【正文】 議；l 能夠通過本機(jī)掃描插件下載的方式，下載插件進(jìn)行本地補(bǔ)丁掃描，突破防火墻的限制，或者最準(zhǔn)確的主機(jī)漏洞信息。l 軟件設(shè)計(jì)采用了最先進(jìn)的層次化軟件體系結(jié)構(gòu)，框架清晰、運(yùn)行穩(wěn)定；漏洞庫(kù)的升級(jí)不會(huì)影響到程序的穩(wěn)定，從而使先進(jìn)性和可靠性得到了完美的統(tǒng)一。綜合了國(guó)外著名安全產(chǎn)品的優(yōu)點(diǎn)和思路，起點(diǎn)高技術(shù)先進(jìn)，檢測(cè)范圍廣，可覆蓋Internet/Intranet的所有主流部件。l 擁有強(qiáng)大的檢測(cè)漏洞庫(kù)，根據(jù)服務(wù)分為19大類別，現(xiàn)有漏洞數(shù)量20000余條（2009年11月）。每條漏洞都包含詳細(xì)漏洞描述和可操作性強(qiáng)的解決方案。通過網(wǎng)絡(luò)和本地?cái)?shù)據(jù)包，每周至少升級(jí)更新漏洞庫(kù)一次，以保證能夠檢測(cè)最新的漏洞；l 擁有強(qiáng)大的結(jié)果文件分析能力，可以預(yù)定義、自定義和多角度多層次的分析結(jié)果文件，提供html、doc等多種格式。 支持分布式掃描隨著網(wǎng)絡(luò)規(guī)模的逐步龐大、逐步復(fù)雜，核心級(jí)網(wǎng)絡(luò)、部門級(jí)網(wǎng)絡(luò)、終端/個(gè)人用戶級(jí)網(wǎng)絡(luò)的建設(shè)，各個(gè)網(wǎng)絡(luò)之間存在著防火墻、交換機(jī)等過濾機(jī)制的存在，漏洞掃描發(fā)送的數(shù)據(jù)包大部分將被這些設(shè)備過濾，降低了掃描的時(shí)效性和準(zhǔn)確性。針對(duì)這種分布式的復(fù)雜網(wǎng)絡(luò)，不能依舊采用傳統(tǒng)的軟件安裝方式或者機(jī)架方式那種不易移動(dòng)的產(chǎn)品，漏洞掃描系統(tǒng)能夠充分發(fā)揮自身可移動(dòng)的優(yōu)勢(shì)，能夠很好的適應(yīng)這種分布式網(wǎng)絡(luò)掃描。 自身高度安全性l IP地址限定每個(gè)掃描系統(tǒng)所能掃描的IP地址范圍被嚴(yán)格鎖定和限制，并在國(guó)家授權(quán)機(jī)關(guān)進(jìn)行安全備案，杜絕了網(wǎng)絡(luò)漏洞掃描系統(tǒng)被惡意使用的可能。l 抗攻擊設(shè)計(jì)掃描系統(tǒng)運(yùn)行的操作系統(tǒng)是經(jīng)過專門優(yōu)化的LINUX系統(tǒng)，對(duì)操作系統(tǒng)的漏洞進(jìn)行了全面的修補(bǔ)，并對(duì)掃描系統(tǒng)本身進(jìn)行了各種攻擊下的防范測(cè)試。l 多級(jí)的安全權(quán)限系統(tǒng)有完備的安全設(shè)計(jì)，防止超越權(quán)限操作現(xiàn)象發(fā)生；系統(tǒng)分級(jí)分層授權(quán)，以保證信息的安全和保密；充分考慮在網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用等方面的安全性l 傳輸數(shù)據(jù)的加密采用多種數(shù)據(jù)加密方法對(duì)重要數(shù)據(jù)進(jìn)行加密，保證數(shù)據(jù)的安全讀取與傳輸。不論是掃描腳本還是用戶的掃描結(jié)果，都以嚴(yán)格加密的形式進(jìn)行傳送。既保證了測(cè)試腳本不會(huì)被竊取，也保證了用戶的評(píng)估情況不會(huì)泄漏。 支持WEB掃描Web漏洞掃描方法主要有兩類：信息獲取和模擬攻擊。信息獲取就是通過與目標(biāo)主機(jī)TCP／IP的Http服務(wù)端口發(fā)送連接請(qǐng)求，記錄目標(biāo)主機(jī)的應(yīng)答。通過目標(biāo)主機(jī)應(yīng)答信息中狀態(tài)碼和返回?cái)?shù)據(jù)與Http協(xié)議相關(guān)狀態(tài)碼和預(yù)定義返回信息做匹配，如果匹配條件則視為漏洞存在。模擬攻擊就是通過使用模擬黑客攻擊的方法，對(duì)目標(biāo)主機(jī)Web系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，比如認(rèn)證與授權(quán)攻擊、支持文件攻擊、包含文件攻擊、SQL注入攻擊和利用編碼技術(shù)攻擊等對(duì)目標(biāo)系統(tǒng)可能存在的已知漏洞進(jìn)行逐項(xiàng)進(jìn)行檢查，從而發(fā)現(xiàn)系統(tǒng)的漏洞。遠(yuǎn)程字典攻擊也是漏洞掃描中模擬攻擊的一種，其原理與其他攻擊相差較大，若攻擊成功，可以直接得到登陸目標(biāo)主機(jī)系統(tǒng)的用戶名和口令。Web漏洞掃描原理就是利用上面的掃描方法，通過分析掃描返回信息，來判斷在目標(biāo)系統(tǒng)上與測(cè)試代碼相關(guān)的漏洞是否存在或者相關(guān)文件是否可以在某種程度上得以改進(jìn)，然后把結(jié)果反饋給用戶端(即瀏覽端)，并給出相關(guān)的改進(jìn)意見。7 內(nèi)部網(wǎng)絡(luò)的統(tǒng)一管理 統(tǒng)一管理方式在用戶內(nèi)網(wǎng)中，統(tǒng)一部署極地終端與內(nèi)網(wǎng)安全管理系統(tǒng)、極地內(nèi)控堡壘主機(jī)、極地網(wǎng)絡(luò)漏洞掃描系統(tǒng)后，可與用戶已經(jīng)部署的防火墻、IDS、VPN等設(shè)備聯(lián)動(dòng)，聯(lián)動(dòng)接口為標(biāo)準(zhǔn)規(guī)范。實(shí)施聯(lián)動(dòng)后，所有設(shè)備實(shí)現(xiàn)信息共享，并按照統(tǒng)一的原則和策略實(shí)現(xiàn)統(tǒng)一管理。例如IDS檢測(cè)到某終端有攻擊行為后向終端管理系統(tǒng)報(bào)告，終端管理系統(tǒng)立即禁止此終端所有網(wǎng)絡(luò)連接，防止攻擊行為對(duì)內(nèi)網(wǎng)產(chǎn)生影響。 統(tǒng)一管理功效有了針對(duì)終端計(jì)算機(jī)和服務(wù)器的管理系統(tǒng)以后，結(jié)合用戶已經(jīng)建設(shè)的防火墻、IDS、VPN等系統(tǒng)，可以實(shí)現(xiàn)真正意義上的全網(wǎng)統(tǒng)一管理： 無死角通過抓住所有安全事件的源頭：終端與服務(wù)器，可以將全網(wǎng)所有事件納入管理范圍，無論安全事件從哪里發(fā)生都能準(zhǔn)確定位和處理。 全網(wǎng)安全域管理通過終端虛擬安全域，可劃分更細(xì)粒度的安全域，將安全域由傳統(tǒng)的網(wǎng)絡(luò)邊界粒度擴(kuò)展到單臺(tái)終端，與傳統(tǒng)的基于網(wǎng)絡(luò)邊界訪問控制的安全域結(jié)合，實(shí)現(xiàn)更細(xì)粒度、更自由的安全域管理。 遠(yuǎn)程終端與內(nèi)網(wǎng)終端統(tǒng)一管理通過遠(yuǎn)程終端安全準(zhǔn)入控制，終端計(jì)算機(jī)不再區(qū)分遠(yuǎn)程接入或局域網(wǎng)接入，可以按相同的管理策略進(jìn)行管理。 統(tǒng)一用戶管理全網(wǎng)統(tǒng)一身份，服務(wù)器與終端基于統(tǒng)一的一套身份管理，實(shí)現(xiàn)不同的人、不同的機(jī)器運(yùn)用不同權(quán)限，實(shí)現(xiàn)了終端上的真正實(shí)名管理，解決了長(zhǎng)久以來存在在終端上的“一人多機(jī)、一機(jī)多人”的頑疾，解決了大量的服務(wù)器管理維護(hù)問題，同時(shí)統(tǒng)一了各網(wǎng)絡(luò)設(shè)備、安全設(shè)備的管理。 統(tǒng)一訪問授權(quán)管理通過統(tǒng)一用戶管理，實(shí)現(xiàn)全網(wǎng)范圍內(nèi)從終端到服務(wù)器到網(wǎng)絡(luò)設(shè)備和安全設(shè)備的統(tǒng)一授權(quán)，避免了大量重復(fù)低效勞動(dòng)，同時(shí)也避免錯(cuò)誤發(fā)生，提高勞動(dòng)效率、提高安全等級(jí)。 全網(wǎng)實(shí)名審計(jì)與統(tǒng)一事件管理通過終端實(shí)名策略和服務(wù)器統(tǒng)一管理，無論安全事件發(fā)生在哪里、由哪些捕獲，通過將源頭抓獲，可以輕松定位安全事件何時(shí)、何地、何人所為，將IDS等傳統(tǒng)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的審計(jì)結(jié)果與人員身份輕松對(duì)應(yīng)，實(shí)現(xiàn)真正意義上的全網(wǎng)實(shí)名審計(jì)。8 《企業(yè)內(nèi)部控制基本規(guī)范》的要求與解決 內(nèi)控原則《企業(yè)內(nèi)部控制基本規(guī)范》中第四條明確要求：第四條 企業(yè)建立與實(shí)施內(nèi)部控制，應(yīng)當(dāng)遵循下列原則： （一）全面性原則。內(nèi)部控制應(yīng)當(dāng)貫穿決策、執(zhí)行和監(jiān)督全過程，覆蓋企業(yè)及其所屬單位的各種業(yè)務(wù)和事項(xiàng)。 （二）重要性原則。內(nèi)部控制應(yīng)當(dāng)在全面控制的基礎(chǔ)上，關(guān)注重要業(yè)務(wù)事項(xiàng)和高風(fēng)險(xiǎn)領(lǐng)域。 （三）制衡性原則。內(nèi)部控制應(yīng)當(dāng)在治理結(jié)構(gòu)、機(jī)構(gòu)設(shè)置及權(quán)責(zé)分配、業(yè)務(wù)流程等方面形成相互制約、相互監(jiān)督，同時(shí)兼顧運(yùn)營(yíng)效率。 （四）適應(yīng)性原則。內(nèi)部控制應(yīng)當(dāng)與企業(yè)經(jīng)營(yíng)規(guī)模、業(yè)務(wù)范圍、競(jìng)爭(zhēng)狀況和風(fēng)險(xiǎn)水平等相適應(yīng)，并隨著情況的變化及時(shí)加以調(diào)整。（五）成本效益原則。內(nèi)部控制應(yīng)當(dāng)權(quán)衡實(shí)施成本與預(yù)期效益，以適當(dāng)?shù)某杀緦?shí)現(xiàn)有效控制。對(duì)此，內(nèi)控管理應(yīng)考慮以下事項(xiàng)：應(yīng)從終端計(jì)算機(jī)、服務(wù)器與網(wǎng)絡(luò)設(shè)備管理、應(yīng)用管理、內(nèi)網(wǎng)評(píng)估等方面進(jìn)行全面安全管理體系的建設(shè)，以滿足全面性原則要求。使用極地內(nèi)部網(wǎng)絡(luò)控制統(tǒng)一安全管理解決方案可以全面覆蓋這四個(gè)方面的安全管理需要，滿足此要求；應(yīng)將終端管理、服務(wù)器與網(wǎng)絡(luò)設(shè)備管理、應(yīng)用管理在安全建設(shè)的重要等級(jí)進(jìn)行相應(yīng)提高，對(duì)滿足重要性原則要求。使用極地內(nèi)部網(wǎng)絡(luò)控制統(tǒng)一安全管理解決方案可以覆蓋高等級(jí)安全管理要求，滿足此要求；應(yīng)考慮體系建設(shè)完成后，利用技術(shù)體系提供的角色管理手段，合理分配管理職能，以滿足制衡性原則。使用極地內(nèi)部網(wǎng)絡(luò)控制統(tǒng)一安全管理解決方案可以提供豐富的角色管理手段，滿足此要求；應(yīng)在體系建設(shè)中考慮系統(tǒng)適應(yīng)性，選用適應(yīng)性強(qiáng)的產(chǎn)品進(jìn)行建設(shè)。使用極地內(nèi)部網(wǎng)絡(luò)控制統(tǒng)一安全管理解決方案所使用的系列產(chǎn)品均有非常強(qiáng)的環(huán)境適應(yīng)能力，充分滿足此要求；應(yīng)考慮體系建設(shè)的成本問題。使用極地內(nèi)部網(wǎng)絡(luò)控制統(tǒng)一安全管理解決方案可以以低廉的成本完成高等級(jí)安全建設(shè)的需要，滿足成本要求。 技術(shù)要求《企業(yè)內(nèi)部控制基本規(guī)范》中第四條明確要求：第七條 企業(yè)應(yīng)當(dāng)運(yùn)用信息技術(shù)加強(qiáng)內(nèi)部控制，建立與經(jīng)營(yíng)管理相適應(yīng)的信息系統(tǒng)，促進(jìn)內(nèi)部控制流程與信息系統(tǒng)的有機(jī)結(jié)合，實(shí)現(xiàn)對(duì)業(yè)務(wù)和事項(xiàng)的自動(dòng)控制，減少或消除人為操縱因素。極地內(nèi)部網(wǎng)絡(luò)控制統(tǒng)一安全管理解決方案就是這樣一套滿足內(nèi)控要求的技術(shù)體系，以技術(shù)平臺(tái)實(shí)現(xiàn)對(duì)業(yè)務(wù)和安全事項(xiàng)的自動(dòng)管控，減少人為操縱。 風(fēng)險(xiǎn)評(píng)估《企業(yè)內(nèi)部控制基本規(guī)范》中第三章條對(duì)風(fēng)險(xiǎn)評(píng)估提出了明確要求，而風(fēng)險(xiǎn)評(píng)估離不開資產(chǎn)這個(gè)基礎(chǔ)。極地內(nèi)部網(wǎng)絡(luò)控制統(tǒng)一安全管理解決方案即以資產(chǎn)管理為基礎(chǔ)，對(duì)所有計(jì)算機(jī)和設(shè)備進(jìn)行管理，為實(shí)施風(fēng)險(xiǎn)評(píng)估提供了良好的基礎(chǔ)。 控制活動(dòng)《企業(yè)內(nèi)部控制基本規(guī)范》中第四章對(duì)控制活動(dòng)提出了明確要求，極地內(nèi)部網(wǎng)絡(luò)控制統(tǒng)一安全管理解決方案可以按照內(nèi)控要求，對(duì)各種信息訪問進(jìn)行控制，以達(dá)到內(nèi)控中對(duì)控制活動(dòng)的要求。另外，第四章第三十七條還對(duì)預(yù)警機(jī)制和應(yīng)急響應(yīng)機(jī)制提出要求，極地內(nèi)部網(wǎng)絡(luò)控制統(tǒng)一安全管理解決方案可以提供全網(wǎng)統(tǒng)一的報(bào)警管理和事件處理機(jī)制，為預(yù)警體系建設(shè)和應(yīng)急響應(yīng)體系建設(shè)提供良好的基礎(chǔ)。 信息與溝通《企業(yè)內(nèi)部控制基本規(guī)范》中第五章對(duì)信息與溝通提出了確要求，極地內(nèi)部網(wǎng)絡(luò)控制統(tǒng)一安全管理解決方案可以將所有計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備以及應(yīng)用的運(yùn)行狀態(tài)進(jìn)行統(tǒng)一展示，提供最全面、最直觀、最有效的信息展示，以求在各管理級(jí)次、責(zé)任單位、業(yè)務(wù)環(huán)節(jié)之間，以及部門、單位之間進(jìn)行有效的溝通與反饋，及時(shí)發(fā)現(xiàn)問題并解決。 內(nèi)部監(jiān)督《企業(yè)內(nèi)部控制基本規(guī)范》中第六章對(duì)內(nèi)部監(jiān)督提出了明確要求。極地內(nèi)部網(wǎng)絡(luò)控制統(tǒng)一安全管理解決方案豐富的角色設(shè)置、靈活的策略平臺(tái)和報(bào)表平臺(tái)，都為監(jiān)督體系、變更體系、內(nèi)部缺陷管理等各個(gè)管理需求提供了良好的技術(shù)支持。