CN101064736A - 一种计算机网络风险评估的装置及其方法 - Google Patents
一种计算机网络风险评估的装置及其方法 Download PDFInfo
- Publication number
- CN101064736A CN101064736A CN200610011853.0A CN200610011853A CN101064736A CN 101064736 A CN101064736 A CN 101064736A CN 200610011853 A CN200610011853 A CN 200610011853A CN 101064736 A CN101064736 A CN 101064736A
- Authority
- CN
- China
- Prior art keywords
- scanning
- network
- gateway
- vulnerability
- network topology
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 19
- 238000012502 risk assessment Methods 0.000 title description 22
- 238000004458 analytical method Methods 0.000 claims description 12
- 238000011156 evaluation Methods 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000010276 construction Methods 0.000 claims description 3
- 238000005067 remediation Methods 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000001186 cumulative effect Effects 0.000 description 4
- 230000005641 tunneling Effects 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000001681 protective effect Effects 0.000 description 2
- 208000032005 Spinocerebellar ataxia with axonal neuropathy type 2 Diseases 0.000 description 1
- 208000033361 autosomal recessive with axonal neuropathy 2 spinocerebellar ataxia Diseases 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000000246 remedial effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种计算机网络风险评估的装置及其方法,本发明的装置包括:网关,可获得网络拓扑结构信息;扫描代理服务器,可用于从网关处获得网络拓扑结构信息的;漏洞扫描器,可用于从扫描代理服务器处获得所述网络拓扑结构信息,并根据网络拓扑结构信息及其自身的配置建立扫描策略。本发明的方法包括步骤1,扫描代理服务器从网关处获得网络拓扑结构信息;步骤2,漏洞扫描器从扫描代理服务器处获取网络拓扑结构;步骤3,漏洞扫描器根据其配置及获得的所述网络拓扑结构信息建立扫描策略,并根据扫描策略进行扫描;步骤4,漏洞扫描器分析扫描结果,生成网络主机漏洞报告和/或补救报告。利用本发明可实现对内网中存在的风险进行有效地防护。
Description
技术领域
本发明涉及计算机网络,特别是涉及一种通过网关和漏洞扫描器来实现对计算机网络进行风险评估的设备和方法。
背景技术
在现有的技术中,安全网关和漏洞扫描器是两个独立的设备,不能协同工作。现有的技术是通过在网关处集成防火墙,防病毒,IPS/IDS等功能来进行安全防护。漏洞扫描器需要单独部署,并由人工配置,才能工作。现有的技术只注重在网关处的防护,这样只能抵挡外部的攻击。然而,根据警方的记录,70%的攻击是来自网络内部的。漏洞扫描器可以对内网中存在的风险进行稽核,从而有效地降低内部攻击的可能性。但是在现有的技术中这两种设备不能协同工作。对于每一个内网都要单独地部署漏洞扫描设备,还要手工的进行配置。这样的部署方式不但操作复杂而且造价很高。
发明内容
本发明的目的在于提供一种计算机网络风险评估的装置及方法,以通过网关和漏洞扫描器的协同工作来实现对内网中存在的风险进行有效地防护。
为解决本发明的上述技术问题,本发明提供了一种计算机网络风险评估的装置,其中,包括:
网关,可获得网络拓扑结构信息;
扫描代理服务器,与所述网关相连,可用于从所述网关处获得网络拓扑结构信息的;及
漏洞扫描器,用于从所述扫描代理服务器处获得所述网络拓扑结构信息,根据所述网络拓扑结构信息及其自身的配置建立扫描策略,并根据所述扫描策略进行扫描。
所述的装置,其中,所述漏洞扫描器通过虚拟专用网隧道、SSH安全协议、SSL协议和/或预先设定的一安全协议从所述扫描代理服务器获得所述网络拓扑结构的信息。
所述的装置,其中,所述漏洞扫描器上进一步包括一客户端模块,用于实现其与所述扫描代理服务器和所述网关的通信。
所述的装置,其中,所述漏洞扫描器上进一步包括一扫描结果分析模块,用于分析扫描网络主机的结果并生成漏洞报告和/或补救报告。
所述的装置,其中,进一步包括多个子网网关和所述子网关相连的用于获得所述多个子网网络拓扑结构信息的多个子网扫描代理服务器。
所述的装置,其中,所述漏洞扫描器为设置有漏洞扫描软件的个人电脑或包含漏洞扫描模块的运算设备。
所述的装置,其中,所述网关、扫描代理服务器及漏洞扫描器为集成在一起的一个设备。
为实现本发明的目的,本发明进一步提供了一种计算机网络风险评估的方法,其中,包括:
步骤1,扫描代理服务器从网关处获得网络拓扑结构信息;
步骤2,漏洞扫描器从扫描代理服务器处获取所述网络拓扑结构;
步骤3,漏洞扫描器根据其配置及获得的所述网络拓扑结构信息建立扫描策略,并根据所述扫描策略对网络进行漏洞扫描;
步骤4,漏洞扫描器分析扫描结果,生成网络主机漏洞报告和/或救报告。
所述的方法,其中,进一步包括通过扫描代理服务器或直接通过网关发送和/或接收扫描数据包步骤。
所述的方法,其中,当所述被扫描的网络是一个树形多层结构,进一步包括判断是否已获得整个网络的网络拓扑结构信息的步骤;如否,则重复所述步骤1,直至获取整个网络的全部拓扑信息的步骤。
所述的方法,其中,所述漏洞扫描器通过虚拟专用网隧道、SSH安全协议、SSL协议和/或预先设定的一安全协议从所述扫描代理服务器获得所述网络拓扑结构的信息。
对于ISP来说,由于一台漏洞扫描设备可以与多个网关和扫描代理服务器建立连接,同时对多个内网进行风险评估,这样就大大简化了部署和配置的复杂度,降低了风险评估的造价。对于单个内网来说,由于有了漏洞扫描设备定期的自动的进行风险评估,网管员可以及时发现内网中存在的安全漏洞,及时进行补救,这样就大大提高了对来自内网攻击的防护能力。
附图说明
图1为本发明的网络风险评估装置的方框示意图;
图2为本发明一实施例的网络风险评估装置的示意图;
图3为本发明一实施例的风险评估方法中,漏洞扫描器发包和收包时不通过扫描代理服务器进行而直接通过网关进行时的工作流程图;
图4为本发明另一实施例的网络风险评估装置的网络结构示意图。
具体实施方式
图1为本发明的网络风险评估装置的方框图。如图1所示,本发明的网络风险评估装置包括漏洞扫描器1、网关设备2(比如防火墙或路由器)、位于网关之后用于生成网络拓扑结构并处理扫描数据包的扫描代理服务器3。利用本发明的风险评估装置对网络中的多个主机4-7如图1所示的PC1-PC4进行风险评估。其中,网关是一种类似于防火墙和路由器的包过滤设备。它含有网络拓扑结构的信息。位于网关后的扫描代理服务器3能够通过自动从网关设备2处获取信息或手动配置的方法,生成网络拓扑结构图。而漏洞扫描器1则可以通过VPN隧道或特定协议从扫描代理服务器处取得网络拓扑。漏洞扫描器1能够自动稽核网络主机存在的漏洞(包括操作***和应用软件的漏洞),防毒软件的部署情况,服务器的配置是否安全,补丁管理等。漏洞扫描器1还可以通过分析网络中主机的网络行为,自动检测到未知的恶意软件。可以充当网关的设备有防火墙,路由器,PC(个人电脑),包括无线网关设备。可以充当漏洞扫描器的设备包括安装了漏洞扫描软件的PC,或者其它包含漏洞扫描模块的运算设备。其中的扫描代理服务器3具体的可以是PC机或是网关中的一个功能模块。漏洞扫描器、网关、扫描代理服务器三者也可集成在一起形成一设备,如在网关中集成有漏洞扫描器模块及扫描代理服务器模块。漏洞扫描器可进一步包括一客户端模块,用于实现其与所述扫描代理服务器和所述网关的通信。
利用本发明的风险评估装置通过网关和漏洞扫描器的协同工作扫描网络主机的方法包括以下几个步骤:1)网关获得网络的拓扑结构信息;2)漏洞扫描器通过VPN隧道或特定协议穿过网关连接到扫描代理服务器;3)漏洞扫描器从扫描代理服务器获取网络的拓扑结构信息;如果网络是一个树形多层结构,扫描代理服务器可以通过和下级子网网关后的扫描代理服务器通信,获得下级子网的拓扑,以此类推,就可以获得整个网络的拓扑,重复步骤2,直至获取整个网络的全部拓扑结构信息;4)漏洞扫描器根据整个网络的拓扑结构信息和漏洞扫描器的配置建立相应的扫描策略;5)漏洞扫描器通过扫描代理服务器发送和/或接收扫描数据包来进行漏洞扫描;6)漏洞扫描器分析扫描结果,生成网络主机漏洞报告和补救报告。
图2为本发明一实施例的网络风险评估装置的示意图。如图2,用箭头表示数据流,用箭头方向表示数据流动的方向。其中,ISP(internet服务提供商)8可以控制和配置漏洞扫描器9,并从漏洞扫描器9取得扫描结果和补救报告。漏洞扫描器9通过Internet(互联网)10连接到防火墙网关12。漏洞扫描器9可以和位于网关12之后的扫描代理服务器11相互通信。扫描代理服务器11进一步地可以和子网网关及其后的扫描代理服务器通信。漏洞扫描器9可以通过扫描代理服务器11对内网或直接对内网的目标设备13进行漏洞扫描。
在本发明的一实施例中,某公司的防火墙配置参见表1-表3,其中,网络接口的配置如表1所示,DHCP(动态主机配置协议)服务配置如表2所示。其中,表2中的Mobile_VLAN接口提供DHCP服务。Mobile_VLAN中的移动设备如表3所示。
接口名称 | 子网VLAN接口名称 | IP | Netmask(子网掩码) | Access(访问方式) |
internal | 192.168.20.1 | 255.255.255.0 | HTTPS,PING,SSH,SNMP,HTTP | |
internal | Manager_Office | 192.168.20.1 | 255.255.255.0 | HTTPS,HTTP |
internal | CTO_Office | 192.168.21.1 | 255.255.255.0 | |
internal | RD_Department | 192.168.22.1 | 255.255.255.0 | |
internal | Sales_Office | 192.168.23.1 | 255.255.255.0 | |
internal | QA | 192.168.24.1 | 255.255.255.0 | |
internal | Mobile_VLAN | 192.168.25.1 | 255.255.255.0 | |
wan1 | 172.21.12.253 | 255.255.255.0 | HTTPS,PING,SSH,SNMP,HTTP | |
wan2 | 60.24.165.193 | 255.255.255.255 | ||
dmx | 10.10.10.1 | 255.255.255.0 | HTTPS,PING,SSH,SNMP,HTTP |
表1
Interface接口 | Service服务 |
internal | None |
wan1 | None |
wan2 | None |
dmz | None |
Manager_Office | None |
CTO_Office | None |
RD_Department | None |
Sales_Office | None |
QA | None |
Mobile_VLAN | DHCP服务器 |
表2
IP | MAC地址 | Expire过期日期 |
192.168.25.33 | 00:0d:87:87:b2:ed | Mon Jan 18 19:14:07 2038 |
表3
其中,扫描代理服务器通过与防火墙的通信了解到如下信息:
1)公司的内网包含6个VLAN,分别为192.168.20.1/24,192.168.21.1/24,192.168.22.1/24,192.168.23.1/24,192.168.24.1/24,192.168.25.1/24。
2)Mobile_VLAN接口提供DHCP服务,这个VLAN中的移动设备IP地址可以从DHCP服务器处获取到。所以,对于这个VLAN,不进行全网段的扫描,只扫描确实存在的设备。例如,扫描代理服务器从防火墙的DHCP服务器处了解到,现在Mobile_VLAN中有一台移动设备,其IP为,192.168.25.33
这样,扫描代理服务器获取到的网络拓扑信息如下:
192.168.20.1/24,
192.168.21.1/24,
192.168.22.1/24,
192.168.23.1/24,
192.168.24.1/24,
192.168.25.33/32
这时,扫描代理服务器的配置如表4所示。根据这个配置表,扫描代理服务器会把整个内网的主机列表都提供给漏洞扫描器。网络管理员也可以根据自身情况,手工配置这些信息,增加或减少一些拓扑信息。除了网络拓扑信息外,网络管理员还可以对漏洞扫描的其它扫描策略进行配置。例如,他可以指定扫描哪些端口,是否要进行本地扫描,本地PC登录信息,进行哪些漏洞的扫描等等。如果他不指定这些扫描策略,漏洞扫描器将执行如表4中所示的默认扫描策略,对整个内网的主机进行扫描。
扫描代理服务器配置 | |
内网的网络拓扑 | 192.168.20.1/24,192.168.21.1/24,192.168.22.1/24,192.168.23.1/24,192.168.24.1/24,192.168.25.33/32 |
需要进行风险评估的主机列表 | 整个内网的主机 |
是否增加或减少进行风险评估的主机 | 否 |
表4
接下来,漏洞扫描器与扫描代理服务器通信。漏洞扫描器从扫描代理服务器处了解到,需要进行漏洞扫描的网络有:
192.168.20.1/24,
192.168.21.1/24,
192.168.22.1/24,
192.168.23.1/24,
192.168.24.1/24,
192.168.25.33/32
需要进行的扫描策略为默认。
根据这些信息,漏洞扫描器就可以自动建立起扫描策略,并进行扫描。
本实施例的扫描策略具体如表5所示。
漏洞扫描策略 | |
任务名称 | Scan_task_1 |
扫描主机列表 | 192.168.20.1/24, |
192.168.21.1/24,192.168.22.1/24,192.168.23.1/24,192.168.24.1/24,192.168.25.33/32 | |
扫描端口范围 | TCP:1-1024UDP:1-1024 |
扫描漏洞范围 | 所有漏洞 |
扫描任务开始时间 | 现在 |
表5
随后,漏洞扫描器运行扫描。漏洞扫描器的数据包通过代理服务器发送和接收。扫描完毕,漏洞扫描器生成的扫描报告和相应的补救内容如表6-表9所示。其中,表6为扫描报告的报告摘要。分别列出了报告名称、日期、扫描的主机数量、扫描地主机列表、未扫描到的主机列表、扫描开始时间及扫描结束时间等项。其中,表7为扫描报告的漏洞列表摘要,列出了漏洞的总数量、漏洞的危险程度及其相对应的数量。在本实施例中,漏洞的危险程度包括信息类、低危险漏洞、中等程度危险漏洞、高危险漏洞及极度危险漏洞项。表8列出了本实施例被扫描的内网中风险最高的10台主机及其具有的不同种类的漏洞的数量。表9给出了本实施例一主机漏洞分析报告的部分内容。具体的,在部分内容中IP为192.168.20.26的主机包括名称为“Check.SSHServer.and.get.information”(检查SSH服务器并获取信息)的漏洞和名称为“Microsoft RPC/DCOM的累积性更新”的漏洞,并对漏洞相应的端口、CVE-ID(CVE漏洞编号)、MS安全公告编号、漏洞的描述、影响及相应的解决方案进行了说明。根据需要,主机漏洞分析报告中还可以包括其它的内容。
报告摘要 | |
报告名称 | Scan_task_1_report |
日期 | 2006-03-31 15:54:16 |
扫描的主机数量 | 254 |
扫描的主机列表 | 192.168.20.2 192.168.20.3 192.168.20.4192.168.20.5 192.168.20.6 192.168.20.7 |
192.168.20.8 192.168.20.9 192.168.20.10192.168.20.11 192.168.20.12 192.168.20.13192.168.20.14 | |
未扫描到的主机列表 | 192.168.20.15 |
扫描开始时间 | 2006-03-31 15:34:08 |
扫描结束时间 | 2006-03-31 15:54:15 |
表6
漏洞扫描摘要:发现的漏洞总数:535 | |
漏洞危险程度 | 漏洞数量 |
信息类 | 11 |
低危险漏洞 | 109 |
中等程度危险漏洞 | 85 |
高危险漏洞 | 307 |
极度严重危险漏洞 | 23 |
表7
风险最高的10台主机 | |||||
主机 | 信息类漏洞 | 低危险漏洞 | 中等程度危险漏洞 | 高危险漏洞 | 极度严重危险漏洞 |
192.168.20.202 | 0 | 17 | 18 | 148 | 1 |
192.168.20.201 | 3 | 14 | 17 | 82 | 1 |
192.168.20.29 | 3 | 14 | 25 | 56 | 0 |
192.168.20.28 | 1 | 22 | 3 | 9 | 0 |
192.168.20.102 | 3 | 9 | 10 | 8 | 0 |
192.168.20.168 | 1 | 6 | 6 | 3 | 0 |
192.168.20.1 | 0 | 5 | 1 | 1 | 0 |
192.168.20.99 | 0 | 6 | 1 | 0 | 0 |
192.168.20.100 | 0 | 6 | 1 | 0 | 0 |
192.168.20.101 | 0 | 6 | 1 | 0 | 0 |
表8
主机漏洞报告 | |
主机IP | 192.168.20.26 |
Open Port | Service |
TCP 22 | SSH |
TCP 23 | Telnet |
TCP 111 | SUNRPC |
TCP 833 | SUNRPC |
(1)漏洞名称:Check.SSHServer.and.get.information | |
危险级别:低-SSH服务器版本和类型泄漏 | |
端口 | 22(TCP) |
CVE-ID | 没有对应的CVE ID |
MS安全公告编号 | 没有对应的MS安全公告 |
描述 | 这个漏洞可以使攻击者获得远程主机的SSH服务器版本和类型。这些信息可以为攻击者提供进一步攻击的资料。 |
影响 | 获取敏感信息 |
解决方案 | 配置SSH服务器,过滤掉不允许访问的用户。 |
(1)漏洞名称:Microsoft RPC/DCOM的累积性更新(828741) | |
危险级别:极度严重危险漏洞-检测MS04-012漏洞 | |
端口 | 22(TCP) |
CVE-ID | CVE-2004-0124 CVE-2003-0807 CVE-2004-0116CVE-2003-0813 |
MS安全公告编号 | MS04-012 |
描述 | 如果RPC运行时间库在处理特制邮件时出现争用情况,将引起远程执行代码漏洞。如果攻击者成功地利用了此漏洞,即可完全控制受影响的***。 |
影响 | 如果攻击者成功地利用这些漏洞中最严重的漏洞,就可以完全控制受影响的***。接下来,攻击者能够对受影响的***执行任何操作,包括安装程序、查看数据、更改数据、删除数据或者创建具有完全权限的新帐户。 |
解决方案 | 建议客户立即应用MS04-012更新 |
表9
根据以上的报告,该公司网络的风险评估结果说明如下:
在这个实例中,只取了漏洞扫描报告的部分内容。从这些内容可以看出:该公司内网主机192.168.20.26存在一个极度严重危险的漏洞。内网的攻击者可以利用这个漏洞,完全控制这台主机,从而获取到这台主机上的机密信息或是破坏这台主机的***和重要文件。
这个漏洞报告交给ISP或者网络管理员之后,他们可以根据报告中提供的解决方案,为这台主机打上微软的安全漏洞补丁,修复这个漏洞。这样,这台主机就不存在这个漏洞,也就不会受到这样的攻击了。
在实际情况中,当内网中的子网不存在NAT时,本发明一实施例的风险评估设备中的漏洞扫描器发包和收包时不需要通过扫描代理服务器进行而直接通过网关进行,具体的工作过程如图3所示,包括:
步骤301,漏洞扫描器通过VPN隧道(虚拟专用网隧道)或一特定协议(SSH安全协议、SSL安全协议或自己定义的协议)穿过网关连接到扫描代理服务器;
步骤302,漏洞扫描器从扫描代理服务器获取网络拓扑结构;
步骤303,判断是否还有子网;如是,转入步骤301继续获得子网的网络拓扑结构直至获得整个网络的网络拓扑结构信息;如否,继续步骤304;
步骤304,漏洞扫描器根据网络拓扑结构和漏洞扫描器配置建立扫描策略;
步骤305,漏洞扫描器通过网关发送和接收扫描数据包,对内网进行漏洞扫描;
步骤306,漏洞扫描器分析扫描结果,生成网络主机漏洞报告和补救报告;
步骤307,漏洞扫描器将扫描结果发送给扫描代理服务器。
对于ISP来说,由于一台漏洞扫描设备可以与多个网关和扫描代理服务器建立连接,同时对多个内网进行风险评估,这样就大大简化了部署和配置的复杂度,降低了风险评估的造价。对于单个内网来说,由于有了漏洞扫描设备定期的自动的进行风险评估,网管员可以及时发现内网中存在的安全漏洞,及时进行补救,这样就大大提高了对来自内网攻击的防护能力。
本发明的另一实施例实现了利用一台漏洞扫描器同时扫描2个内网来进行风险评估,其网络结构示意图如图4所示。漏洞扫描器同时对多个内网进行风险评估的过程和对单一内网进行评估的过程非常相像。不同之处在于,漏洞扫描器分别从各个网关处取得内网拓扑结构,并根据这些拓扑信息建立扫描策略。现以同时扫描两个网关的情形为例进行说明。如图4,漏洞扫描器403通过网关404、设置在网关404后的扫描代理服务器405对子网401的主机408至411(PC1至PC4)进行扫描和通过网关406、设置在网关406后的扫描代理服务器407对子网402的主机412至415(PC1至PC4)进行扫描。其中,设定子网401为A公司的子网,子网402为B公司的子网。其中A公司的防火墙配置参见下表10,B公司的防火墙配置参见下表11。
接口名称 | 子网VLAN接口名称 | IP | Netmask(子网掩码) | Access(访问方式) |
internal | 192.168.20.1 | 255.255.255.0 | HTTPS,PING,SSH,SNMP,HTTP | |
internal | Manager_Office | 192.168.20.1 | 255.255.255.0 | HTTPS,HTTP |
internal | CTO_Office | 192.168.21.1 | 255.255.255.0 | |
internal | RD_Department | 192.168.22.1 | 255.255.255.0 | |
internal | Sales_Office | 192.168.23.1 | 255.255.255.0 | |
internal | QA | 192.168.24.1 | 255.255.255.0 | |
Wan | 60.24.165.193 | 255.255.255.255 | ||
dmx | 10.10.10.1 | 255.255.255.0 | HTTPS,PING,SSH,SNMP,HTTP |
表10
接口名称 | 子网VLAN接口名称 | IP | Netmask(子网掩码) | Access(访问方式) |
internal | 172.100.20.1 | 255.255.255.0 | HTTPS,PING,SSH,SNMP,HTTP | |
internal | Manager_Office | 172.100.20.1 | 255.255.255.0 | HTTPS,HTTP |
internal | CTO_Office | 172.100.21.1 | 255.255.255.0 | |
internal | RD_Department | 172.100.22.1 | 255.255.255.0 | |
internal | Sales_Office | 172.100.23.1 | 255.255.255.0 | |
internal | QA | 172.100.24.1 | 255.255.255.0 | |
Wan | 211.182.23.1 | 255.255.255.255 | ||
dmx | 11.11.11.1 | 255.255.255.0 | HTTPS,PING,SSH,SNMP,HTTP |
表11
其中,扫描代理服务器通过与A公司的防火墙通信了解到如下信息:
1)A公司的内网包含5个VLAN,分别为192.168.20.1/24,192.168.21.1/24,192.168.22.1/24,192.168.23.1/24,192.168.24.1/24。
这样,扫描代理服务器获取到的A公司的网络拓扑信息如下:
192.168.20.1/24,
192.168.21.1/24,
192.168.22.1/24,
192.168.23.1/24,
192.168.24.1/24,
扫描代理服务器通过与B公司的防火墙通信了解到如下信息:
1)A公司的内网包含5个VLAN,分别为172.100.20.1/24,172.100.21.1/24,172.100.22.1/24,172.100.23.1/24,172.100.24.1/24。
这样,扫描代理服务器获取到的B公司的网络拓扑信息如下:
172.100.20.1/24,
172.100.21.1/24,
172.100.22.1/24,
172.100.23.1/24,
172.100.24.1/24,
这时,A,B两公司扫描代理服务器配置如表12A和表12B所示,漏洞扫描器将根据这些信息对A,B两公司的内网进行风险评估。网络管理员也可以根据自身情况,手工配置这些信息,增加或减少一些拓扑信息。
A公司扫描代理服务器配置 | |
内网的网络拓扑 | 192.168.20.1/24,192.168.21.1/24,192.168.22.1/24,192.168.23.1/24,192.168.24.1/24 |
需要进行风险评估的主机列表 | 公司内网的全部主机 |
是否增加或减少进行风险评估的主机 | 否 |
表12A
B公司扫描代理服务器配置 | |
内网的网络拓扑 | 172.100.20.1/24,172.100.21.1/24,172.100.22.1/24,172.100.23.1/24,172.100.24.1/24 |
需要进行风险评估的主机列表 | 公司内网的全部主机 |
是否增加或减少进行风险评估的主机 | 否 |
表12B
接下来,漏洞扫描器与扫描代理服务器通信。漏洞扫描器从扫描代理服务器处了解到,需要进行漏洞扫描的网络有:
A公司:
192.168.20.1/24,
192.168.21.1/24,
192.168.22.1/24,
192.168.23.1/24,
192.168.24.1/24,
B公司
172.100.20.1/24,
172.100.21.1/24,
172.100.22.1/24,
172.100.23.1/24,
172.100.24.1/24,
漏洞扫描器按照表13所示的扫描策略对A,B两公司内网的全部主机进行扫描。
漏洞扫描策略 | |
任务名称 | Scan_task_2 |
扫描主机列表 | A公司192.168.20.1/24,192.168.21.1/24,192.168.22.1/24,192.168.23.1/24,192.168.24.1/24,B公司172.100.20.1/24,172.100.21.1/24,172.100.22.1/24,172.100.23.1/24, |
172.100.24.1/24, | |
扫描端口范围 | TCP:1-1024UDP:1-1024 |
扫描漏洞范围 | 所有漏洞 |
扫描任务开始时间 | 现在 |
表13
随后,漏洞扫描器运行扫描。漏洞扫描器的数据包通过代理服务器发送和接收。扫描完毕,漏洞扫描器生成扫描报告如下表14-18所示。其中,表14为A公司、B公司的扫描报告的报告摘要;表15扫描报告的漏洞列表摘要,内容可同表7所示;表16、17分别列出了本实施例被扫描的A公司内网和B公司内网中风险最高的10台主机及其具有的不同种类的漏洞的数量。表18给出了本实施例中A公司一主机漏洞分析报告的部分内容。具体的,在部分内容中IP为192.168.20.26的主机包括名称为“Check.SSHServer.and.get.information”(检查SSH服务器并获取信息)的漏洞和名称为“Microsoft RPC/DCOM的累积性更新”的漏洞,并对漏洞相应的端口、CVE-ID(CVE漏洞编号)、MS安全公告编号、漏洞的描述、影响及相应的解决方案进行了说明。根据需要,主机漏洞分析报告中还可以包括其它的内容。
报告摘要 | |
报告名称 | Scan_task_1_report |
日期 | 2006-03-31 15:54:16 |
扫描的主机数量 | 254 |
扫描的主机列表 | A公司:192.168.20.2192.168.20.3192.168.20.4192.168.20.5192.168.20.6192.168.20.7192.168.20.8192.168.20.9 |
192.168.20.10192.168.20.11192.168.20.12192.168.20.13192.168.20.14B公司:172.100.20.2172.100.20.3172.100.20.4172.100.20.5172.100.20.6172.100.20.7172.100.20.8172.100.20.9172.100.20.10172.100.20.11172.100.20.12172.100.20.13172.100.20.14 | |
扫描开始时间 | 2006-03-31 15:34:08 |
扫描结束时间 | 2006-03-31 15:54:15 |
表14
漏洞扫描摘要:发现的漏洞总数:535 | |
漏洞危险程度 | 漏洞数量 |
信息类 | 11 |
低危险漏洞 | 109 |
中等程度危险漏洞 | 85 |
高危险漏洞 | 307 |
极度严重危险漏洞 | 23 |
表15
A公司风险最高的10台主机 | |||||
主机 | 信息类漏洞 | 低危险漏洞 | 中等程度危险 | 高危险漏洞 | 极度严重危险漏洞 |
漏洞 | |||||
192.168.20.202 | 0 | 17 | 18 | 148 | 1 |
192.168.20.201 | 3 | 14 | 17 | 82 | 1 |
192.168.20.29 | 3 | 14 | 25 | 56 | 0 |
192.168.20.28 | 1 | 22 | 3 | 9 | 0 |
192.168.20.102 | 3 | 9 | 10 | 8 | 0 |
192.168.20.168 | 1 | 6 | 6 | 3 | 0 |
192.168.20.1 | 0 | 5 | 1 | 1 | 0 |
192.168.20.99 | 0 | 6 | 1 | 0 | 0 |
192.168.20.100 | 0 | 6 | 1 | 0 | 0 |
192.168.20.101 | 0 | 6 | 1 | 0 | 0 |
表16
B公司风险最高的10台主机 | |||||
主机 | 信息类漏洞 | 低危险漏洞 | 中等程度危险漏洞 | 高危险漏洞 | 极度严重危险漏洞 |
172.100.20.2 | 0 | 17 | 18 | 148 | 1 |
172.100.20.5 | 3 | 14 | 17 | 82 | 1 |
172.100.20.6 | 3 | 14 | 25 | 56 | 0 |
172.100.20.16 | 1 | 22 | 3 | 9 | 0 |
172.100.20.23 | 3 | 9 | 10 | 8 | 0 |
172.100.20.235 | 1 | 6 | 6 | 3 | 0 |
172.100.20.3 | 0 | 5 | 1 | 1 | 0 |
172.100.20.75 | 0 | 6 | 1 | 0 | 0 |
172.100.20.85 | 0 | 6 | 1 | 0 | 0 |
172.100.20.58 | 0 | 6 | 1 | 0 | 0 |
表17
A公司主机漏洞报告(部分) | |
主机IP | 192.168.20.26 |
Open Port | Service |
TCP 22 | SSH |
TCP 23 | Telnet |
TCP 111 | SUNRPC |
TCP 833 | SUNRPC |
(1)漏洞名称:chk.SSHServer.get.info | |
危险级别:低-SSH服务器版本和类型泄漏 | |
端口 | 22(TCP) |
CVE-ID | 没有对应的CVE ID |
MS安全公告编号 | 没有对应的MS安全公告 |
描述 | 这个漏洞可以使攻击者获得远程主机的SSH服务器版本和类型。这些信息可以为攻击者提供进一步攻击的资料。 |
影响 | 获取敏感信息 |
解决方案 | 配置SSH服务器,过滤掉不允许访问的用户。 |
(1)漏洞名称:Microsoft RPC/DCOM的累积性更新(828741) | |
危险级别:极度严重危险漏洞-检测MS04-012漏洞 | |
端口 | 22(TCP) |
CVE-ID | CVE-2004-0124 CVE-2003-0807CVE-2004-0116 CVE-2003-0813 |
MS安全公告编号 | MS04-012 |
描述 | 如果RPC运行时间库在处理特制邮件时出现争用情况,将引起远程执行代码漏洞。如果攻击者成功地利用了此漏洞,即可完全控制受影响的***。 |
影响 | 如果攻击者成功地利用这些漏洞中最严重的漏洞,就可以完全控制受影响的***。接下来,攻击者能够对受影响的***执行任何操作,包括安装程序、查看数据、更改数据、删除数据或者创建具有完全权限的新帐户。 |
解决方案 | 建议客户立即应用MS04-012更新 |
表18
A公司网络的风险评估结果说明:
在在这个实例中,只取了漏洞扫描报告的部分内容。从这些内容可以看出:A公司内网主机192.168.20.26存在一个极度严重危险的漏洞。内网的攻击者可以利用这个漏洞,完全控制这台主机,从而获取到这台主机上的机密信息或是破坏这台主机的***和重要文件。这个漏洞报告交给ISP或者网络管理员之后,他们可以根据报告中提供的解决方案,为这台主机打上微软的安全漏洞补丁,修复这个漏洞。这样,这台主机就不存在这个漏洞,也就不会受到这样的攻击。相应的也可给出B公司的主机漏洞报告及相应的补救方案,在此不再赘述。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (11)
1、一种计算机网络风险评估的装置,其特征在于,包括:
网关,可获得网络拓扑结构信息;
扫描代理服务器,与所述网关相连,可用于从所述网关处获得网络拓扑结构信息的;及
漏洞扫描器,可用于从所述扫描代理服务器处获得所述网络拓扑结构信息,并根据所述网络拓扑结构信息及其自身的配置建立扫描策略,并根据所述扫描策略进行扫描。
2、根据权利要求1所述的装置,其特征在于,所述漏洞扫描器通过虚拟专用网隧道、SSH安全协议、SSL协议和/或预先设定的一安全协议从所述扫描代理服务器获得所述网络拓扑结构的信息。
3、根据权利要求2所述的装置,其特征在于,所述漏洞扫描器上进一步包括一客户端模块,用于实现其与所述扫描代理服务器和所述网关的通信。
4、根据权利要求1、2或3所述的装置,其特征在于,所述漏洞扫描器上进一步包括一扫描结果分析模块,用于分析扫描网络主机的结果并生成漏洞报告和/或补救报告。
5、根据权利要求4所述的装置,其特征在于,进一步包括多个子网网关和所述子网关相连的用于获得所述多个子网网络拓扑结构信息的多个子网扫描代理服务器。
6、根据权利要求1-3或5中任一权利要求所述的装置,其特征在于,所述漏洞扫描器为设置有漏洞扫描软件的个人电脑或包含漏洞扫描模块的运算设备。
7、根据权利要求1-3或5中任一权利要求所述的装置,其特征在于,所述网关、扫描代理服务器及漏洞扫描器为集成在一起的一个设备。
8、一种利用权利要求1所述装置的计算机网络风险评估的方法,其特征在于,包括:
步骤1,扫描代理服务器从网关处获得网络拓扑结构信息;
步骤2,漏洞扫描器从扫描代理服务器处获取所述网络拓扑结构;
步骤3,漏洞扫描器根据其配置及获得的所述网络拓扑结构信息建立扫描策略,并根据所述扫描策略进行扫描;
步骤4,漏洞扫描器分析扫描结果,生成网络主机漏洞报告和/或补救报告。
9、根据权利要求8所述的方法,其特征在于,进一步包括通过扫描代理服务器或直接通过网关发送和/或接收扫描数据包步骤。
10、根据权利要求9所述的方法,其特征在于,当所述被扫描的网络是一个树形多层结构,进一步包括判断是否已获得整个网络的网络拓扑结构信息的步骤;如否,则重复所述步骤1,直至获取整个网络的全部拓扑信息的步骤。
11、根据权利要求8、9或10所述的方法,其特征在于,所述漏洞扫描器通过虚拟专用网隧道、SSH安全协议、SSL协议和/或预先设定的一安全协议从所述扫描代理服务器获得所述网络拓扑结构的信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610011853A CN100588206C (zh) | 2006-04-30 | 2006-04-30 | 一种计算机网络风险评估的装置及其方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610011853A CN100588206C (zh) | 2006-04-30 | 2006-04-30 | 一种计算机网络风险评估的装置及其方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101064736A true CN101064736A (zh) | 2007-10-31 |
CN100588206C CN100588206C (zh) | 2010-02-03 |
Family
ID=38965439
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200610011853A Active CN100588206C (zh) | 2006-04-30 | 2006-04-30 | 一种计算机网络风险评估的装置及其方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100588206C (zh) |
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101227288B (zh) * | 2008-01-29 | 2010-06-02 | 四川大学 | 一种网络攻击危害性评估方法 |
CN101873231A (zh) * | 2010-07-06 | 2010-10-27 | 联想网御科技(北京)有限公司 | 一种网络入侵特征配置方法及*** |
CN102523218A (zh) * | 2011-12-16 | 2012-06-27 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护方法、设备和*** |
CN101651567B (zh) * | 2009-07-10 | 2012-08-01 | 深圳市永达电子股份有限公司 | 一种可用性风险扩散评估方法 |
CN103581193A (zh) * | 2013-11-08 | 2014-02-12 | 星云融创(北京)信息技术有限公司 | 一种网站漏洞扫描方法、装置及*** |
CN103685261A (zh) * | 2013-12-09 | 2014-03-26 | 无锡市同威科技有限公司 | 基于多通道多网段扫描装置及扫描方法 |
CN102272766B (zh) * | 2008-12-30 | 2014-08-13 | 微软公司 | 可扩展激活漏洞扫描仪 |
CN104012027A (zh) * | 2011-12-29 | 2014-08-27 | 迈可菲公司 | 用于网络环境中的计算机脆弱性的基于云的扫描的***和方法 |
CN104506522A (zh) * | 2014-12-19 | 2015-04-08 | 北京神州绿盟信息安全科技股份有限公司 | 漏洞扫描方法及装置 |
CN104796388A (zh) * | 2014-01-21 | 2015-07-22 | ***通信集团公司 | 一种对网络设备进行扫描的方法、相关装置及*** |
CN104821950A (zh) * | 2015-05-12 | 2015-08-05 | 携程计算机技术(上海)有限公司 | 分布式的主机漏洞扫描方法 |
CN105227383A (zh) * | 2015-11-06 | 2016-01-06 | 广东电网有限责任公司电力科学研究院 | 一种网络拓扑排查的装置 |
CN105450442A (zh) * | 2015-11-06 | 2016-03-30 | 广东电网有限责任公司电力科学研究院 | 一种网络拓扑排查方法及其*** |
CN106534172A (zh) * | 2016-12-07 | 2017-03-22 | 北京数字观星科技有限公司 | 一种内网远程扫描***及其扫描内网的方法 |
CN106549936A (zh) * | 2016-09-29 | 2017-03-29 | 北京知道未来信息技术有限公司 | 一种基于多路vpn负载均衡的扫描器反溯源方法和设备 |
CN103825891B (zh) * | 2014-02-19 | 2017-04-26 | 曙光云计算技术有限公司 | 云网络环境下的安全漏洞扫描*** |
CN106878251A (zh) * | 2016-08-22 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 一种用于分布式的网站程序漏洞扫描***、方法和装置 |
CN106921680A (zh) * | 2017-05-05 | 2017-07-04 | 腾讯科技(深圳)有限公司 | 一种端口扫描方法及装置 |
CN108363926A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种漏洞防御方法及*** |
CN109857629A (zh) * | 2017-11-30 | 2019-06-07 | 贵州白山云科技股份有限公司 | 一种扫描检测方法及装置 |
CN110149225A (zh) * | 2019-05-13 | 2019-08-20 | 中国联合网络通信集团有限公司 | 网络拓扑结构评估方法及装置 |
CN110784342A (zh) * | 2019-10-14 | 2020-02-11 | 广州江南科友科技股份有限公司 | 一种资源扫描方法、装置、介质及终端设备 |
-
2006
- 2006-04-30 CN CN200610011853A patent/CN100588206C/zh active Active
Cited By (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101227288B (zh) * | 2008-01-29 | 2010-06-02 | 四川大学 | 一种网络攻击危害性评估方法 |
CN102272766B (zh) * | 2008-12-30 | 2014-08-13 | 微软公司 | 可扩展激活漏洞扫描仪 |
CN101651567B (zh) * | 2009-07-10 | 2012-08-01 | 深圳市永达电子股份有限公司 | 一种可用性风险扩散评估方法 |
CN101873231A (zh) * | 2010-07-06 | 2010-10-27 | 联想网御科技(北京)有限公司 | 一种网络入侵特征配置方法及*** |
CN101873231B (zh) * | 2010-07-06 | 2012-07-04 | 北京网御星云信息技术有限公司 | 一种网络入侵特征配置方法及*** |
CN102523218A (zh) * | 2011-12-16 | 2012-06-27 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护方法、设备和*** |
US9485261B2 (en) | 2011-12-16 | 2016-11-01 | NSFOCUS Information Technology Co., Ltd. | Web security protection method, device and system |
CN102523218B (zh) * | 2011-12-16 | 2015-04-08 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护方法、设备和*** |
CN104012027A (zh) * | 2011-12-29 | 2014-08-27 | 迈可菲公司 | 用于网络环境中的计算机脆弱性的基于云的扫描的***和方法 |
CN103581193A (zh) * | 2013-11-08 | 2014-02-12 | 星云融创(北京)信息技术有限公司 | 一种网站漏洞扫描方法、装置及*** |
CN103685261A (zh) * | 2013-12-09 | 2014-03-26 | 无锡市同威科技有限公司 | 基于多通道多网段扫描装置及扫描方法 |
CN104796388A (zh) * | 2014-01-21 | 2015-07-22 | ***通信集团公司 | 一种对网络设备进行扫描的方法、相关装置及*** |
CN103825891B (zh) * | 2014-02-19 | 2017-04-26 | 曙光云计算技术有限公司 | 云网络环境下的安全漏洞扫描*** |
CN104506522A (zh) * | 2014-12-19 | 2015-04-08 | 北京神州绿盟信息安全科技股份有限公司 | 漏洞扫描方法及装置 |
US10642985B2 (en) | 2014-12-19 | 2020-05-05 | NSFOCUS Information Technology Co., Ltd. | Method and device for vulnerability scanning |
WO2016095591A1 (zh) * | 2014-12-19 | 2016-06-23 | 北京神州绿盟信息安全科技股份有限公司 | 漏洞扫描方法及装置 |
CN104506522B (zh) * | 2014-12-19 | 2017-12-26 | 北京神州绿盟信息安全科技股份有限公司 | 漏洞扫描方法及装置 |
CN104821950A (zh) * | 2015-05-12 | 2015-08-05 | 携程计算机技术(上海)有限公司 | 分布式的主机漏洞扫描方法 |
CN104821950B (zh) * | 2015-05-12 | 2018-05-04 | 上海携程商务有限公司 | 分布式的主机漏洞扫描方法 |
CN105227383A (zh) * | 2015-11-06 | 2016-01-06 | 广东电网有限责任公司电力科学研究院 | 一种网络拓扑排查的装置 |
CN105450442A (zh) * | 2015-11-06 | 2016-03-30 | 广东电网有限责任公司电力科学研究院 | 一种网络拓扑排查方法及其*** |
CN105227383B (zh) * | 2015-11-06 | 2018-07-03 | 广东电网有限责任公司电力科学研究院 | 一种网络拓扑排查的装置 |
CN105450442B (zh) * | 2015-11-06 | 2019-02-15 | 广东电网有限责任公司电力科学研究院 | 一种网络拓扑排查方法及其*** |
CN106878251A (zh) * | 2016-08-22 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 一种用于分布式的网站程序漏洞扫描***、方法和装置 |
CN106878251B (zh) * | 2016-08-22 | 2020-07-03 | 阿里巴巴集团控股有限公司 | 一种用于分布式的网站程序漏洞扫描***、方法和装置 |
CN106549936A (zh) * | 2016-09-29 | 2017-03-29 | 北京知道未来信息技术有限公司 | 一种基于多路vpn负载均衡的扫描器反溯源方法和设备 |
CN106534172A (zh) * | 2016-12-07 | 2017-03-22 | 北京数字观星科技有限公司 | 一种内网远程扫描***及其扫描内网的方法 |
CN106921680A (zh) * | 2017-05-05 | 2017-07-04 | 腾讯科技(深圳)有限公司 | 一种端口扫描方法及装置 |
CN108363926A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种漏洞防御方法及*** |
CN109857629B (zh) * | 2017-11-30 | 2020-03-13 | 贵州白山云科技股份有限公司 | 一种扫描检测方法及装置 |
CN109857629A (zh) * | 2017-11-30 | 2019-06-07 | 贵州白山云科技股份有限公司 | 一种扫描检测方法及装置 |
CN110149225A (zh) * | 2019-05-13 | 2019-08-20 | 中国联合网络通信集团有限公司 | 网络拓扑结构评估方法及装置 |
CN110784342A (zh) * | 2019-10-14 | 2020-02-11 | 广州江南科友科技股份有限公司 | 一种资源扫描方法、装置、介质及终端设备 |
CN110784342B (zh) * | 2019-10-14 | 2022-02-08 | 广州江南科友科技股份有限公司 | 一种资源扫描方法、装置、介质及终端设备 |
Also Published As
Publication number | Publication date |
---|---|
CN100588206C (zh) | 2010-02-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101064736A (zh) | 一种计算机网络风险评估的装置及其方法 | |
CN1753364A (zh) | 网络接入控制方法及*** | |
US20020104017A1 (en) | Firewall system for protecting network elements connected to a public network | |
US9332029B1 (en) | System and method for malware detection in a distributed network of computer nodes | |
CN1665201A (zh) | 保护连接至网络的计算机***不受攻击的***和方法 | |
CN1829179A (zh) | 无线接入装置、无线接入方法以及无线网络 | |
CN1620034A (zh) | 认证网关及其数据处理方法 | |
CN1661970A (zh) | 保护联网环境中的计算设备的网络安全设备和方法 | |
CN101068253A (zh) | 通信架构、中间路由节点及其执行的方法 | |
CN1960246A (zh) | 过滤网络中终端与目的主机间传输的危害性数据的方法 | |
CN1856163A (zh) | 一种具有会话边界控制器的通信***及其传输信令的方法 | |
CN113242269B (zh) | 基于虚拟化网络的数据传输方法、***和网络安全设备 | |
CN101031134A (zh) | 代理服务器和方法以及具有该代理服务器的安全通信*** | |
CN101043361A (zh) | 一种基于snmp协议进行网络管理的方法和*** | |
CN111641639A (zh) | 一种IPv6网络安全防护*** | |
CN113242270A (zh) | 基于虚拟化网络的数据传输方法、装置和*** | |
CN1298141C (zh) | 实现安全交换网络数据的方法 | |
Choudhary | In-depth analysis of IPv6 security posture | |
CN1863093A (zh) | 一种策略执行点及其与入侵检测***联动的方法 | |
CN113489731B (zh) | 基于虚拟化网络的数据传输方法、***和网络安全设备 | |
CN1767493A (zh) | 实现voip业务穿越私网的***及方法 | |
CN1647486A (zh) | 数据过滤器管理装置 | |
CN1901478A (zh) | 一种基于snmp的网络管理方法 | |
CN1787434A (zh) | 一种对接入网络的客户端进行安全认证的***和方法 | |
CN1292564C (zh) | 用于检测及处理仿冒网络服务的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
ASS | Succession or assignment of patent right |
Owner name: FORTINET INC. Free format text: FORMER OWNER: FORTINET INFORMATION TECHNOLOGY (BEIJING) CO., LTD. Effective date: 20090925 |
|
C41 | Transfer of patent application or patent right or utility model | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20090925 Address after: California, USA Applicant after: Fortinet, Inc. Address before: Room 7, digital media building, No. 507 information road, Beijing, Haidian District, China: 100085 Applicant before: Fortinet,Inc. |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |