性的需求。

NSFOCUS RSAS-AAS采用B/S管理架构，能够以SSL 加密通讯方式通过浏览器来远程进行管理。RSAS-AAS 的专用硬件能够长期稳定地运行，很好地保证了任务的周期性自动处理。能够自动处理的任务包括：评估任务下发、扫描结果自动分析、处理和发送、系统检测插件的自动升级等。同时， RSAS-AAS 支持多用户管理模式，能够对用户的权限做出严格的限制，通过权限的划分可以实现一台设备多人的虚拟多机管理，并且提供了登录、操作和异常等日志审计功能，方便用户对系统的审计和控制。

3.3.3 权威、完备的基线知识库

绿盟科技NSFOCUS 安全小组的安全研究能力在国内首屈一指，在国际上也有相当的影响力。在这个部门中，有多位专职的研究员进行漏洞跟踪和漏洞前瞻性研究，到目前为止已经独立发现了40余个关于常见操作系统、数据库和网络设备的漏洞，并且为国际上的知名网络安全厂商提供相关漏洞的规则支持。

绿盟科技同时拥有一支业内领先的安全服务团队。经过多年专业安全服务的执着实践，形成了国内最完善的专业安全服务体系和专业安全服务方法论，制定了完善详细的安全配置检查点。在这个部门中，拥有多位PMP 、CISA 、BS7799 LA、ISO 27001 LA、CISSP 、CISP 、CCIE 、CIW 、COBIT 、ITIL 等国际/国内认证专家，他们不断在安全服务实践中进行Checklist 知识库的完善，并将这些知识库更新到产品中。

依靠专业的NSFOCUS 安全小组多年的研究，绿盟科技中文漏洞知识库已包含13500多条安全漏洞信息，每条漏洞都有详尽的描述和修补建议，其完备性和权威性在国内厂商内首屈一指。NSFOCUS RSAS-AAS产品的漏洞信息（3000余条）精选于该漏洞知识库，涵盖了常见操作系统、数据库、网络设备和应用程序的绝大多数可以远程利用的漏洞以及本地安全漏洞，已获得国际权威的CVE 兼容性认证。NSFOCUS 安全小组负责NSFOCUS RSAS-AAS 的漏洞知识库和检测规则的维护，除定期的每两周的升级外，重大漏洞的升级在全球首次发现后两天内完成。

3.3.4 高效、智能的弱点识别技术

对系统弱点的识别包括漏洞识别、配置检查识别和系统状态识别，评价漏洞识别的指标在于效率和精确度，配置检查识别和系统状态识别的评价指标除效率和精确度外，还需要能够适应多种复杂的应用环境。

NSIP(NSFOCUS Intelligent Profile)是绿盟科技智能Profile 漏洞识别技术的简称，该技术在国内甚至在国际上都是非常领先的漏洞识别技术，它在提高NSFOCUS RSAS-AAS的评估速度和准确率方面都起到了很大的促进作用。NSIP 漏洞识别技术就是采用多种技术通过不同途径收集目标系统的多种信息，这些信息就是目标系统的Profile ，在进行漏洞评估过程中，Profile 不断地对中间的结果数据进行调整，保障了最后评估结果的准确性。

NSIP 技术同时也在提高配置检查识别的评估速度和准确率方面都起到了很大的促进作用。NSIP 技术就是采用多种技术通过不同途径收集目标系统的多种信息，这些信息就是目标系统的Profile ，评估过程中，Profile 不断地对中间的结果数据进行调整，保障了最后评估结果的准确性。

NSFOCUS RSAS-AAS产品具备业界强劲的底层扫描引擎——NSSE （NSFOCUS Scanning Engine）。通过NSIP 技术、开放端口服务的智能识别、检测规则依赖关系的自动扫描等技术的运用，再加上由NSFOCUS 安全小组研究员精心编写的准确的漏洞检测规则，NSFOCUS RSAS-AAS 在检测速度和检测准确性之间找到了最佳的平衡点。NSFOCUS RSAS-AAS 加载全部检测规则，对同样的目标系统进行检测时，扫描速度为常见同类产品3－5倍，同时仍能保证误报率低于1%。

产品在配置检查时采用机器语言，运用远程检测与本地检测相结合的方式，在多种复杂应用环境下均可实现自动化的大规模性安全配置检查，从而为您节省手动单点安全配置检查的时间，并避免传统人工检查方式所带来的失误风险。

3.3.5 集成专业的Web 应用扫描模块

NSFOCUS RSAS –AAS Web应用扫描模块，是绿盟科技研究团队多年深入研究当前各种流行的Web 攻击手段的技术结晶，是专门面向 Web 应用安全管理员进行专业安全评估及检测的自动化工具。通过传统系统扫描功能与Web 应用扫描功能相结合，为网络系统中重点关注安全风险的WEB 节点提供针对性的风险评估，采用一机多用的方式，节省用户投资。相关特性简述如下：

◆ 专业：模拟点击智能爬虫技术（NSFOCUS Intelligent Crawling ，简称NSIC ）、主动挂

马检测技术等多种先进技术手段，为Web 应用安全管理员提供专业的应用安全检测工具；

◆ 全面：提供Web 应用、Web 服务及支撑系统等多层次全方位的各种类型安全漏洞扫

描、审计、渗透测试和辅助逻辑分析，全面发现各类安全隐患，提出针对性的修复建议；

◆ 高效：通过嵌入式安全操作系统、优化的扫描引擎以及高效智能爬虫技术，能够快速的

对目标Web 应用系统进行细粒度分析。

图 2 NSFOCUS RSAS-AAS Web扫描模块展示图

3.3.6 多维、细粒度的统计分析

NSFOCUS RSAS-AAS产品不仅提供了常见的离线报表，还提供了强大的在线报表系统。同时，NSFOCUS RSAS-AAS为您提供了一个实用的“报表控制器”，它能够帮助客户更好地获得有效信息，生成基于不同角色、不同内容和不同格式的报表。NSFOCUS RSAS-AAS 不仅站在管理员的角度分析结果，也站在公司决策层和网络部门管理人员的角度考虑报告的生成。

NSFOCUS RSAS-AAS从宏观和微观两个角度对风险进行了透彻地分析。宏观上， RSAS-AAS 从多个视角深刻反映网络的整体安全状况，对漏洞分布、安全配置问题分布、危害、主机信息等多视角信息进行了细粒度的统计分析，并通过柱状图、饼图等形式，直观、清晰的从总体上反映了网络资产的风险分布情况；微观上， RSAS-AAS 对检测到的每个漏洞、安全配置问题都提供了详细的解决方案，使得管理员可以快速准确地解决各种安全问题，同时支持用户自己输入关键字进行相关信息的检索，以便用户能够具体了解某台主机或者某个漏洞、配置的详细信息。

NSFOCUS RSAS-AAS基于安全基线，能够量化分析系统整体安全状况，精确描绘安全风险分布，综合对比评定；利用安全基线能够对网络安全状态进行趋势对比分析，及时掌握网络安全风险变化，为网络见下提供有力的决策支持。

3.4 典型应用

NSFOCUS RSAS-AAS安全基线检查系统利用绿盟安全基线模型，形成适应用户的业务安全基线，适合监控/监管部门进行安全检查、运维人员日常维护、网络设备入网验收等各种需要对网络安全状态量化对比、趋势跟踪分析的场合。

3.4.1 部署方式

目前用户网络环境中常见的网络拓扑结构有：总线拓扑、星形拓扑、树形拓扑和混合型拓扑。针对上述用户常见的网络拓扑，NSFOCUS RSAS-AAS为用户“量身定做”两种部署方式：独立式部署和分布式部署。

3.4.1.1 独立式部署

中小型企业、电子商务、电子政务、教育行业和独立的IDC 等用户，由于其数据相对集中，并且网络拓扑结构较为简单，大多数采用总线拓扑或者星形拓扑，建议使用独立式部署方式。独立式部署就是在网络中只部署一台NSFOCUS RSAS-AAS设备。在共享式工作模式下，只要将NSFOCUS RSAS-AAS接入网络并进行正确的配置即可正常使用，其工作范围通常包含客户公司的整个网络地址。用户可以从任意地址登录NSFOCUS RSAS-AAS系统并下达检查任务，检查任务的地址必须在产品和分配给此用户的授权范围内。

下图就是NSFOCUS RSAS-AAS的独立式部署模式。从图中可以看出，无论在公司何处接入NSFOCUS RSAS-AAS

设备，公司网络都能正常工作，完成对网络的安全评估。

图 3 NSFOCUS RSAS-AAS独立式部署结构图

3.4.1.2 分布式部署

对于电信运营商、金融行业、证券行业、政府行业、军工行业、电力行业和一些规模较大传统企业，由于其组织结构复杂、分布点多、数据相对分散等原因，采用的网络拓扑结构大多为树形拓扑或者混合型拓扑。对于一些大规模和分布式网络用户，建议使用分布式部署方式。在大型网络中采用多台NSFOCUS RSAS-AAS系统共同工作，可对各系统间的数据共享并汇总，方便用户对分布式网络进行集中管理。NSFOCUS RSAS-AAS

支持用户进行两级和两级上的分布式、分层部署。两级分布式部署结构拓扑如下图所示。

图 4 监管部门现场检查

3.4.2 应用场景

3.4.2.1 监管部门现场检查

图 5 监管部门现场检查

目前，信息风险管理是大型组织、机构所关注的重要问题，因此各行业监管部门都会对管理的网络系统定期开展安全大检查工作。采用NSFOCUS RSAS-AAS作为工具化的安全基线检查系统，将漏洞扫描、配置检查、Web 应用扫描等能力整合在一个测评工具中，采用一套测评工具就能够自动化的对重要信息系统进行漏洞、配置、重要信息等多方面、全方位的安全测评，为安全检查工作提供了方便高效的工具支持，提供了标准量化的数据支撑。

3.4.2.2 设备入网环节验收

图 6设备入网验收

入网阶段的安全检查逐渐被安全运维人员所重视，从安全系统的生命周期来看，在入网阶段就进行安全把控，可以极大降低上线后安全评估和加固的成本。这时需要的是工具性质的入网检查系统，能够方便快捷而且权威的对入网设备进行评估。工具化的NSFOCUS RSAS-AAS 系统，为设备入网验收提供标准化的基线模型支持，方便运维人员快速统一的验收检查操作。

3.4.2.3 日常安全运维检查

图 7 日常运维

日常安全检查是安全运维工作不可缺少的工作，能够实时掌握网络安全风险状况，极大的降低突发事件出现的概率，从安全维护成本上考虑非常有利。NSFOCUS RSAS-AAS的专用硬件能够长期稳定地运行，很好地保证了日常检查任务自动运行，在首次配置了系统扫描、配置检查任务后，NSFOCUS RSAS-AAS能够自动周期执行，自动根据任务结果生成评估和分析报告，自动发送报告。系统能够自动维护自身升级，保持对最新安全漏洞的检查能力。

NSFOCUS RSAS-AAS根据安全基线模型，对漏洞扫描结果、配置检查结果、系统运行信息的分析结果进行量化。基于量化的安全检查结果，配合产品中携带的丰富的知识库，NSFOCUS RSAS-AAS能够提供全方位，多层次的智能分析报告，为改进系统安全提供有力的决策支撑，能够提供纵向安全状态变化的趋势分析，为安全改进措施效果提供直观依据。

3.5 产品价值

图 8 NSFOCUS RSAS-AAS产品价值

NSFOCUS RSAS-AAS使用安全基线模型，事件上是为安全管理工作提供了一整套的自动化解决方案，涵盖了安全检查、度量和分析的各环节，可周期自动运行让安全检查常态化，有针对性的分析结果为安全建设和应急事件提供了决策支持。

3.5.1 安全基线模型助力全面掌控信息系统风险状况

NSFOCUS RSAS-AAS产品中推出了科学有效的安全基线模型概念，该模型提出了一种对网络脆弱性的一种综合评价手段，不但能够定性的评估网络是否安全，而且提供了完善的量化评估标准，实现了定量的脆弱性评估。

基于该模型能够对网络系统的安全漏洞，安全配置，开放端口，系统进程/服务，文件变化等进行全面的检测和衡量，使系统管理员集中掌握当前网络安全状态。通过持续不断的对网络脆弱性进行安全评估，能够掌握网络完全动态变化趋势，从而衡量安全工作达成的效果是否满意，为安全建设和应急事故提供决策支撑。

3.5.2 为运维人员提高工作效率

NSFOCUS RSAS-AAS能够帮助管理员对目标系统进行自动化的漏洞、配置、状态进行监测，采用专用硬件设备，能够长期高效、自动的周期检测，自动分析结果数据，生成HTML 、WORD 、EXCEL 等格式报告，可以自动通过邮件发送给管理员。全自动化的设计为日常安全检查提供了设备支持，使日常安全检查可以作为常态工作开展，提高了管理员的工作效率，增加了网络安全保障。

安全基线模型为管理员整体把握网络风险位置，制定改进工作计划提供了有效的技术依据，并能够直观比较安全改进工作的效果，体现了安全管理工作的重要价值。

3.5.3 为主管领导洞察全局

NSFOCUS RSAS-AAS基于安全基线模型，形成业务系统安全基线，横向能够提供全面的系统安全状态分析，纵向能够提供系统动态变化趋势，专用详细的报表让主管领导洞察整体网络安全状态，全面和集中了解网络安全风险，为安全建设和事故应急提供了决策支撑。

四. 结论

通过引入进行安全基线控制的方式来进行风险管理，建立一个覆盖政企机构业务体系的安全基线，并以其为基准进行检测和度量将是一个行之有效的风险管理手段。面对严峻而复杂的互联网安全威胁形势，通过信息安全技术的创新，将重点关注在业务安全的需求上，建立一套以业务为核心且行之有效的风险管控体系，则是现阶段安全研究的重中之重。各个不同业务系统安全检测基准的建立和行之有效的检测手段是安全管理人员面临的最为重要和迫切的问题。安全运维人员需要具备检查风险的基准与标杆，同时面对网络中种类繁杂、数量众多的设备和应用系统，需要有快速、有效的检查方式与手段。

基于多年安全理论研究、安全服务的执着实践，同时结合用户对安全评估产品的实际应用需求，绿盟科技推出了NSFOCUS RSAS-AAS产品，它引入安全基线理论，提供完善高效的漏洞扫描、配置检查、状态检查智能识别技术，第一时间主动对网络中的资产设备进行细致深入的安全风险检查、分析，提供细致的报表分析展示，提供专业、有效的安全改进建议，大大提高日常安全维护的效率，节省您的时间成本，让安全风险检查、安全运维管理等工作变得简单。