CN108737425B - 基于多引擎漏洞扫描关联分析的脆弱性管理*** - Google Patents

Abstract

本发明提出了一种基于多引擎漏洞扫描关联分析的脆弱性管理***，包括：资产探测管理模块，探测扫描网络中的资产信息；***漏洞扫描模块，根据资产信息对网络设备、操作***、应用服务和数据库进行漏洞扫描和分析，支持智能服务识别；Web漏洞扫描模块根据资产信息自动化解析数据并进行扫描，对发现的WEB漏洞进行验证，记录下扫描漏洞发现的测试数据包；数据库安全扫描模块；安全基线核查模块；工控漏洞扫描模块；APP漏洞扫描模块；WIFI安全检测模块；报表关联分析模块；全网分布式管理模块。本发明能够将检查结果与信息安全等级保护的合规库进行关联分析，生成满足规范要求的等级保护测评报告，全面满足不同客户的安全需求。

Description

基于多引擎漏洞扫描关联分析的脆弱性管理***

技术领域

本发明涉及漏洞扫描技术领域，特别涉及一种基于多引擎漏洞扫描关联分析的脆弱性管理***。

背景技术

(1)漏洞的出现

漏洞主要是因为设计和实施中出现错误所致，造成信息完整性、可用性和保密性受损。漏洞通常在软件中，也存在于各个信息***层，从协议规格到设计到物理硬件。漏洞还可能是恶意用户或自动恶意代码故意为之。重要***或网络中单个漏洞可能会严重破坏一个机构的安全态势。

“漏洞”一词的定义是易受攻击性或“利用信息安全***设计、程序、实施或内部控制中的弱点不经授权获得信息或进入信息***。”这里的关键词是“弱点”。任何***或网络中的弱点都是可防的。

(2)漏洞的影响

漏洞会影响到很大范围的软硬件设备，包括操作***本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。换而言之，在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同***之间，以及同种***在不同的设置条件下，都会存在各自不同的安全漏洞问题。

(3)漏洞的危害

自2013年以来，国家信息安全漏洞共享平台(CNVD)收录的安全漏洞数量年平均增长率为21.6％，但2017年较2016年收录安全漏洞数量增长了47.4％，达15955个，收录安全漏洞数量达到历史新高。其中，高危漏洞收录数量高达5615个(占35.2％)，同比增长35.4％。“零日”漏洞3854个(占24.2％)，同比增长75.0％。

安全漏洞主要涵盖Google、Oracle、Microsoft、IBM、Cisco、Apple、WordPress、Adobe、HUAWEI、ImageMagick、Linux等厂商产品。按影响对象分类统计，收录漏洞中应用程序漏洞占59.2％，Web应用漏洞占17.6％，操作***漏洞占12.9％，网络设备(如路由器、交换机等)漏洞占7.7％，安全产品(如防火墙、入侵检测***等)漏洞占1.5％，数据库漏洞占1.1％。涉及到电子政务、电信、银行、民航等重要部门。

而且，信息***配置操作是否安全也是安全风险的重要方面，安全配置错误一般是由人员操作失误导致。虽然现在有了配置检查Checklist、行业规范和等级保护纲领性规范要求让运维人员有了检查安全配置的依据，但是面对网络中种类繁杂、数量众多的设备和软件，如何快速、有效的检查安全配置，识别与安全规范不符合的项目，以达到整改合规的要求，这也是运维人员要面临的难题。

根据美国软件工程研究所估算，如果***能够及时安装合适的软件补丁，可以避免95％以上的网络入侵。而且，很多安全漏洞、错误配置是可以通过网络漏洞管理***进行检测与发现的，并通过漏洞修复和加固，防患于未然。因此，一个自动化、全局性的网络漏洞管理***对用户就显得十分必要。

同时，随着国家信息安全风险评估和等级保护工作的逐步深入，如何减少法规遵从和安全风险的压力，成了信息化建设的当务之急。

发明内容

本发明的目的旨在至少解决所述技术缺陷之一。

为此，本发明的目的在于提出一种基于多引擎漏洞扫描关联分析的脆弱性管理***。不仅可以灵活地扩展新出现的APP安全检测、工控漏洞扫描等引擎模块，还可以通过扫描结果与合规库进行关联分析，生成满足规范要求的等级保护测评报告。

为了实现上述目的，本发明的实施例提供一种基于多引擎漏洞扫描关联分析的脆弱性管理***，包括：

资产探测管理模块，用于探测扫描网络中的资产信息，包括各项主机、网络设备和数据库的信息，识别各项资产的属性、服务及操作***；

***漏洞扫描模块，用于根据所述资产信息对网络设备、操作***、应用服务和数据库四个方面进行漏洞扫描和分析，并支持智能服务识别、授权登录扫描、安全优化扫描；

Web漏洞扫描模块，用于根据所述资产信息自动化解析json、base64数据并进行扫描，支持自定义Cookie进行深入检测，并支持被动扫描和用户录入url链接，对发现的WEB漏洞进行验证，记录下扫描漏洞发现的测试数据包，并对注入漏洞，自动识别数据库类型；

数据库安全扫描模块，用于内置数据库漏洞知识库，根据所述数据库漏洞知识库中的扫描策略，提供授权检测和非授权检测的扫描检测方式，对数据库进行安全检测，检测完成后自动生成检测报告，所述检测报告包括检测出的漏洞描述和修复建议；

安全基线核查模块，用于根据所述资产信息支持多种协议远程登录目标***的基线核查，对目标***进行自动化的基线检测、分析，并提供专业的配置加固建议与合规性报表；

工控漏洞扫描模块，用于根据所述资产信息检测工业控制***中的各项IT设备和***；

APP漏洞扫描模块，用于根据所述资产信息对Android***上的移动应用APP进行漏洞扫描，采用静态分析的方式，发现APK中存在的安全风险，并对APK进行病毒检查；

WIFI安全检测模块，用于根据所述资产信息对WiFi无线网进行安全检测，识别接入点和WiFi信道，实时分析802.11a/b/g/n/ac无线网络存在的安全风险，并进行WiFi的弱密码检测，支持无线网络安全风险统计及展示，并生成WiFi安全检测报告；

报表关联分析模块，用于采用报表和图形的形式对扫描结果进行分析，通过预定义、自定义和多角度多层次的分析扫描结果，并将检查结果与信息安全等级保护的合规库进行关联分析，生成满足规范要求的等级保护测评报告，保障等级保护工作高效准确执行。

全网分布式管理模块，用于采用分布式管理功能，向下级引擎下达扫描任务，接收下级引擎上传的扫描结果，进行统一分析并生成整体扫描报告，下级引擎自行新建扫描任务，满足自评估的需要，实现了对大规模网络的实时、定时的漏洞扫描和风险评估。

进一步，所述脆弱性管理***采用B/S管理方式，用户采用浏览器通过SSL加密通道和***WEB界面模块进行交互。

进一步，所述Web漏洞扫描模块支持对以下漏洞的扫描检测：SQL注入、跨站脚本攻击XSS、网站挂马、网页木马、公用网关接口CGI漏洞。

进一步，所述安全基线核查模块用于支持多种协议远程登录目标***进行基线核查，支持在线设备基线核查和离线设备基线核查，支持对接4A***或者堡垒机***，自动获取被检查目标***的登录授权信息，批量检查业务***的安全配置，其中，所述安全基线核查模块进行基线核查过程只检查***的配置情况，不对***配置进行任何修改。

进一步，所述工控漏洞扫描模块检测工业控制***中使用的传统IT设备/***，包括：操作***、网络设备、应用服务；

所述工控漏洞扫描模块还用于检测工业控制***中所特有的设备/***，包括：数据采集与监视控制***SCADA、分布式控制***DCS、可编程逻辑控制PLC控制***，以及协议存在的安全风险。

进一步，所述脆弱性管理***为不同网站设置对应的监测策略，自动根据策略对网站进行不间断监测、实时预警，形成整体安全评估报告，并进行可视化展示；支持WEB漏洞检测、网站可用性检测、网页篡改检测、敏感关键字检测、网马和暗链检测、钓鱼网站检测，支持图片文字识别、Activex识别、定位到篡改的页面源码位置、COOKIE录制、交互扫描、漏洞验证。

进一步，所述报表关联分析模块支持各类格式输出，并提供漏洞分级、相应加固建议方案以及自定义报表内容，提供定性的趋势分析、定量的风险分析，将检查结果与信息安全等级保护的合规库进行关联分析，生成满足规范要求的等级保护测评报告。

进一步，所述脆弱性管理***执行漏洞管理采用闭环循环，包括漏洞预警、漏洞扫描、漏洞修复、漏洞审计：

漏洞预警：当检测到最新的高风险漏洞信息公布之际，在第一时间通过邮件或者电话的方式向用户进行通告，并且提供相应的预防措施；

漏洞扫描：对目标***进行漏洞扫描，并采用风险评估模型对这些资产和脆弱性进行评估，发现漏洞，进行优先级排序，生成等级保护测评报告；

漏洞修复：预设漏洞修复方案，包括***的安全配置建议和补丁的有效下载链接，同时支持和微软WSUS补丁更新***进行联动，自动进行补丁加固，提供了二次开发接口给第三方安全产品进行联动；

漏洞审计：提供完整的审计机制，以便管理者追踪、记录、验证漏洞管理的成效，督促管理员对漏洞进行修复，同时启动定时扫描任务进行对比分析和成效验证。

进一步，所述脆弱性管理***根据网络IP地址分布情况进行配置。

根据本发明实施例的基于多引擎漏洞扫描关联分析的脆弱性管理***，涵盖了***漏洞扫描、WEB漏洞扫描、数据库安全扫描、安全基线核查、工控漏洞扫描、APP漏洞扫描、WiFi安全检测、报表关联分析、分布式管理等功能，能够全面、精准地检测信息***中存在的各种脆弱性问题，包括各种安全漏洞、安全配置问题、不合规行为等，在网络***受到危害之前为管理员提供专业、有效的安全分析和修补建议，还能够将评估结果与信息安全等级保护的合规库进行关联分析，生成满足规范要求的等级保护测评报告，保障等级保护工作高效准确执行。并结合可信的漏洞管理流程对漏洞进行预警、扫描、修复、审计，防患于未然。广泛应用于政府、军队、公安、教育、电力、金融等行业，帮助用户解决目前所面临的各类常见及最新的安全风险，同时满足如等级保护、行业规范等政策法规的安全建设要求。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：

图1为根据本发明实施例的基于多引擎漏洞扫描关联分析的脆弱性管理***的流程图；

图2为根据本发明实施例的基于多引擎漏洞扫描关联分析的脆弱性管理***的架构图；

图3为根据本发明实施例的基于多引擎漏洞扫描关联分析的脆弱性管理***的单机部署图；

图4为根据本发明实施例的基于多引擎漏洞扫描关联分析的脆弱性管理***的分布式部署图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

本发明提出一种基于多引擎漏洞扫描关联分析的脆弱性管理方法，该方法严格按照计算机信息***安全的国家标准、相关行业标准设计、编写。

如图1和图2所示，本发明实施例的基于多引擎漏洞扫描关联分析的脆弱性管理***，包括：资产探测管理模块100、***漏洞扫描模块200、Web漏洞扫描模块300、数据库安全扫描模块400、安全基线核查模块500、工控漏洞扫描模块600、APP漏洞扫描模块700、WIFI安全检测模块800、报表关联分析模块900和全网分布式管理模块1000。

在本发明的一个实施例中，脆弱性管理***采用B/S管理方式，用户采用浏览器通过SSL加密通道和***WEB界面模块进行交互，方便用户管理，采用模块化设计。

具体的，资产探测管理模块100用于探测扫描网络中的资产信息，包括各项主机、网络设备和数据库的信息，识别各项资产的属性、服务及操作***。

资产探测管理模块100综合运用多种手段，全面、快速、准确的发现被扫描网络中的存活主机、网络设备、数据库，准确识别其属性，包括主机名称、设备类型、端口情况、操作***以及开放的服务等，为进一步漏洞扫描做好准备。***能够主动探测资产的操作***类型、开启的端口等，智能识别端口对应的服务以及服务版本。方便用户快速了解每个资产的风险等级及各种风险等级的漏洞统计数量，一目了然。

***漏洞扫描模块200用于根据资产信息对网络设备、操作***、应用服务和数据库四个方面进行漏洞扫描和分析，并支持智能服务识别、授权登录扫描、安全优化扫描。

***漏洞扫描模块200能够全方位、多侧面的对网络设备、操作***、应用服务和数据库四个方面进行漏洞扫描和分析。支持的Windows包括：NT、2000、XP、2003、Win7、2008、Win8、Win10等；支持的Linux包括：Amazon Linux、CentOS、Debian、Fedora、Red Hat、SuSE、Ubuntu等；支持的Unix包括：AIX、FreeBSD、HP-UX、Solaris、Mac OS X等；支持的应用程序包括：Microsoft Internet Explorer、PHP、IIS、Apache、Tomcat、PHP、Adobe Flash等；支持的数据库包括：Oracle、Mysql、DB2、Informix、Mssql、Sybase等；支持的虚拟化平台包括：Vmware EXSi、XenServer等；支持的网络设备包括：思科、华为等；支持的安全设备包括：juniper等。

本发明支持智能服务识别、授权登录扫描、安全优化扫描等，具备的***漏洞知识库的检测脚本大于80000多条，提供了详细的漏洞描述和对应的修补措施和安全建议，方便用户全面发现信息***中存在的安全漏洞，防患于未然。

Web漏洞扫描模块300用于根据资产信息自动化解析json、base64数据并进行扫描，支持自定义Cookie进行深入检测，并支持被动扫描和用户录入url链接，对发现的WEB漏洞进行验证，记录下扫描漏洞发现的测试数据包，并对注入漏洞，自动识别数据库类型。其中，Web漏洞扫描模块支持对以下漏洞的扫描检测：SQL注入、跨站脚本攻击XSS、网站挂马、网页木马、公用网关接口CGI漏洞。

Web漏洞扫描模块300具备强大的Web应用漏洞安全检测能力，全面支持OWASP TOP10漏洞检测，比如SQL注入、跨站脚本攻击XSS、网站挂马、网页木马、CGI漏洞等。支持的协议包括：HTTP、HTTPS等。支持的WEB服务器包括：IIS、Websphere、Weblogic、Apache、Tomcat、Nginx等。支持的编程语言包括：Asp、Jsp、.Net、J2EE、Php等。支持的数据库类型包括：Access、Mysql、Oracle、DB2、PostgreSQL、Sybase、Informix、sqlite、MSSQL SERVER等。支持的第三方组件包括：WordPress、eWebEditor、FCKeditor、Struts2等国内外常见第三方组件。本发明能够自动化解析json、base64数据并进行扫描；支持自定义Cookie进行深入检测；支持基于basic、NTLM、Cookie等认证方式的Web扫描；还支持被动扫描，支持用户录入url，能够扫描一些常规页面爬取软件检测不到的url。

而且，本发明还具备领先的WEB漏洞验证机制，能够对发现的WEB漏洞进行验证，记录下扫描漏洞发现的测试数据包，用于取证。并对注入漏洞，自动识别数据库类型，获取InstanceName(实例名称/数据库名称)和UserName(用户名称)，使误报率大大降低。

数据库安全扫描模块400用于内置数据库漏洞知识库，根据数据库漏洞知识库中的扫描策略，提供授权检测和非授权检测的扫描检测方式，对数据库进行安全检测，检测完成后自动生成检测报告，检测报告包括检测出的漏洞描述和修复建议。

数据库安全扫描模块400具备专业的数据库安全扫描能力，支持的数据库包括：Oracle、Mysql、Sqlserver2000/2005/2008、Sybase、DB2、Informix、Postgresql、Kingbase、达梦等。本发明具备的数据库漏洞知识库的扫描策略大于2000多条，覆盖了权限绕过漏洞、SQL注入漏洞、访问控制漏洞等。***还提供两种扫描方式：授权检测、非授权检测，用户可以根据不同的情景选择扫描检测方式，并选取相应的扫描策略实现对数据库的安全检测，检测完成后自动生成检测报告，报告包含了检测出的漏洞详细描述和修复建议。而且，***还可以通过对数据库对象、二进制文件等进行对比，从而发现数据库中潜藏的木马。

安全基线核查模块500用于根据资产信息支持多种协议远程登录目标***的基线核查，对目标***进行自动化的基线检测、分析，并提供专业的配置加固建议与合规性报表。

此外，安全基线核查模块500支持在线设备基线核查和离线设备基线核查，支持对接4A***或者堡垒机***，自动获取被检查目标***的登录授权信息，批量检查业务***的安全配置，其中，安全基线核查模块进行基线核查过程只检查***的配置情况，不对***配置进行任何修改。

安全基线核查模块500具备先进的安全基线核查能力，可以对目标***进行自动化的基线检测、分析，并提供专业的配置加固建议与合规性报表。支持的操作***包括：Windows、Linux(Centos、Debian、Fedora、Redhat、Suse、Ubuntu等)、Unix(Aix、HP-UX、Solaris等)、国产操作***(中标麒麟、红旗等)等；支持的中间件包括：IIS、Apache、Tomcat、Weblogic、Websphere、Nginx、Jboss、Resin等；支持的数据库包括：Oracle、Mysql、DB2、Informix、Mssql、Sybase等；支持的虚拟化平台包括：Vmware EXSi、XenServer等；支持的网络设备包括：思科、华为等；支持的安全设备包括：juniper、网神等。本发明支持多种协议远程登录目标***进行基线核查，包括SMB、Telnet、SSH。支持在线设备基线核查和离线设备基线核查。支持对接4A***或者堡垒机***，自动获取被检查目标***的登录授权信息，批量检查业务***的安全配置。基线核查过程只检查***的配置情况，不对***配置进行任何修改，确保业务持续性和业务安全。让安全配置维护工作变得有条不紊而且简单、易于操作，保障安全运维工作顺利进行，并满足等级保护工作需要。

工控漏洞扫描模块600用于根据资产信息检测工业控制***中的各项IT设备和***。

具体的，工控漏洞扫描模块检测工业控制***中使用的传统IT设备/***，包括：操作***、网络设备、应用服务。工控漏洞扫描模块600还用于检测工业控制***中所特有的设备/***，包括：数据采集与监视控制***SCADA、分布式控制***DCS、可编程逻辑控制PLC控制***，以及协议存在的安全风险。

工控漏洞扫描模块600不仅能够检测工业控制***中使用的传统IT设备/***，比如操作***、网络设备、应用服务等。还可以检测工业控制***中所特有的设备/***，比如SCADA、DCS、PLC等控制***，以及ModbusTCP、S7等协议存在的安全风险。工控漏洞扫描模块600针对工业控制***可以保证工业控制***的业务连续性的前提下实现远程、非接触式的安全评估。

APP漏洞扫描模块700用于根据资产信息对Android***上的移动应用APP进行漏洞扫描，采用静态分析的方式，发现APK中存在的安全风险，并对APK进行病毒检查。APP漏洞扫描模块700支持对Android上的移动应用(APP)进行漏洞扫描，采用静态分析的方式，准确发现APK中存在的安全漏洞、恶意代码、不安全配置等安全风险，还可以对APK进行病毒检查。并提供可实施的解决方案，大幅提高移动APP的安全性。

WIFI安全检测模块800根据资产信息对WiFi无线网进行安全检测，识别接入点和WiFi信道，实时分析802.11a/b/g/n/ac无线网络存在的安全风险，并进行WiFi的弱密码检测，支持无线网络安全风险统计及展示，并生成WiFi安全检测报告。

报表关联分析模块900用于采用报表和图形的形式对扫描结果进行分析，通过预定义、自定义和多角度多层次的分析扫描结果。具体的，报表关联分析模块900支持各类格式输出，并提供漏洞分级、相应加固建议方案以及自定义报表内容，提供定性的趋势分析、定量的风险分析，将检查结果与信息安全等级保护的合规库进行关联分析，生成满足规范要求的等级保护测评报告，保障等级保护工作高效准确执行。

报表关联分析模块900提供全中文界面，提供完善的漏洞风险级别、漏洞类别、漏洞描述、漏洞类型、漏洞解决办法。本发明提供有关漏洞的国际权威机构记录(包括CVE编号支持)，以及与厂商补丁相关的链接。使得管理员和普通用户可以快速准确地解决各种安全问题，方便用户能够具体了解某台主机或者某个漏洞的详细信息。报表提供行政人员、技术员、安全专家及自定义报表等样式，输出的报表格式包括：HTML、DOC、PDF等。同时，能够将检查结果与信息安全等级保护的合规库进行关联分析，生成满足规范要求的等级保护测评报告。

全网分布式管理模块1000用于采用分布式管理功能，向下级引擎下达扫描任务，接收下级引擎上传的扫描结果，进行统一分析并生成整体扫描报告，下级引擎自行新建扫描任务，满足自评估的需要，实现了对大规模网络的实时、定时的漏洞扫描和风险评估。

具体来说，随着网络规模的逐步庞大、逐步复杂，核心级网络、部门级网络、终端/个人用户级网络的建设，各个网络之间存在着防火墙、交换机等过滤机制，网络漏洞管理***发送的检测数据包大部分将被这些网络设备过滤，降低了扫描的时效性和准确性。

针对这种分布式的复杂网络，本发明提供了分布式管理功能，***能够向下级引擎下达扫描任务，接收下级引擎上传的扫描结果，进行统一分析，生成整体扫描报告。下级引擎也可以自行新建扫描任务，满足自评估的需要。从而实现了对大规模网络的实时、定时的漏洞扫描和风险评估。

本发明实施例的基于多引擎漏洞扫描关联分析的脆弱性管理***利用程序内置的产品升级模块，可以通过网络或者本地数据包，对漏洞库、扫描软件进行升级。每周至少一次的升级，确保***可以及时准确的检测到最新公布的漏洞，确保信息***的安全。

在本发明的一个实施例中，脆弱性管理***为不同网站设置对应的监测策略，自动根据策略对网站进行不间断监测、实时预警，形成整体安全评估报告，并进行可视化展示；支持WEB漏洞检测、网站可用性检测、网页篡改检测、敏感关键字检测、网马和暗链检测、钓鱼网站检测，支持图片文字识别、Activex识别、定位到篡改的页面源码位置、COOKIE录制、交互扫描、漏洞验证。

并且，脆弱性管理***执行漏洞管理采用闭环循环，包括漏洞预警、漏洞扫描、漏洞修复、漏洞审计：

漏洞预警：当检测到最新的高风险漏洞信息公布之际，在第一时间通过邮件或者电话的方式向用户进行通告，并且提供相应的预防措施；

漏洞扫描：对目标***进行漏洞扫描，并采用风险评估模型对这些资产和脆弱性进行评估，发现漏洞，进行优先级排序，生成等级保护测评报告；

漏洞修复：预设漏洞修复方案，包括***的安全配置建议和补丁的有效下载链接，同时支持和微软WSUS补丁更新***进行联动，自动进行补丁加固，提供了二次开发接口给第三方安全产品进行联动；

漏洞审计：提供完整的审计机制，以便管理者追踪、记录、验证漏洞管理的成效，督促管理员对漏洞进行修复，同时启动定时扫描任务进行对比分析和成效验证。

需要说明的是，本发明实施例的基于多引擎漏洞扫描关联分析的脆弱性管理***可以根据网络IP地址分布情况进行配置。

本发明根据网络IP地址分布情况进行配置的，它可以部署在网络的任何地方，只要能够访问到要进行安全评估的目标***就能够正常工作。

本发明通过B/S模式管理，不需要增加额外的服务器安装管理控制端。本发明涵盖了***漏洞扫描、WEB漏洞扫描、数据库安全扫描、安全基线核查、报表关联分析、分布式管理等功能。出于安全性考虑，一般建议在核心交换机处部署一台本发明，及时检测出信息***中存在的各种脆弱性问题，包括各种安全漏洞、安全配置问题、不合规行为等，防患于未然。从而，全面提升信息***的安全水平，满足日益增加的各种业务***的安全需求。图3和图4分别为基于多引擎漏洞扫描关联分析的脆弱性管理***的单机和分布式部署图。

根据本发明实施例的基于多引擎漏洞扫描关联分析的脆弱性管理***，涵盖了***漏洞扫描、WEB漏洞扫描、数据库安全扫描、安全基线核查、工控漏洞扫描、APP漏洞扫描、WiFi安全检测、报表关联分析、分布式管理等功能，能够全面、精准地检测信息***中存在的各种脆弱性问题，包括各种安全漏洞、安全配置问题、不合规行为等，在网络***受到危害之前为管理员提供专业、有效的安全分析和修补建议，还能够将评估结果与信息安全等级保护的合规库进行关联分析，生成满足规范要求的等级保护测评报告，保障等级保护工作高效准确执行。并结合可信的漏洞管理流程对漏洞进行预警、扫描、修复、审计，防患于未然。广泛应用于政府、军队、公安、教育、电力、金融等行业，帮助用户解决目前所面临的各类常见及最新的安全风险，同时满足如等级保护、行业规范等政策法规的安全建设要求。

(1)全面、统一的漏洞扫描

本发明结合多年的漏洞扫描和安全服务实践经验，自主研发的新一代漏洞管理产品，它全面、精准地检测网络中存在的各类脆弱性风险，提供专业、有效的安全分析和修补建议，防患于未然。

***涵盖了***漏洞扫描、WEB漏洞扫描、数据库安全扫描、安全基线核查、工控漏洞扫描、APP漏洞扫描、WiFi安全检测、报表关联分析、分布式管理等功能。能够全面发现信息***存在的各种脆弱性问题，包括各类安全漏洞、安全配置问题、不合规行为、弱口令以及不必要开放的端口等，形成整体安全风险报告，一目了然。

(2)强大、精准的扫描技术

本发明采用自主研发的底层核心引擎，拥有先进的扫描技术，不断提高执行效率和调度效率。其中，***漏洞扫描支持智能服务识别、授权登录扫描、安全优化扫描等。WEB漏洞扫描支持自动化解析json、base64数据并进行扫描，支持自定义Cookie进行深入检测，支持基于basic、NTLM、Cookie等认证方式的WEB扫描，还具备领先的WEB漏洞验证机制等。数据库安全扫描支持授权检测、非授权检测，还可以发现数据库中潜藏的木马。安全基线核查支持多种协议远程登录目标***，支持在线设备基线核查和离线设备基线核查，还支持对接4A***或者堡垒机***，批量检查业务***的安全配置。工控漏洞扫描还可以检测工业控制***中所特有的设备/***，比如SCADA、DCS、PLC等存在的安全风险。APP漏洞扫描能够准确发现APK中存在的安全漏洞、恶意代码、不安全配置等安全风险，还可以对APK进行病毒检查。WiFi安全检测能够识别接入点和WiFi信道，并进行WiFi弱口令检测。

(3)可靠、实时的网站监控

本发明可以为不同网站设置不同的监测策略，自动根据策略对网站进行24小时不间断监测、实时预警，形成整体安全评估报告，并进行可视化展示。

***不仅支持WEB漏洞检测、网站可用性检测、网页篡改检测、敏感关键字检测、网马和暗链检测、钓鱼网站检测等功能。还支持图片文字识别、Activex识别、定位到篡改的页面源码位置、COOKIE录制、交互扫描、漏洞验证等技术。从而帮助用户建立更加安全可靠的WEB应用服务。

(4)领先、丰富的漏洞知识库

本发明的漏洞知识库涵盖了各种主流操作***、数据库、网络设备、应用程序。漏洞知识库数量国内领先，每周至少升级一次。漏洞相关信息支持全中文，兼容CVE国际标准，漏洞修复建议清晰、详细，可操作性强。其中，***漏洞知识库的检测脚本大于80000多条，提供了详细的漏洞描述和对应的修补措施和安全建议。WEB漏洞知识库的检查策略大于1000多条，涵盖了SQL注入、跨站脚本攻击XSS、网站挂马、网页木马、CGI漏洞等。数据库漏洞知识库的扫描策略大于2000多条，覆盖了权限绕过漏洞、SQL注入漏洞、访问控制漏洞等。安全配置知识库的扫描策略大于1500多条，为信息***安全配置检查及加固提供专业指导。还具备工控漏洞知识库、APP漏洞知识库，从而全面发现信息***中存在的各类安全风险。

(5)专业、直观的报表管理

本发明的扫描结果通过灵活的报表呈现给用户，支持各类格式输出，并提供漏洞分级、相应加固建议方案以及自定义报表内容。提供定性的趋势分析、定量的风险分析，更加直观地了解当前网络安全状况。

同时，***还能够将检查结果与信息安全等级保护的合规库进行关联分析，生成满足规范要求的等级保护测评报告，保障等级保护工作高效准确执行。

(6)完备、可信的闭环管理

安全管理需要持续改进，持之以恒。安全管理不仅仅是技术，更重要的是通过流程制度对漏洞风险进行控制。本发明遵循“漏洞生命周期”原理，把漏洞管理的循环过程划分为漏洞预警、漏洞扫描、漏洞修复、漏洞审计。

漏洞预警：最新的高风险漏洞信息公布之际，本发明会在第一时间通过邮件或者电话的方式向用户进行通告，并且提供相应的预防措施。同时提供产品升级包，保证漏洞知识库的完备性；

漏洞扫描：依靠全面、先进的本发明对目标***进行漏洞扫描，并采用前沿的风险评估模型对这些资产和脆弱性进行评估，及时发现漏洞，进行优先级排序，生成等级保护测评报告；

漏洞修复：产品本身提供了可操作性很强的漏洞修复方案，包括***的安全配置建议和补丁的有效下载链接等。同时支持和微软WSUS补丁更新***进行联动，自动进行补丁加固。还提供了二次开发接口给第三方安全产品进行联动，方便用户及时、高效地对漏洞进行修复；

漏洞审计：漏洞管理还需要提供完整的审计机制，以方便管理者追踪、记录、验证漏洞管理的成效，督促管理员对漏洞进行修复，同时启动定时扫描任务进行对比分析和成效验证。所有的这些过程全自动化，以保证漏洞管理的整体工作效率。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。

Claims (6)

1.一种基于多引擎漏洞扫描关联分析的脆弱性管理***，其特征在于，包括：

资产探测管理模块，用于探测扫描网络中的资产信息，包括各项主机、网络设备和数据库的信息，识别各项资产的属性、服务及操作***；

***漏洞扫描模块，用于根据所述资产信息对网络设备、操作***、应用服务和数据库四个方面进行漏洞扫描和分析，并支持智能服务识别、授权登录扫描、安全优化扫描；

Web漏洞扫描模块，用于根据所述资产信息自动化解析json、base64数据并进行扫描，支持自定义Cookie进行深入检测，并支持被动扫描和用户录入url链接，对发现的WEB漏洞进行验证，记录下扫描漏洞发现的测试数据包，并对注入漏洞，自动识别数据库类型；

数据库安全扫描模块，用于内置数据库漏洞知识库，根据所述数据库漏洞知识库中的扫描策略，提供授权检测和非授权检测的扫描检测方式，对数据库进行安全检测，检测完成后自动生成检测报告，所述检测报告包括检测出的漏洞描述和修复建议；

安全基线核查模块，用于根据所述资产信息支持多种协议远程登录目标***的基线核查，对目标***进行自动化的基线检测、分析，并提供专业的配置加固建议与合规性报表；所述安全基线核查模块用于支持多种协议远程登录目标***进行基线核查，支持在线设备基线核查和离线设备基线核查，支持对接4A***或者堡垒机***，自动获取被检查目标***的登录授权信息，批量检查业务***的安全配置，其中，所述安全基线核查模块进行基线核查过程只检查***的配置情况，不对***配置进行任何修改；

工控漏洞扫描模块，用于根据所述资产信息检测工业控制***中的各项IT设备和***；

APP漏洞扫描模块，用于根据所述资产信息对Android***上的移动应用APP进行漏洞扫描，采用静态分析的方式，发现APK中存在的安全风险，并对APK进行病毒检查；

WIFI安全检测模块，用于根据所述资产信息对WiFi无线网进行安全检测，识别接入点和WiFi信道，实时分析802.11a/b/g/n/ac无线网络存在的安全风险，并进行WiFi的弱密码检测，支持无线网络安全风险统计及展示，并生成WiFi安全检测报告；

报表关联分析模块，用于采用报表和图形的形式对扫描结果进行分析，通过预定义、自定义和多角度多层次的分析扫描结果，并将检查结果与信息安全等级保护的合规库进行关联分析，生成满足规范要求的等级保护测评报告，保障等级保护工作高效准确执行；

全网分布式管理模块，用于采用分布式管理功能，向下级引擎下达扫描任务，接收下级引擎上传的扫描结果，进行统一分析并生成整体扫描报告，下级引擎自行新建扫描任务，满足自评估的需要，实现了对大规模网络的实时、定时的漏洞扫描和风险评估；

其中，所述脆弱性管理***为不同网站设置对应的监测策略，自动根据策略对网站进行不间断监测、实时预警，形成整体安全评估报告，并进行可视化展示；支持WEB漏洞检测、网站可用性检测、网页篡改检测、敏感关键字检测、网马和暗链检测、钓鱼网站检测，支持图片文字识别、Activex识别、定位到篡改的页面源码位置、COOKIE录制、交互扫描、漏洞验证；

所述脆弱性管理***执行漏洞管理采用闭环循环，包括漏洞预警、漏洞扫描、漏洞修复、漏洞审计：

漏洞预警：当检测到最新的高风险漏洞信息公布之际，在第一时间通过邮件或者电话的方式向用户进行通告，并且提供相应的预防措施；

漏洞扫描：对目标***进行漏洞扫描，并采用风险评估模型对这些资产和脆弱性进行评估，发现漏洞，进行优先级排序，生成等级保护测评报告；

漏洞修复：预设漏洞修复方案，包括***的安全配置建议和补丁的有效下载链接，同时支持和微软WSUS补丁更新***进行联动，自动进行补丁加固，提供了二次开发接口给第三方安全产品进行联动；

漏洞审计：提供完整的审计机制，以便管理者追踪、记录、验证漏洞管理的成效，督促管理员对漏洞进行修复，同时启动定时扫描任务进行对比分析和成效验证。

2.如权利要求1所述的基于多引擎漏洞扫描关联分析的脆弱性管理***，其特征在于，所述脆弱性管理***采用B/S管理方式，用户采用浏览器通过SSL加密通道和***WEB界面模块进行交互。

3.如权利要求1所述的基于多引擎漏洞扫描关联分析的脆弱性管理***，其特征在于，所述Web漏洞扫描模块支持对以下漏洞的扫描检测：SQL注入、跨站脚本攻击XSS、网站挂马、网页木马、公用网关接口CGI漏洞。

4.如权利要求1所述的基于多引擎漏洞扫描关联分析的脆弱性管理***，其特征在于，所述工控漏洞扫描模块检测工业控制***中使用的传统IT设备/***，包括：操作***、网络设备、应用服务；

所述工控漏洞扫描模块还用于检测工业控制***中所特有的设备/***，包括：数据采集与监视控制***SCADA、分布式控制***DCS、可编程逻辑控制PLC控制***，以及协议存在的安全风险。

5.如权利要求1所述的基于多引擎漏洞扫描关联分析的脆弱性管理***，其特征在于，所述报表关联分析模块支持各类格式输出，并提供漏洞分级、相应加固建议方案以及自定义报表内容，提供定性的趋势分析、定量的风险分析，将检查结果与信息安全等级保护的合规库进行关联分析，生成满足规范要求的等级保护测评报告。

6.如权利要求1所述的基于多引擎漏洞扫描关联分析的脆弱性管理***，其特征在于，所述脆弱性管理***根据网络IP地址分布情况进行配置。

Images