隨著網(wǎng)絡(luò)當(dāng)中資產(chǎn)類型的增加，相關(guān)的安全漏洞種類也在不斷變多，安全風(fēng)險的治理難度也在不斷增加。不論在真實的網(wǎng)絡(luò)攻擊還是在攻防演練當(dāng)中，致命的問題往往出現(xiàn)在暴露面風(fēng)險當(dāng)中，成為攻擊者利用的主要途徑。近年來頻繁爆出的Struts2漏洞、WebLogic遠程代碼執(zhí)行漏洞、Shiro反序列化漏洞等等，其所影響的框架或組件利用率很高，因此失陷后伴隨的影響面也非常大，每次都可能帶來大量損失。

根據(jù)CNCERT對2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報告中的統(tǒng)計，國家信息安全漏洞共享平臺（CNVD）收錄通用型安全漏洞 13,083 個，同比增長 18.2%。其中高危漏洞收錄數(shù)量為3,719 個， “零日”漏洞收錄數(shù)量為7,107 個，受影響的是應(yīng)用程序、Web應(yīng)用和操作系統(tǒng)等。

背景需求

某農(nóng)商銀行經(jīng)過多年來的信息化發(fā)展，網(wǎng)銀、電子銀行等業(yè)務(wù)平臺大量對互聯(lián)網(wǎng)開放，對整個信息安全的管理和控制都提出了更高的要求。銀行對漏洞風(fēng)險管理格外重視，組建了一支內(nèi)部滲透測試團隊，在系統(tǒng)開發(fā)、上線與運行期間進行同步安全檢測與跟蹤，因此需要一套綜合高效的漏洞檢查方案。盛邦安全為客戶制定了一套資產(chǎn)與脆弱性風(fēng)險管理解決方案，基于資產(chǎn)梳理和漏洞管理的思想出發(fā)，協(xié)助客戶進行日常的安全巡檢與管理工作。

建設(shè)方案

檢查和基線核查功能于一體，可以針對網(wǎng)站、信息系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫、中間件、常用軟件、應(yīng)用系統(tǒng)、虛擬化系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備和物聯(lián)網(wǎng)設(shè)備等各種網(wǎng)絡(luò)對象進行漏洞風(fēng)險掃描，并支持基于內(nèi)置和用戶自定義的弱口令掃描檢查，同時還可以結(jié)合系統(tǒng)基線、行業(yè)基線和等?；€進行配置合規(guī)檢查，提供多維度的全面風(fēng)險檢查能力。另外，系統(tǒng)可以從資產(chǎn)和漏洞等維度出發(fā)，對整體脆弱性風(fēng)險進行威脅等級評價、漏洞驗證、修復(fù)指導(dǎo)和管理跟蹤，為安全管理人員提供可靠的支撐平臺。

針對農(nóng)商行客戶的安全檢查需求，需要同時關(guān)注總行、各分行及營業(yè)網(wǎng)點的安全風(fēng)險情況，因此針對不同的網(wǎng)絡(luò)規(guī)模與環(huán)境，方案選用了三種形態(tài)的一體化漏洞掃描系統(tǒng)來分別應(yīng)用。

◆ 針對總行環(huán)境，在安全管理區(qū)域部署標(biāo)準(zhǔn)的機架式設(shè)備，針對DMZ區(qū)域、辦公區(qū)域和服務(wù)器區(qū)域等不同安全域的設(shè)備與信息系統(tǒng)進行安全檢查；

◆ 針對分行等各二、三級單位，利用SOHO形態(tài)的設(shè)備，選擇靈活的部署位置快速接入網(wǎng)絡(luò)，實現(xiàn)高效的安全檢查；

◆ 對于部分無法部署固定設(shè)備的營業(yè)網(wǎng)點，可以采用便攜式形態(tài)設(shè)備即插即用，進行靈活的移動安全檢查，簡化設(shè)備的實施方式，減少網(wǎng)絡(luò)資源的消耗。

方案優(yōu)勢

◆ 全面的風(fēng)險檢查類型

一體化漏洞掃描系統(tǒng)集系統(tǒng)掃描、Web掃描、數(shù)據(jù)庫掃描、弱口令掃描和基線檢查能力于一體，通過單臺系統(tǒng)即可提供全面的脆弱性風(fēng)險檢查與評估方案。

◆ 豐富的漏洞庫資源

一體化漏洞掃描系統(tǒng)內(nèi)置了豐富的漏洞庫資源，可覆蓋全面的資產(chǎn)類型，并兼容CVE、CNCVE、CNNVD、CNVD、CVSS等多種漏洞標(biāo)準(zhǔn)，同時針對爆發(fā)的0day漏洞在24小時內(nèi)提供響應(yīng)，為漏洞管理工作提供了可靠支撐。

◆ 靈活的場景適應(yīng)能力

一體化漏洞掃描系統(tǒng)包含了便攜式、桌面式、機架式和虛擬化等多種規(guī)格形態(tài)，可以根據(jù)不同的網(wǎng)絡(luò)和需求場景靈活選擇，提升了場景的適應(yīng)性。

方案價值

◆ 提升對熱點漏洞的監(jiān)控能力

方案可以幫助客戶做到對熱點漏洞的跟蹤，通過及時的漏洞庫更新和常態(tài)化的風(fēng)險滲透測試，可以快速進行新增風(fēng)險的定位與影響范圍定損，及時制定相應(yīng)的修復(fù)與整改方案，降低生產(chǎn)損失。

◆ 增強整體的安全管理能力

方案集成了資產(chǎn)識別、掃描檢測、漏洞驗證、修復(fù)建議和跟蹤管理等一系列安全模塊，提供了從發(fā)現(xiàn)到驗證再到修復(fù)跟蹤的閉環(huán)管理能力，可以很大程度上減輕一線運維人員的工作壓力，提高安全管理工作的效率。同時，方案提供了資產(chǎn)和漏洞兩種脆弱性管理的維度，方便運維人員從重點資產(chǎn)和熱點漏洞兩個方向進行風(fēng)險跟蹤，厘清暴露面風(fēng)險。