国瑞信安等级保护检查工具箱介绍v20发布版.pptx

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2019/11/24,#,目 录,国瑞信,安简介,1,产品概述,2,等级保护检查工具箱,3,国瑞信,安简介,目 录,成立于,2002,年，注册资金,5200,万人民币,国家级软件园,江苏软件园徐庄基地,20,栋，面积,4500m,高新技术企业,和软件企业,计算机信息系统,集成壹级,资质,涉密信息系统集成资质（甲级）,人防,信息系统建设保密项目,设计,（,施,工,）甲级资质,安,防工程企业一级资质,国防,科技工业涉密集成资质,国家信息,安全服务（安全工程,类,贰,级）,军工,涉密业务咨询服务,资质,建筑智能化工程

2、设计与施工贰,级,CNCERT/CC,网络安全应急,服务,资质,江苏省,信息安全风险检查评估,机构,公安部,信息,安全等级保护测评机构,资质,CMMI,L3,认证,质量管理,体系认证,ISO9001,认证,IT,服务管理体系认证证书,ISO/IEC 20000,信息,安全管理体系认证证书,ISO/IEC 27001,专业能力认定资质,产业级综合资质与专项业务市场准入资质,国瑞信安信息安全行业范围,党政,军工,军队,民防,金融,公司信息安全业务典型形态如下：,信息系统,安全保障体系设计咨询、集成、服务,涉密信息系统分级保护设计咨询、集成、服务,信息系统等级保护设计咨询、集成、服务,信息系统,的风

3、险评估服务、集成,信息,安全产品研发及,销售,信息系统集成（含信息安全集成、建筑智能化集成）,国瑞信安以信息技术为控制和管理,手段，,为用户,提供信息安全咨询、服务、集成,和,开发等,全方位的解决,方案,。,产品名称,产品名称,国瑞信安信息安全等级保护监察装备,国瑞信,安,保密,管理,信息系统,国瑞信安,终端安全登录与,监控审计系统,国瑞信安光盘集中刻录监控审计与管理系统,国瑞信安计算机安全保密检查,工具,国瑞信安打印安全监控与审计系统,国瑞信安安全增强电子邮件系统,国瑞信安恶意程序辅助检测系统,国瑞信安互联网敏感信息管理控制系统,国瑞信安互联网舆情监测管理系统,国瑞信安,实名,上网行为管理系

4、统,国瑞信安网络接入控制系统,国瑞信安防火墙,国瑞信安入侵检测系统,、,产品概述,目 录,江苏国瑞信安科技有限公司依据,国家等级保护相关标准及要求，深入研究公安网安部门等级保护工作思路、方式，仔细分析在等级保护推进过程中出现的,信息系统定级不准、测评机构测评质量难把关、信息系统安全整改难监管,上述问题也一直是网安部门寻求解决的，率先推出信息安全等级保护监察管理系统及信息系统等级保护检查工具箱（两者合称：信息安全等级保护监察装备），借助信息化手段解决问题。,各级网安部门部署信息安全等级保护监察管理系统（有需要的地市可以自建），作为网安部门民警开展等级保护工作提供“工作平台、管理平台、分析平台”,

5、开发背景,一体化解决方案,网络部署图,总体架构,工具箱使用定位,监督检查,指导管理,指导,网安,部门,运营,使用,单位,安全,服务商,测评,机构,监督管理,推进等保检查工作,产品效益,等级保护检查,工具箱,目 录,等保工具箱数据接口,平台任务导出,监察管理平台向工具箱导出检查任务,同时导出过往检查问题，便于针对性检查与复查,工具箱数据导入,工具箱得到各单位检查数据后，导入大平台,同时包括可能的发生变更的信息,等保工具箱架构图,1.,工具箱管理系统导入从大平台下发的任务,2.,工具箱执行访谈,检查工具执行检查,3.,工具箱管理系统导入工具检查结果,4.,根据情况打印相关法律文书,5.,工具箱导出

6、检查结果,导入到省级平台,等保工具箱业务流,等保工具箱工具集,标配工具,Windows,主机配置检查工具,Linux,主机配置检查工具,病毒检查工具,木马检查工具,网站恶意代码检查工具,网站安全检查工具,网络及安全设备配置检查工具,弱,口令检查工具,数据库安全检查工具,系统漏洞检查工具,选配工具,协同工作处理机,网络设备信息侦测工具,无线,WIFI,检查工具,网站监测预警工具,其他工具设备,数据相机,手持扫描仪,录音笔,便携式打印机,执法记录仪,主机配置检查,工具（,WIN,）,检查,系统信息,、,硬件信息,、,启动项,、系统,服务,、账户信息等,基本信息,安全策略,：检查,密码安全策略,设置

7、账户,锁定策略,设置,等,；,审计,策略,：,对,策略,更改,、登录,事件,、特权,使用,、系统,事件,、账户,登录事件,、账户,管理,等,显示审计信息,；,系统安全补丁：支持显示已安装的更新程序、其中包含了补丁名称、补丁发布日期、补丁安装日期、严重级别、补丁描述；,软件安装：显示已安装的软件，软件总数，并针对软件进行了分类，同时支持智能识别系统安装的反病毒软件、病毒库升级日期；,进程扫描：支持显示了系统当前活的的进程、,PID,；,活动端口：支持显示当前开放的,TCP/UDP,端口、连接状态、进程对应路径；,用户权限：支持显示用户、访问权限与操作系统安全相关的状态；,安全选项：支持显示

8、与操作系统安全相关的安全策略状态；,组策略：支持显示为管理员设置各种软件、计算机系统设置相关的策略；,运行环境支持,Windows2000,、,Windows XP,、,Windows Vista,、,Windows 7,、,Windows 8,、,Windows 2000 Server,、,Windows 2003 Server,、,Windows 2008 Server,等操作系统,(,包括其各系列的,32,位、,64,位系统,),；,等保标准对应点,1,等保标准对应点,2,如上截图是,WIN,终端检查工具与等保标准的对应,检查工具首先获取配置数据,检查工具根据获取的配置数据，结合等保保护

9、标准和知识库，对应每个条目给出符合、不符合的判定结果,检查结果导入工具箱管理平台进一步分析处理,其中“工具检查记录”栏目为给出的参考正确值,主机配置检查,工具（,LINUX,）,系统信息,、,账户信息,等系统基本信息,账户,口令策略：支持检查系统配置是否配置了口令复杂度、定期更换、登录失败、锁定时间、超时时间等状态；,活动端口、服务：支持显示当前开放的,TCP/UDP,端口、连接状态、进程对应路径、以及端口对应服务；,用户权限：支持显示用户、访问权限与操作系统安全相关的状态；,安全审计：支持检查系统是否开启了审计策略、同时是否配备了,SYSLOG,服务器；,SNMP,服务：支持,检查是否开启了

10、SNMP,服务，并检查,SNMP,是否采用加密的协议；,SSH,协议：支持检查当前,SSH,版本；,运行环境包括但不限于以下主流,Linux,操作系统：,Red Hat Enterprise 32/64bit,，,CentOS 32/64bit,，支持检查当前,SSH,版本；,等保标准对应点,病毒检查工具,快速扫描：支持快速扫描系统关键目录、快速扫描和发现关键目录中,(,例如：,system32),所存在的病毒程序；,全盘扫描：支持系统所有的盘符下的文件进行全面深度检查，帮助发现系统中存在的病毒，不留死角；,自定义扫描：支持所选择的目录进行全面的检查，帮助发现指定检查的目录中是否含有病毒程序

11、支持快速选择桌面、文档、系统关键目录、,U,口等区域；,运行环境支持,Windows2000,、,Windows XP,、,Windows Vista,、,Windows 7,、,Windows 8,、,Windows 2000 Server,、,Windows 2003 Server,、,Windows 2008 Server,等操作系统,(,包括其各系列的,32,位、,64,位系统,),；,木马检查工具,快速扫描：支持快速扫描系统关键目录、快速扫描和发现关键目录中所存在的木马、后门；,全盘扫描：支持系统所有的盘符下的文件进行全面深度检查，帮助发现系统中存在的木马程序；,自定义扫描：支持所

12、选择的目录进行全面的检查，帮助发现指定检查的目录中是否含有木马、后门等程序。支持快速选择桌面、文档、系统关键目录、,U,口等区域；,运行环境支持,Windows2000,、,Windows XP,、,Windows Vista,、,Windows 7,、,Windows 8,、,Windows 2000 Server,、,Windows 2003 Server,、,Windows 2008 Server,等操作系统,(,包括其各系列的,32,位、,64,位系统,),；,网站恶意代码检查工具,快速扫描：支持指定检查的,WEB,服务器目录路径，即可进行扫描状态。快速扫描是根据文件类型匹配对应的扫描

13、策略；,全盘扫描：支持指定检查的,WEB,服务器目录路径，全面检查不区分文件类型，扫描所有默认,ASP,、,ASPX,、,JSP,、,PHP,、,CSS,等类型的文件；,自定义,扫描：支持指定检查的,WEB,服务器目录路径，自由定制文件类型和检查策略等；,WEB,服务器支持：,IIS,、,Apache,、,nginx,、,weblogic,、,Websphere,、,Tomcat,等,；,网站安全检查工具,WEB,安全检测：,Struts2,命令执行漏洞,检测,、,HTTP,头部变量,检测,、,SQL,注入漏洞,检测,、,跨,站攻击脚本攻击漏洞,检测,、,第三方,WEB,应用漏洞,检测,等等,

14、支持,JavaScript,脚本引擎，可以动态分析,JavaScript,脚本，从中获取出内嵌的,URL,；,支持,基于,Basic,、,NTLM,、,Cookie,等认证方式的,Web,应用系统安全扫描,；,支持基于,HTTP,和,HTTPS,协议的应用系统检测,；支持,检测基于,Web 2.0,的,Web,应用,系统,；,支持,所有类型的静态、动态和伪静态页面检测,。,提供全面、详细的统计报表功能，能够提供图形界面进行查询；,支持从不同维度，对系统内站点做出汇总报告及趋势统计分析，方便用户及时发现最突出的安全隐患；,网络及安全设备配置检查工具,系统信息：支持检查设备厂商名称、版本、型号；,

15、账户,和口令策略：支持检查,CONSOLE,、,TELNET,等方式登录是否需要输入口令、以及账户和口令的安全策略情况；,远程访问管理：支持检查是否设置了相关策略仅允许授权的,IP,地址采用,TELNET,、,SSH,等协议远程登录管理；,SNMP,协议：支持检查,SNMP,是否开启，,SNMP,是否存在弱口令，并检查,SNMP,团体名称是否采取了相关加密措施；,日志审计策略：支持检查是否开启了系统自带的日志审计功能，以及检查是否指定了,SYSLOG,服务器；,支持,品牌,，包括但不限于以下主流设备：,网络设备：,H3C,、,思科,、,Juniper,、,锐,捷,、,华为；,防火墙通用设备,天

16、融,信,、,网神,、,启明星辰,、,网,御,星云,、,山石；,弱口令检查工具,支持协议类型,：,SMB,、,MSSQL,、,FTP,、,MYSQL,、,Oracle,、,RDP,、,POP3,、,SSH,、,HTTP,、,Telnet,、,VNC,、,SyBase,等弱,口令检查；,内置字典：支持内置常见弱口令字典，并支持自定义账户、口令字典；,支持加密：支持设置通过,SSL,方式进行检查；,端口自定义：支持自定义应用协议,TCP,端口；,批量支持：支持本地、远程主机及多协议同时检查；,破解速度：支持本地操作系统口令破解，实现秒级数万弱口令的破解,；,备注：,部标里面的弱口令检查工具，是基于

17、网络的，通过网络连接被检查主机，进行口令枚举从而达到破解的目的。但现有网络的局限性，一般每秒只能穷举几十个口令，效率比较低。,我们现在采用有终端检查的方法，在检查终端的同时检查弱口令，采用不同的技术，每秒可以枚举数万弱口令。后续会开发本地弱口令检查工具，类似于,WINDOWS,终端，接入系统后自动分析获取数据库用户口令、系统用户口令等信息,数据库安全检查工具,支持,远程方式扫描数据库的配置信息、安全策略、参数、账号口令安全、远程服务、端口和漏洞情况；,支持业界主流的数据库类型，包括,Oracle,、,MSsql,、,DB2,、,Informix,、,Mysql,、,Sybase,等；,支持扫描

18、引擎应确保系统工作时对数据库及服务器性能无明显影响；,支持授权扫描,使用具有,DBA,权限的数据库用户，执行选定的安全策略实现对目标数据库的检测；,支持非授权扫描,用户在没有授权的情况下（即：不需要数据库的用户名和密码），依据数据库版本号并根据选定的安全策略对目标数据库进行的检测；,支持策略自定义,提供扫描策略可自定义模式，操作者可以灵活选择默认策略的同时也可以自定义添加策略；,系统漏洞检查工具,支持,自动发现和识别目标主机的操作系统类型，并根据其系统类型选择对应的扫描方法,；,支持对扫描对象的脆弱性进行全面检查，识别内容应包括操作系统和应用系统安全补丁的缺失、弱口令、常见木马后门、不安全的服

19、务配置等；,具备,Windows,域环境下的深度扫描能力，即能够利用域管理员的权限，在域内进行效果相当于基于主机的漏洞扫描和检测,；,支持,智能推荐扫描参数，根据宿主机的实时性能动态提供线程数和并发,IP,数等参数设置建议；,支持断点续扫功能，以应对突发网络状况和设备故障，并能够对已经完成的扫描结果进行实时,保存,支持实时显示扫描进度以及阶段性扫描结果，包括主机名、开放端口、操作系统、服务、用户、,BANNER,信息、漏洞信息等,；,支持灵活的扫描策略自定义功能，提供策略编辑向导和详细漏洞信息，支持以系统类型、漏洞类型、危险级别、,CVE,等不同视图显示漏洞，支持策略的导入、导出、修改以及,合

20、并,协同工作处理机,协同工作处理机是检查人员进行检查任务多人合作，提升检查工作效率,。,可以,导入等级保护检查专用工具导出的检查任务；,可以进行安全检查任务的多人协同工作；,可以将检查数据汇总到等级保护检查专用工具,中,。,网络设备信息侦测工具,设备发现：支持探测指定,IP,范围内活动的主机、网络设备和安全设备；支持快速扫描（,ICMP,方式）和深度扫描（采用,SNMP,、,telnet,、,SSH,、,CDP,等方式采集设备信息）；,网络环境：支持,IPV6,类型网络环境侦测；,端口探测：支持探测指定,IP,范围内的活动主机上的若干个端口状态，并支持自定义端口和自定义探测方式；,操作系统,探

21、测,：,支持,获取被探测目标的操作系统类型（如：,Windows,，,Linux,等），系统版本和设备类型（如主机、路由器、交换机、防火墙等），并给出设备的品牌（如：华为、联想、天融信等）；,服务类型和版本探测：支持探测端口的服务的类型和版本功能；,网络拓扑生成：支持根据探测到的信息，生成针对指定目标主机、网络设备和安全设备的网络拓扑图功能。,无线,WIFI,检查工具,支持,发现目标信息系统网络中活动的无线,WIFI/WAPI,访问节点、通过无线,WIFI/WAPI,上网的终端；,支持显示侦测到的无线,WIFI/WAPI,访问节点的详细信息，包括,SSID,、,MAC,地址、频道、加密方式、信

22、号强度；,支持统计侦测到的无线,WIFI/WAPI,访问节点的出现频率，包括首次出现时间、最近出现时间；,支持分析每个无线,WIFI/WAPI,访问节点下面连接的终端个数和详细信息，包括,MAC,地址、设备厂商、信道、出现时间等相关信息；,支持通过无线,WIFI/WAPI,访问节点和终端的无线信号强度变化定位其物理位置；,支持,对发现的无线,WIFI/WAPI,访问节点进行弱口令检测。,网站监测预警工具,检查目标网站的业务连续性，并监测目标网站的内容（文字、链接、图片）是否被篡改。网站监测预警工具通过互联网或局域网连接到目标网站，然后自动对目标网站进行,监测,。,支持站点资产自动发现能力，能够

23、快速发现,IP,地址段内存活的站点,IP,地址及对应站点的属性信息,；,支持检测网站首页响应速度，判断网站是否掉,线,；,支持分析网站资源数量，如包含的图片、,Flash,、,HTML,、外站链接、错误页面等,个数,。,采用云端动态行为检测技术与静态特征匹配技术相结合,；,支持页面源代码分析，可深入检查该页面所有自动加载资源，包括脚本、框架、,CSS,，并统一所有资源的风险进行风险值计算，支持配置检查资源,URL,的域名白名单、,URL,白,名单,；,网站变更,检测,：,可,监测网站变更情况，通过对比页面前后两次变化，来判断是否网页出现,变更,敏感内容,检测,：,采用,中文分词及中文语义识别技术，对网站页面中的内容进行敏感内容检测,；,脆弱性,检测,：,SQL,注入检测功能，检测网站是否存在,SQL,注入漏洞。包括对：,Get,参数的注入检测、,Post,参数的注入检测、,Cookie,中变量的注入检测、,HTTP,头部变量的注入检测，能有效识别路径类型的参数提交,方式,支持邮件告警、短信告警；,谢 谢！,