【正文】 掃描調(diào)度算法和掃描模塊的算法 北京富力通能源軟件技術(shù)有限公司 。 “飛狐 網(wǎng)絡(luò)安全掃描系統(tǒng) ”由飛狐掃描、補(bǔ)丁掃描和 NASL 掃描三大部分掃描功能組成，它引入安全登錄機(jī)制，防暴力破解。自動(dòng)判斷所處理目標(biāo)的系統(tǒng)類型并自動(dòng)匹配相應(yīng)的掃描模版。截止到 2022 年 1 月，本系統(tǒng)能夠從多個(gè)角度識(shí)別和檢測(cè)超過(guò) 60個(gè)分類的 1240 條漏洞及安全隱患信息。 (1) 綠盟科技的極光遠(yuǎn)程安全評(píng)估系統(tǒng) 北京富力通能源軟件技術(shù)有限公司 第 40 頁(yè) 共 75 頁(yè) 綠盟科技的極光遠(yuǎn)程安全評(píng)估系 統(tǒng) 綠盟科技的極光遠(yuǎn)程安全評(píng)估系統(tǒng)基于嵌入式 Linux 系統(tǒng)的硬件安全掃描設(shè)備，可靠性、穩(wěn)定性更好，同時(shí)大大提高了工作效率和自身安全性自身具有良好的安全性和穩(wěn)定性，也是對(duì)提供更好的掃描服務(wù)的保障。 網(wǎng)絡(luò)漏洞掃描系統(tǒng)發(fā)展迅速，產(chǎn)品種類繁多，且各具特點(diǎn)，在功能和性能上存在著一定的差異。 網(wǎng)絡(luò)漏洞掃描器通過(guò)遠(yuǎn)程檢測(cè)目標(biāo)主機(jī) TCP/IP 不同端口的服務(wù)，記錄目標(biāo)給予的應(yīng)答，來(lái)搜集目標(biāo)主機(jī)上的各種信息，然后與系統(tǒng)的漏洞庫(kù)進(jìn)行匹配，如果滿足匹配條件，則認(rèn)為安全漏洞存在；或者通過(guò)模擬黑客的攻擊手法對(duì)目標(biāo)主機(jī)進(jìn)行攻擊，如果模擬攻擊成功，則認(rèn)為安全漏洞存在。掃描器首先通過(guò)請(qǐng)求 /應(yīng)答，或通過(guò)執(zhí)行攻擊腳本，來(lái)搜 集目標(biāo)主機(jī)上的信息，然后在獲取的信息中尋找漏洞特征庫(kù)定義的安全漏洞，如果有，則認(rèn)為安全漏洞存在。 網(wǎng)絡(luò)漏洞掃描系統(tǒng)的產(chǎn)品技術(shù)分析 網(wǎng)絡(luò)漏洞掃描系統(tǒng)（簡(jiǎn)稱掃描器），是指通過(guò)網(wǎng)絡(luò)遠(yuǎn)程檢測(cè)目標(biāo)網(wǎng)絡(luò)和主機(jī)系統(tǒng)漏洞的程序，它對(duì)網(wǎng)絡(luò)系統(tǒng)和設(shè)備進(jìn)行安全漏洞檢測(cè)和分析，從而發(fā)現(xiàn)可能被入侵者非法利用的漏洞。防火墻、防病毒、入侵檢測(cè)、漏洞掃描分別屬于 PDR 和 P2DR 模型中的防護(hù)和檢測(cè)環(huán)節(jié)。因?yàn)楝F(xiàn)在不再有沒(méi)有劃分 VLAN 的單一 網(wǎng)絡(luò)存在；掃描器發(fā)出的數(shù)據(jù)包有些會(huì)被路由器、防火墻過(guò)濾，降低掃描的準(zhǔn)確性。給企業(yè)提供更好的覆蓋、更容易的協(xié)同和加強(qiáng)的安全。比如 RJiTop 網(wǎng)絡(luò)隱患掃描系統(tǒng)采用軟硬結(jié)合、專門優(yōu)化的 linux 系統(tǒng)，關(guān)閉了不必要的端口和服務(wù)，并且傳輸 的數(shù)據(jù)加密。比如 RJiTop網(wǎng)絡(luò)隱患掃描系統(tǒng)每周一次，漏洞數(shù)量達(dá) 1502 之多（截止到 2022 年 7 月 9 日）。 那我們?nèi)绾芜x購(gòu)專業(yè)的網(wǎng)絡(luò)隱患掃描系統(tǒng)呢？一般來(lái)講它必須具備以下幾個(gè)標(biāo)準(zhǔn)： 是否通過(guò)國(guó)家的各種認(rèn)證 目前國(guó)家對(duì)安全產(chǎn)品進(jìn)行認(rèn)證工作的權(quán)威部門包括公安部信息安全產(chǎn)品測(cè)評(píng)中心、國(guó)家信息安全產(chǎn)品測(cè)評(píng)中心、解放軍安全產(chǎn)品測(cè)評(píng)中心、國(guó)家保密局測(cè)評(píng)認(rèn)證中心 。就目前系統(tǒng)的安全狀況而言，系統(tǒng)中存在著一定的漏洞，因此 也就存在著潛在的安全威脅，但是，如果我們能夠根據(jù)具體的應(yīng)用環(huán)境，盡可能早地通過(guò)網(wǎng)絡(luò)掃描來(lái)發(fā)現(xiàn)這些漏洞，并及時(shí)采取適當(dāng)?shù)奶幚泶胧┻M(jìn)行修補(bǔ)，就可以有效地阻止入侵事件的發(fā)生。美國(guó)威斯康星大學(xué)的 Miller 給出一份有關(guān)現(xiàn)今流行操作系統(tǒng)和應(yīng)用程序 北京富力通能源軟件技術(shù)有限公司 第 38 頁(yè) 共 75 頁(yè) 的研究報(bào)告，指出軟件中不可能沒(méi)有漏洞和缺陷。然而，由于 NIDS 本身的局限性， 網(wǎng)絡(luò)黑客利用 碎片攻擊 、會(huì)話拼接、拒絕服務(wù)攻擊等手段 躲 避或者越過(guò)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) (Network Intrusion Detection System,NIDS)的新技術(shù)，勝利的天平正在向 他們 傾斜。不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。 針對(duì) IDS 的逃避技術(shù) 防火墻有以上的諸多局限性，同時(shí)它又處于網(wǎng)關(guān)的位置，不可能對(duì)進(jìn)出攻擊作太多判斷，否則會(huì)嚴(yán)重 影響網(wǎng)絡(luò)性能。防火墻也是一個(gè) OS，也有著其硬件系統(tǒng)和軟件，因此依然有著漏洞和 bug。 防火墻不能防止本身安全漏洞的威脅。 防火墻不能防止內(nèi)部的泄密行為。 防火墻不能防止受病毒感染的文件的傳輸。防火墻的各種策略，也是在該攻擊方式經(jīng)過(guò)專家分析后給出其特征進(jìn)而設(shè)置的。另外，防火墻內(nèi)部各主機(jī)間的攻擊行為，防火墻也只能如旁觀者一樣冷視而愛(ài)莫能助。 外緊內(nèi)松 是一般局域網(wǎng)絡(luò)的特點(diǎn)，一道嚴(yán)密防守的防火墻其內(nèi)部的網(wǎng)絡(luò)也有可能是一片混亂。它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，但是它也存在局限性。 防火墻的局限性和脆弱性 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。 首先，讓我們來(lái)看看現(xiàn)階段網(wǎng)絡(luò)上使用最多的安全設(shè)備防火墻和入侵檢測(cè)。但是，單個(gè)安全技術(shù)或者安全產(chǎn)品的功能和性能都有其局限性，只能滿足系統(tǒng)與網(wǎng)絡(luò)特定的安全需求。 網(wǎng)絡(luò)漏洞掃描系統(tǒng)的必要性 隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和普及應(yīng)用，網(wǎng)絡(luò)安全已日漸成為人們關(guān)注的焦點(diǎn)問(wèn)題之一。漏洞掃描按功能可分為：操作系統(tǒng)漏洞掃描、網(wǎng)絡(luò)漏洞掃描和數(shù)據(jù)庫(kù)漏洞掃描。 北京富力通能源軟件技術(shù)有限公司 第 36 頁(yè) 共 75 頁(yè) 因?yàn)?Quidway 系 列路由器支持各種 VPN 技術(shù)，包括隧道技術(shù)、 IPsec、密鑰交換技術(shù)、防火墻技術(shù)、 QoS 與配置管理等，并可繼續(xù)發(fā)展，支持越來(lái)越多的先進(jìn)技術(shù)，所以為用戶提供了很好的選擇和性價(jià)比。 2. 華為 的 VPN 解決方案 華為 的 VPN 解決方案包括 AccessVPN、 IntraVPN、 ExtraVPN 及結(jié)合防火墻的 VPN解決方案。借助 7100 的 VPN 解決方案的周邊安全機(jī)制、侵入檢測(cè)及先進(jìn)的帶寬管理和服務(wù)身份確認(rèn)等功能，還有先進(jìn)的帶寬管理性能，可以保證用戶的實(shí)時(shí)交易數(shù)據(jù)等高優(yōu)先級(jí)數(shù)據(jù)流優(yōu)先通過(guò)，滿足了電子商務(wù)等活動(dòng)的需要。其中 7100 系列 VPN 路由器是一款集成了高性能路由和 VPN 服務(wù)功能的產(chǎn)品，其硬件配置特別針對(duì) VPN 應(yīng)用及拓?fù)浣Y(jié)構(gòu)作了全面優(yōu)化，內(nèi)置有適應(yīng)不同連接要求的多種網(wǎng)絡(luò)端口，并具有 VPN 隧道交換、數(shù)據(jù)加密、安全服務(wù)、防火墻、帶寬管理等多種功能和服務(wù)。 VPN 解決方案 1. Cisco 的 VPN 解決方案 Cisco 公司與路由器集成的 VPN 解決方案是一種較為常見(jiàn)的基于硬件的構(gòu)建策略。 VPN 管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。 4． 可管理性 從用戶角度和運(yùn)營(yíng)商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。 QoS 通過(guò)流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生 。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建 VPN 的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。如移動(dòng)辦公用戶，提供廣泛的連接和覆蓋性是保證 VPN 服務(wù)的一個(gè)主要因素；而對(duì)于擁有眾多分支機(jī)構(gòu)的專線 VPN 網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對(duì)于其它應(yīng)用（如視頻等）則對(duì)網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時(shí)延及誤碼率等。 2． 服務(wù)質(zhì)量保證（ QoS） VPN 網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。企業(yè)必須確保其 VPN 上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法 用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。在非面向連接的公用 IP 網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接，稱之為建立一個(gè)隧道，可以利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。 身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式?，F(xiàn)行 北京富力通能源軟件技術(shù)有限公司 第 34 頁(yè) 共 75 頁(yè) 密鑰管理技術(shù)又分為 SKIP 與 ISAKMP/OAKLEY 兩種。 加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)， VPN 可直接利用現(xiàn)有技術(shù)。第三層隧道協(xié)議有 VTP、 IPSec 等。 L2TP 協(xié)議是目前 IETF 的標(biāo)準(zhǔn)，由 IETF 融合 PPTP 與 L2F 而形成。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層 隧道協(xié)議。 Decryption）、密鑰管理技術(shù)（ Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（ Authentication）。 VPN 的技術(shù) 由于傳輸?shù)氖撬接行畔ⅲ?VPN 用戶對(duì)數(shù)據(jù)的安全性都比較關(guān)心。因此，用戶的信息技術(shù)部門在連接分支機(jī)構(gòu)方面也感到日益棘手。這些合作和聯(lián)系是動(dòng)態(tài)的，并依靠網(wǎng)絡(luò)來(lái)維持和加強(qiáng)，于是各企業(yè)發(fā)現(xiàn)，這樣的信息交流不但帶來(lái)了網(wǎng)絡(luò)的復(fù)雜性，還帶來(lái)了管理和安全性的問(wèn)題，因?yàn)?Inter 是一個(gè)全球性和開放性的、基于 TCP/IP 技術(shù)的、不可管理的國(guó)際互聯(lián)網(wǎng)絡(luò)，因此，基于 Inter 的商務(wù)活動(dòng)就面臨非善意的信息威脅和安全隱患。 北京富力通能源軟件技術(shù)有限公司 第 33 頁(yè) 共 75 頁(yè) 越來(lái)越多的用戶認(rèn)識(shí)到，隨著 Inter 和電子商務(wù)的蓬勃發(fā)展，經(jīng)濟(jì)全球化的最佳途徑是發(fā)展基于 Inter 的商務(wù)應(yīng)用。 由于 VPN 是在 Inter 上臨時(shí)建立的安全專用虛擬網(wǎng)絡(luò)，用戶就節(jié)省了租用專線的費(fèi)用，在運(yùn)行的資金支出上，除了購(gòu)買 VPN 設(shè)備，企業(yè)所付出的僅僅是向企業(yè)所在地的 ISP支付一定的上網(wǎng)費(fèi)用，也節(jié)省了長(zhǎng)途電話費(fèi)。 所以我們說(shuō)的虛擬專用網(wǎng)一般指的是建筑在 Inter 上能夠自我管理的專用網(wǎng)絡(luò)，而不是 Frame Relay 或 ATM 等提供虛擬固定線路（ PVC）服務(wù)的網(wǎng)絡(luò)。更為重要的是兩端的終端設(shè)備不但價(jià)格昂貴，而且管理也需要一定的專業(yè)技術(shù)人員，無(wú)疑增加了成本，而且?guī)欣^、 ATM 數(shù)據(jù)網(wǎng)絡(luò)也不會(huì)像 Inter 那樣，可立即與世界上任何一個(gè)使用 Inter 網(wǎng)絡(luò)的單位連接。 用戶現(xiàn)在在電信部門租用的幀中繼（ Frame Relay）與 ATM 等數(shù)據(jù)網(wǎng)絡(luò)提供固定虛擬線路（ PVCPermanent Virtual Circuit）來(lái)連接需要通訊的單位，所有的權(quán)限掌握在別人的手中。所謂虛擬，是指用戶不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路，而是使用 Inter 公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。 3．虛擬專用網(wǎng) 絡(luò) （ VPN） VPN 概況 現(xiàn)在有很多連接都被稱作 VPN，用戶經(jīng)常分不清楚，那么一般所說(shuō)的 VPN 到底是什么呢？顧名思義，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。 系統(tǒng)平臺(tái) DeMaster是采用軟硬件集成的整體解決方案所開發(fā)出來(lái)的網(wǎng)絡(luò)入侵檢測(cè)防御系統(tǒng)。遠(yuǎn)程登入DeMaster時(shí)也必須使用有加密功能的 SSH。如此，黑客將無(wú)法掃描到 DeMaster的存在，因而可大大降低其遭受黑客入侵攻擊的可能性。采用此種操作系統(tǒng)的好處是，操作系統(tǒng)較為專屬，可提供較好的效能。有了這些更新的機(jī)制與策略，可使用戶得到最安全的網(wǎng) 絡(luò)保護(hù)措施。為些提供用戶實(shí)時(shí)更新 DeMaster的系統(tǒng)核心 (Kernel)。這些新增的攻擊防御策略，將透過(guò)更新服務(wù)器 (Upgrade Server)，為所有的 DeMaster進(jìn)行防御策略的網(wǎng)絡(luò)更新升級(jí)動(dòng)作。 DeMaster背后由一群網(wǎng)絡(luò)安全專家組成 ISST（ ITech Security Service Team），不斷的從全球網(wǎng)絡(luò)安全相關(guān)組織如 CERT? 等，及網(wǎng)絡(luò)上搜集新的黑客攻擊手法，并研究其入侵攻擊對(duì)象有影響。此特性與病毒防制相似。 北京富力通能源軟件技術(shù)有限公司 第 30 頁(yè) 共 75 頁(yè) 圖十八： DeMaster對(duì)攻擊事件數(shù)據(jù)包的詳細(xì)記錄 圖十九： DeMaster對(duì)攻擊事件數(shù)據(jù)包的詳細(xì)記錄 自動(dòng)更新能力 采用攻擊辨識(shí)碼比對(duì)技術(shù)本身，受限于只能針對(duì)已知的且已制作成攻擊辨識(shí)碼的入侵攻擊進(jìn)行檢測(cè)防御。用戶可從內(nèi)建的報(bào)表系統(tǒng)功能中，很輕易的搜尋到所需要的詳細(xì)信息，而不需額外再添購(gòu)一些軟件。此外搜證信息，也可作為用戶對(duì)黑客訴訟的依據(jù)。圖十七，顯示 DeMaster所記錄的系統(tǒng)事件表列情形。用以協(xié)助用戶，觀察整個(gè)網(wǎng)絡(luò)流量有無(wú)異常狀況發(fā)生。 圖十二 : DeMaster報(bào)表查詢窗口 報(bào)表形態(tài)選擇窗口 報(bào)表查詢時(shí)間選擇窗口 報(bào)表形態(tài)選擇鈕 北京富力通能源軟件技術(shù)有限公司 第 27 頁(yè) 共 75 頁(yè) 圖十三 :搜索結(jié)果示意圖 圖十四 :搜索結(jié)果示意圖 北京富力通能源軟件技術(shù)有限公司 第 28 頁(yè) 共 75 頁(yè) 圖十五 :查看分析示意圖 在線實(shí)時(shí)流量監(jiān)測(cè) DeMaster提供在線實(shí)時(shí)流量監(jiān)測(cè)功能，用戶可自行選擇監(jiān)測(cè)的時(shí)間長(zhǎng)短。如此，用戶經(jīng)由這些分析報(bào)表的協(xié)助，加強(qiáng)常受到攻擊的服務(wù)器主機(jī)本身的安全防護(hù)，并追蹤攻擊來(lái)源。用戶可再?gòu)倪@些報(bào)表內(nèi)再點(diǎn)選進(jìn)入察看更細(xì)步的分析。 圖十一 : DeMaster在線實(shí)時(shí)網(wǎng)絡(luò)攻擊監(jiān)測(cè) 網(wǎng)絡(luò)入侵攻擊事件檢視查詢 DeMaster對(duì)于網(wǎng)絡(luò)攻擊的查詢可以分為三大類，第一類為攻擊事件報(bào)表：為主要網(wǎng)絡(luò)攻 北京富力通能源軟件技術(shù)有限公司 第 26 頁(yè) 共 75 頁(yè) 擊事件的瀏覽，用戶可以查看受攻擊主機(jī)、攻擊種類、攻擊危險(xiǎn)程度排名等；第二類為事件搜尋：此類查詢?yōu)橹匾羰录牟樵?，可以針?duì)服務(wù)器主機(jī)或網(wǎng)絡(luò)攻擊種類進(jìn)行網(wǎng)絡(luò)攻擊事件的查詢；最后一類則為統(tǒng)計(jì)