浪潮信創(chuàng)主動(dòng)式安全漏洞掃描檢測(cè)驗(yàn)證系統(tǒng)

浪潮信創(chuàng)主動(dòng)式安全漏洞掃描檢測(cè)驗(yàn)證系統(tǒng)是專注于電子政務(wù)外網(wǎng)、電子政務(wù)內(nèi)網(wǎng)以及內(nèi)部專用網(wǎng)絡(luò)安全漏洞主動(dòng)滲透檢測(cè),平臺(tái)支持海光、飛騰、X86等多種技術(shù)路線。<br>系統(tǒng)總體目標(biāo)是:圍繞用戶網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫(kù)、中間件、業(yè)務(wù)系統(tǒng)等進(jìn)行定期的、自動(dòng)化和智能化的主動(dòng)攻擊模擬和取證,提供精準(zhǔn)的整改報(bào)告以及整改服務(wù)。

一、項(xiàng)目背景

某省信創(chuàng)云其中一期服務(wù)器數(shù)量高達(dá)200多臺(tái),并且云平臺(tái)之上運(yùn)行了幾十個(gè)應(yīng)用。如何確保云服務(wù)器的運(yùn)行安全以及應(yīng)用中使用的組件(包括中間件、數(shù)據(jù)庫(kù)、第三方應(yīng)用組件等)的安全,如何在確保安全的情況前提下,快速完成漏洞掃描以及漏洞修復(fù)、如何及時(shí)發(fā)現(xiàn)新的漏洞以及威脅是項(xiàng)目組面臨的棘手問(wèn)題。浪潮信創(chuàng)主動(dòng)式安全漏洞掃描檢測(cè)驗(yàn)證系統(tǒng)可以提供快速滲透以及定時(shí)滲透任務(wù),由原來(lái)的人工手動(dòng)滲透變成程序自動(dòng)滲透,減少了人工重復(fù)工作以及人工失誤,同時(shí)極大的節(jié)省了滲透時(shí)間。系統(tǒng)在滲透測(cè)試完成后可以出具安全測(cè)試報(bào)告,精準(zhǔn)報(bào)告漏洞數(shù)量并提供整改建議,為項(xiàng)目組節(jié)省整改時(shí)間。系統(tǒng)的定時(shí)執(zhí)行任務(wù)可以根據(jù)業(yè)務(wù)不同調(diào)整滲透時(shí)間,避免高峰時(shí)段對(duì)業(yè)務(wù)的影響。

二、客戶面臨的挑戰(zhàn)

挑戰(zhàn)一:信創(chuàng)系統(tǒng)漏洞不確定性:信創(chuàng)操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)等主要組件現(xiàn)在缺乏檢測(cè)工具。信創(chuàng)系統(tǒng)下漏洞不明確、發(fā)現(xiàn)不及時(shí)、危害程度不確定。

挑戰(zhàn)二:安全檢查常態(tài)化:關(guān)基檢查、HW行動(dòng)、例行檢查、突發(fā)事件檢查已經(jīng)逐漸成為一種常態(tài)需求。

挑戰(zhàn)三:現(xiàn)有常規(guī)檢查工具無(wú)法真實(shí)體現(xiàn)情況:漏掃等常規(guī)掃描軟件誤報(bào)率高、無(wú)法確定漏洞是否可用,反而為漏洞修復(fù)增加難度。

挑戰(zhàn)四:主動(dòng)檢查日益增多:各類活動(dòng)前的自檢、日常自檢、新系統(tǒng)上線前檢查、新增設(shè)備檢查、新增系統(tǒng)檢查日益增多而且日漸常態(tài)化。

挑戰(zhàn)五:攻防人員、手段/工具缺乏:安全攻防人員的稀缺,市場(chǎng)上攻防人員增長(zhǎng),遠(yuǎn)不能滿足信息化建設(shè)需求,專網(wǎng)、內(nèi)網(wǎng)資產(chǎn)規(guī)模大、數(shù)量多,手工滲透的時(shí)效性差。

三、解決方案

浪潮推出“信創(chuàng)主動(dòng)式安全漏洞檢測(cè)驗(yàn)證系統(tǒng)”。系統(tǒng)可模擬攻防演練中攻方滲透工程師的操作,對(duì)用戶網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫(kù)、中間件、業(yè)務(wù)系統(tǒng)等進(jìn)行定期的、自動(dòng)化和智能化的攻擊模擬和取證,將繁雜的人工滲透自動(dòng)化、智能化,實(shí)現(xiàn)弱點(diǎn)的事前感知,直觀務(wù)實(shí)的解決網(wǎng)絡(luò)安全問(wèn)題。

系統(tǒng)功能整體架構(gòu)根據(jù)業(yè)務(wù)邏輯分為四層:滲透引擎層、任務(wù)調(diào)度層、數(shù)據(jù)存儲(chǔ)層和上層業(yè)務(wù)層。平臺(tái)整體架構(gòu)從技術(shù)分為應(yīng)用平臺(tái)和滲透工具箱兩部分,其中應(yīng)用平臺(tái)應(yīng)用負(fù)責(zé)展示和下發(fā)命令,滲透工具則具體執(zhí)行滲透要求。系統(tǒng)提供資產(chǎn)管理、資產(chǎn)發(fā)現(xiàn)、專項(xiàng)服務(wù)、指紋驗(yàn)證、安全滲透可視化、滲透報(bào)告管理、系統(tǒng)管理等功能。

四、客戶價(jià)值

主動(dòng)滲透減少誤報(bào):系統(tǒng)主動(dòng)滲透掃描,漏洞自動(dòng)滲透復(fù)原,并提供相應(yīng)的截圖,形成"證據(jù)",避免誤報(bào)。

提供整改報(bào)告及服務(wù):系統(tǒng)在主動(dòng)滲透完成后,出具安全滲透報(bào)告,報(bào)告中包含漏洞整改建議并且可以提供專家整改服務(wù),減少客戶整改時(shí)間。

滲透過(guò)程安全可靠:采用完全自研的攻防仿真驗(yàn)證引擎,對(duì)于敏感的攻擊參數(shù)均進(jìn)行了優(yōu)化處理,不會(huì)對(duì)生產(chǎn)環(huán)境造成不可逆影響,保證用戶進(jìn)行攻擊仿真過(guò)程中的安全性。

THEEND