天鏡漏掃產(chǎn)品培訓PPT.ppt

1、天鏡漏掃系列產(chǎn)品培訓,1 安全漏洞現(xiàn)狀分析,2 天鏡漏掃系列產(chǎn)品介紹,3 安裝及使用,4 常見問題,安全漏洞現(xiàn)狀分析,安全漏洞現(xiàn)狀分析,當前漏洞數(shù)量劇增,NVD =國家計算機漏洞數(shù)據(jù)庫 CERT =專門處理計算機網(wǎng)絡安全問題的組織 OSVDB =開放源碼的漏洞數(shù)據(jù)庫,病毒事件,外部系統(tǒng)入侵,敏感信息竊取,拒絕服務攻擊,滲透測試,來源：CSI/FBI 2007調查報告,金融欺詐,Web攻擊,什么是安全漏洞？ 在計算機安全學中，存在于一個系統(tǒng)內(nèi)的弱點或缺陷，系統(tǒng)對一個特定的威脅攻擊或危險事件的敏感性，或進行攻擊的威脅作用的可能性。 為什么存在安全漏洞？ 客觀上技術實現(xiàn) 技術發(fā)展局限 永遠存在的編碼

2、失誤 環(huán)境變化帶來的動態(tài)化 主觀上未能避免的原因 默認配置 對漏洞的管理缺乏 人員意識,如何解決安全漏洞？ 一些基本原則 服務最小化 嚴格訪問權限控制 及時的安裝補丁 安全的應用開發(fā) 可使用工具和技術 安全評估與掃描工具 補丁管理系統(tǒng) 代碼審計,有關安全漏洞的幾個問題,漏洞的流行性和持續(xù)性,流行性：50%的最流行的高危漏洞的影響力會流行一年左右，一年后這 些漏洞將被一些新的流行高危漏洞所替代。 持續(xù)性：4%的高危漏洞的壽命很長，其影響會持續(xù)很長一段時間；尤其是對于企業(yè)的內(nèi)部網(wǎng)絡來說，某些漏洞的影響甚至是無限期的。,絕大多數(shù)漏洞的壽命,少數(shù)漏洞的壽命無限期,需要進行“未雨綢繆”的漏洞管理,99%

3、 of security breaches target known vulnerabilities for which there are existing countermeasures. CERT Coordination Center 事實證明，99%以上攻擊都是利用已公布并有修補措施、但用戶未修補的漏洞。,操作系統(tǒng)和應用漏洞能夠直接威脅數(shù)據(jù)的完整性和機密性。 流行蠕蟲的傳播通常也依賴與嚴重的安全漏洞。 黑客的主動攻擊往往離不開對漏洞的利用。,信息系統(tǒng)越龐大，越需要對網(wǎng)絡和系統(tǒng)中的漏洞進行 有效管理。 對于主機設備較多的網(wǎng)絡，即使采用傳統(tǒng)的漏洞掃描器進行掃描，補丁修復工作量巨大，缺乏自

4、動化的補丁修復過程,安全漏洞現(xiàn)狀分析,天鏡漏掃系列產(chǎn)品介紹,主要作用,隱患掃描、安全評估、脆弱性分析； 發(fā)現(xiàn)網(wǎng)絡設備和主機系統(tǒng)的漏洞或泄漏； 提供系統(tǒng)的安全分析和整改報告； 提供完善的主機加固服務,公安、保密、安全機關組織的安全性檢查 網(wǎng)絡建設前后的安全規(guī)劃評估和成效檢驗 安裝新軟件、啟動新服務后的安全性檢查 定期的網(wǎng)絡安全自我檢測、評估 網(wǎng)絡承擔重要任務前的安全性評估 網(wǎng)絡安全事故后的分析調查,產(chǎn)品應用場合,發(fā)展歷程,6032 修改了任務參數(shù)界面中不合理參數(shù) 增加了功能選項,6040 能修改windowsXP系統(tǒng)最大連接數(shù) 補充了功能說明 改進界面,6041 增加報表導出格式 增加報表實時導

5、出功能 支持新系統(tǒng) 支持SQL2005 解決掃描慢問題,6042 增加對Windows 7中文版操作系統(tǒng)的支持 切換了硬件平臺 增加了WSUS功能 增加了基于Web service的第三方開發(fā)接口,2009,2010,2009之前,產(chǎn)品介紹,6041天鏡硬件版設備標準配置帶有兩個網(wǎng)口：一個為掃描網(wǎng)口，一個為管理網(wǎng)口 新硬件的掃描口數(shù)量從原來的1個擴展到6個，千兆光口工控機甚至可以提供10個掃描口（6電4光），相比友商有明顯優(yōu)勢。CPU、內(nèi)存、硬盤等主要元器件性能規(guī)格也大幅度提升；同時取消了鍵盤鼠標口，USB口增加到了2個。新硬件的操作系統(tǒng)也由原來的Windows XP升級到了Windows 7

6、 Professional。,授權申請,部署方式,獨立部署,多級分布,多級分布 多級網(wǎng)絡結構 本地掃描 數(shù)據(jù)匯總、集中管理 不增添新的安全隱患,獨立部署 網(wǎng)絡較為集中 部署一臺天鏡設備 分權管理和使用,與傳統(tǒng)掃描產(chǎn)品區(qū)別,與傳統(tǒng)掃描產(chǎn)品區(qū)別：,常見掃描器關注階段（漏洞掃描治標），漏洞管理關注全局（漏洞管理治本）。 常見掃描器關注漏洞，不關注風險；天鏡從資產(chǎn)、漏洞和威脅三個角度關注風險。 常見掃描器關注漏洞發(fā)現(xiàn)，不關注漏洞修復有效性，只開方子，不管療效；天鏡關注漏洞發(fā)現(xiàn)和漏洞修復有效性，既開方子，又復查療效。,安全漏洞現(xiàn)狀分析,安裝及使用,硬件版本登錄使用,配置掃描網(wǎng)口IP:,天鏡掃描引擎的掃描

7、網(wǎng)口IP地址在出廠時默認配置為一個固定IP，用戶可以通過遠 程桌面連接的方式來修改：,默認連接IP:10.0.0.1 默認連接端口號：20010,點擊【連接】按鈕，在隨后彈出的登錄窗口中，用戶名輸入scanner，密碼輸入venus60，點擊【確定】即可登錄到引擎系統(tǒng)中,軟件安裝環(huán)境,軟件安裝,雙擊安裝程序中setup.exe開始安裝天鏡6041,安裝,天鏡在掃描時必須綁定一個IP地址，如果本機存在多網(wǎng)卡、虛擬機等設置就需要設定掃描引擎與IP的綁定關系，以確保掃描速度和準確性。 安裝時不設置，也可以后續(xù)在產(chǎn)品界面中設置。 設置IP綁定關系后，天鏡每次啟動都會檢測，發(fā)現(xiàn)IP有變化再提示客戶重新綁

8、定。,安裝,XP SP2/SP3，缺省的TCP/IP連接數(shù)限制都是10，對于天鏡掃描來說太小了，所以在安裝的時候提供了一個小工具，用來調整連接數(shù)。推薦更改為2048,原因：掃描時產(chǎn)生大量連接導致連接占滿而無法繼續(xù)掃描,授權申請,安裝時提示申請授權，填好內(nèi)容后會生成一個*.vku文件，商會根據(jù)該文件生成.vky授權文件，該授務權只能在授權申請機器上使用,安裝時不申請也沒問題，可以后續(xù)在產(chǎn)品主界面中選擇申請,授權導入與查看,用戶管理,“三權分立”的用戶角色管理 用戶管理員，只能用于創(chuàng)建、修改、刪除其它帳號 管理員，只能用于登錄天鏡控制中心進行操作，不能登錄用戶管理審計模塊 審計員，只能用于修改其它

9、帳號的操作權限 細粒度的管理員權限分配,用戶管理員：用戶名Admin，密碼venus60 審計員：用戶名Audit， 密碼venus60 管理用戶：用戶名venus， 密碼venus60,登陸,缺省用戶名：venus 缺省口令：venus60,如果本機正在運行一些殺毒軟件，天鏡登陸后會提示建議關閉實施監(jiān)控功能，以免影響掃描,創(chuàng)建任務,創(chuàng)建任務,先選擇一個掃描策略，天鏡6041缺省提供17個掃描策略； 用戶還可以通過新建、修改來編輯策略,輸入要掃描的IP地址 支持IP1-IP2一段主機 支持掩碼模式，192.168.1.1/24 支持通配符，192.168.1.*,IP地址還支持從已經(jīng)設定好的資

10、產(chǎn)導入 還支持從一個文件導入 也可以將輸入的IP地址導出，另存成一個文件，方便以后直接導入只用,創(chuàng)建任務,用于區(qū)分不同任務的優(yōu)先級 當引擎同時要執(zhí)行多個任務時，高優(yōu)先級的任務優(yōu)先執(zhí)行,支持設定最大并行掃描的主機數(shù)，最大為50 支持設定每臺主機最大的線程數(shù)，最大為50 兩個的乘積不能超過500，即任務的總線程數(shù)為500,域掃描：當用戶掃描主機在Windows的域管理環(huán)境中，可以采用“域掃描”來加強天鏡的網(wǎng)絡掃描能力； 如果有必要，還可以設置天鏡在掃描主機的時候會向被掃描主機發(fā)送message消息來通知主機；,任務執(zhí)行,任務開始、停止、暫停掃描、繼續(xù)掃描、斷點續(xù)掃 其中，繼續(xù)掃描是指對某個暫停任務

11、繼續(xù)執(zhí)行掃描；而斷點續(xù)掃是指當引擎端有掃描任務在執(zhí)行，因為某些突發(fā)事件而不能正常工作（如機器意外重啟、主機意外斷電等），掃描任務會被意外中斷 。天鏡在上述情況下會保留掃描任務的已完成部分的結果，當機器重啟之后，打開天鏡，可以針對這些意外中斷的掃描任務使用斷點續(xù)掃 。,任務執(zhí)行,任務查看區(qū),掃描結果查看區(qū) 支持實時顯示 可按各字段自由排序,掃描信息查看,掃描結果查看,掃描結果顯示自定義,可以選擇一個模板，對其進行顯示配置； 也可以新建一個模板。,可詳細定義需要顯示的內(nèi)容,報表分析_任務掃描報告,報表分析_部門掃描報告,報告自動發(fā)送設置,用戶可以對歷史掃描數(shù)據(jù)進行導入、導出、刪除等操作,數(shù)據(jù)維護_

12、歷史掃描數(shù)據(jù)備份與查看,大范圍掃描主機時，用戶可能考慮到掃描速度等因素將一個大的掃描范圍分成若干部分通過多個掃描任務來完成。掃描結束后，天鏡提供了掃描結果合并的功能可以幫助用戶將多個掃描任務的掃描結果合并為一個掃描任務的掃描數(shù)據(jù)，之后，用戶可以利用報表系統(tǒng)來生成統(tǒng)一的報告,數(shù)據(jù)維護_數(shù)據(jù)庫切換,天鏡默認帶的數(shù)據(jù)庫為MS Access數(shù)據(jù)庫，當用戶已經(jīng)具有MS SQL Server 數(shù)據(jù)庫時，可以在安裝天鏡之后，利用此功能將天鏡切換到MS SQL Server 數(shù)據(jù)庫中運行 注意：數(shù)據(jù)庫切換之后，原數(shù)據(jù)庫中的掃描數(shù)據(jù)會全部丟失，所以建議用戶如果需要切換數(shù)據(jù)庫，則最好在安裝之后立刻進行數(shù)據(jù)庫的切換

13、。,策略管理,注：不能對當前的17個模板本身做修改，可以改了另存,資產(chǎn)管理,從部門到所屬資產(chǎn)的管理 資產(chǎn)的快速發(fā)現(xiàn) 基于部門/資產(chǎn)的快速掃描啟動、報表展現(xiàn),歷史任務導入,啟用新會話,資產(chǎn),部門,資產(chǎn),升級,工具,提供了一系列輔助的探測工具和漏洞驗證工具，探測工具可以方便用戶了解網(wǎng)絡的一些關鍵信息；漏洞驗證工具用于驗證天鏡掃描的漏洞 輔助的探測工具主要包括Arp探測、SNMP探測等工具，方便用戶了解網(wǎng)絡的一些關鍵信息 各工具用途： ARP主機探測工具：用來獲得同一子網(wǎng)內(nèi)已知IP地址主機的物理地址（物理地址即網(wǎng)卡的MAC地址）； SNMP服務探測工具：探測遠程主機是否開啟了SNMP服務； MSSQ

14、L服務探測工具：可以獲取遠程主機上的MSSQL服務信息 嗅探服務探測工具：用來發(fā)現(xiàn)網(wǎng)絡上可能正在運行的嗅探服務； SasserEx蠕蟲探測工具：用來探測遠程主機是否感染“振蕩波”病毒。,WSUS互動功能,選擇工具WSUS配置通知，啟動WSUS配置工具界面，如下圖：,WSUS服務器：在內(nèi)網(wǎng)部署了一臺WSUS服務器，可以使用此服務器來提高主機windows系統(tǒng)升級補丁的效率。此處填寫該WSUS服務器地址； 工作方式：可以選擇“更新前提醒”和“自動更新”兩種更新方式；,天鏡的開放接口模塊通過WebService對外提供接口服務,SOAP：簡單對象訪問協(xié)議，簡單對象訪問協(xié)議（SOAP）是一種輕量的、簡單的、基于 XML 的協(xié)議，它被設計成在 WEB 上交換結構化的和固化的信息。 。,安全漏洞現(xiàn)狀分析,常見問題,注意事項,1、天鏡現(xiàn)不支持在Windows XP Home版系統(tǒng)上運行 2、天鏡6041需要winpcap4.0的支持，如有需卸載掉低版本的在安裝天鏡 3、數(shù)據(jù)庫切換，原數(shù)據(jù)庫中的掃描數(shù)據(jù)會全部丟失,安裝注意事項,掃描注意事項,1、天鏡系統(tǒng)不支持在一個會話中多個策