工控安全

工控漏洞扫描系统

工控漏洞扫描系统是由公司的研究团队在多年安全研究沉淀和安全服务经验的基础上，自主研发的新一代漏洞扫描管理平台。产品严格按照计算机信息系统安全的国家标准、相关行业标准设计、开发。

漏洞扫描系统涵盖了空间资产探测、系统漏洞扫描、WEB漏洞扫描、网站安全监测、数据库安全扫描、安全基线核查、工控漏洞扫描、WIFI安全检测、APP安全扫描、大数据漏洞扫描、Windows安全加固、等保合规关联、分布式管理等功能，能够全面、精准地检测信息系统中存在的各种脆弱性问题，包括各种安全漏洞、安全配置问题、不合规行为等，在信息系统受到危害之前为管理员提供专业、有效的漏洞分析和修补建议。并结合可信的漏洞管理流程对漏洞进行预警、扫描、修复、审计，防患于未然。

系统框架图：

主要功能

空间资产探测功能

漏洞扫描系统综合运用多种手段，全面、快速、准确的发现被扫描网络中的存活主机、网络设备、数据库，准确识别其属性，包括主机名称、IP地址、端口、操作系统、软件版本、负责人、地区等，为进一步漏洞扫描做好准备。

系统能够自动生成网络拓扑，还可以进行后期人工修改，查看各资产的详细信息。支持资产导出、导入，方便用户快速发现、统计全网的信息资产，了解每个资产的安全风险等级，一目了然。

工控漏洞扫描功能

漏洞扫描系统不仅能够检测工业控制系统中所特有的设备/系统，比如SCADA、DCS、PLC等控制系统，以及ModbusTCP、S7等协议存在的安全漏洞。还可以检测工业控制系统中使用的传统IT设备/系统，比如主流的操作系统、数据库、应用服务等。支持远程、非接触式为工业控制系统进行安全漏洞检测，从而降低因工控漏洞带来的经济风险。

系统漏洞扫描功能

漏洞扫描系统能够全方位、多侧面的对主流的操作系统、应用服务、数据库和网络设备四个方面进行漏洞扫描和分析。支持的Windows包括：NT、2000、XP、2003、Win7、Win10、2008、2012、2016等。支持的Linux包括：Amazon Linux、CentOS、Debian、Fedora、Red Hat、SuSE、Ubuntu等。支持的Unix包括：AIX、FreeBSD、HP-UX、Solaris、Mac OS X等。支持的应用程序包括：Microsoft Internet Explorer、PHP、IIS、Apache、Tomcat、PHP、Adobe Flash等。支持的数据库包括：Oracle、Mysql、DB2、Informix、Mssql、Sybase等。支持的虚拟化平台包括：Vmware EXSi、XenServer等。支持的网络设备包括：思科、华为等。支持的安全设备包括：juniper等。

系统支持智能服务识别、授权登录扫描、安全优化扫描等，具备的系统漏洞知识库的检测脚本大于80000多条，提供了详细的漏洞描述和漏洞修复建议，方便用户及时发现信息系统中存在的安全漏洞，通过安全加固，防患于未然。

WEB漏洞扫描功能

漏洞扫描系统具备强大的Web应用漏洞安全检测能力，全面支持OWASP TOP 10漏洞检测，比如SQL注入、跨站脚本攻击XSS、网站挂马、网页木马、CGI漏洞等。支持的协议包括：HTTP、HTTPS等。支持的WEB服务器包括：IIS、Websphere、Weblogic、Apache、Tomcat、Nginx等。支持的编程语言包括：Asp、Jsp、.Net、J2EE、Php等。支持的数据库类型包括：Access、Mysql、Oracle、DB2、PostgreSQL、Sybase、Informix、sqlite、MSSQL SERVER等。支持的第三方组件包括：WordPress、eWebEditor、FCKeditor、Struts2等国内外常见第三方组件。

系统能够自动化解析json、base64数据并进行扫描。支持自定义Cookie进行深入检测。支持基于basic、Cookie等认证方式的Web扫描。还支持被动扫描，支持用户录入url，能够扫描一些常规页面爬取软件检测不到的url。方便用户及时发现WEB网站中存在的安全漏洞，避免信息安全事件的发生。

而且，系统还具备领先的WEB漏洞验证机制，能够对发现的WEB漏洞进行验证，记录下扫描漏洞发现的测试数据包，用于取证。并对注入漏洞，自动识别数据库类型，获取InstanceName(实例名称/数据库名称)和UserName(用户名称)，使误报率大大降低。

数据库安全扫描功能

漏洞扫描系统具备专业的数据库安全扫描能力，支持Oracle、Mysql、Sqlserver、Sybase、DB2、Informix、Postgresql、Kingbase、达梦等十五种数据库。

系统具备的数据库漏洞知识库的扫描策略大于2000多条，覆盖了权限绕过漏洞、SQL注入漏洞、访问控制漏洞等。系统还提供两种扫描方式：授权检测、非授权检测，用户可以根据不同的情景选择扫描检测方式，并选取相应的扫描策略实现对数据库的安全检测，检测完成后自动生成检测报告，报告包含了检测出的漏洞详细描述和修复建议。方便用户及时发现数据库中存在的安全漏洞，保障用户的数据安全。

而且，系统还可以通过对数据库对象、二进制文件等进行对比，从而发现数据库中潜藏的木马。

安全基线核查功能

漏洞扫描系统具备先进的安全基线核查能力，可以对目标系统进行自动化的基线检测、分析，并提供专业的配置加固建议与合规性报表。支持的操作系统包括：Windows、Linux（Centos、Debian、Fedora、Redhat、Suse、Ubuntu等）、Unix（Aix、HP-UX、Solaris等）、国产操作系统（中标麒麟、红旗等）等。支持的中间件包括：IIS、Apache、Tomcat、Weblogic、Websphere、Nginx、Jboss、Resin等。支持的数据库包括：Oracle、Mysql、DB2、Informix、Mssql、Sybase等。支持的虚拟化平台包括：Vmware EXSi、XenServer等。支持的网络设备包括：思科、华为等。支持的安全设备包括：juniper、网神等。

系统支持多种协议远程登录目标系统进行基线核查，包括SMB、Telnet、SSH。支持Agent本地检测，提供了专用的windows配置检查工具。支持在线设备基线核查和离线设备基线核查。基线核查过程只检查系统的配置情况，不对系统配置进行任何修改，确保业务持续性和业务安全。让安全配置维护工作变得有条不紊而且简单、易于操作，方便用户及时发现信息系统中存在的不安全配置，提高目标系统的安全防护水平。

APP安全扫描功能

漏洞扫描系统支持对Android上的移动应用（APP）进行漏洞扫描，采用静态分析的方式，准确发现APK中存在的组件安全、配置安全、数据安全和恶意行为等安全风险。从而大幅提升移动APP的安全性，避免因APP漏洞造成业务损失。

WiFi安全检测功能

漏洞扫描系统支持对WiFi无线网络进行安全检测，识别接入点和WiFi信道，搜索出SSID、硬件厂商、MAC地址等信息，以及各无线节点所连接的客户端相应的MAC地址等信息。还能够对WiFi进行弱密码检测，并生成WiFi安全检测报告。

大数据漏洞扫描功能

漏洞扫描系统支持对主流大数据组件进行漏洞扫描和安全配置合规性检查，包括Hadoop、Spark、Hbase、Solr、ES等。能够生成统计分析报告，提供详细的漏洞描述和漏洞修复建议，从而增强大数据平台各组件安全的合规性。

Windows安全加固功能

漏洞扫描系统支持对Windows操作系统的配置、网络、接入、日志、防护等方面进行自动和手动安全加固。加固内容包括：配置管理（主机配置、用户策略、身份鉴别、补丁管理、软件管理），网络管理（服务端口、防火墙），接入管理（外设管理、自动播放、远程登录、无线网卡），日志审计，恶意代码防范（数据保护、防病毒软件）等。

报表关联分析功能

漏洞扫描系统采用报表和图形的形式对扫描结果进行分析，可以预定义、自定义和多角度多层次的分析扫描结果。提供完善的漏洞风险级别、漏洞类别、漏洞描述、漏洞类型、漏洞解决办法。

系统提供有关漏洞的国际权威机构记录（包括CVE编号支持），以及与厂商补丁相关的链接。使得管理员和普通用户可以快速准确地解决各种安全问题，方便用户能够具体了解某台主机或者某个漏洞的详细信息。报表提供行政人员、技术员、安全专家及自定义报表等样式，输出的报表格式包括：HTML、DOC、PDF等。同时，能够将检查结果与信息安全等级保护的合规库进行关联分析，生成满足规范要求的等级保护测评报告。

全网分布式管理功能

随着网络规模的逐步庞大、逐步复杂，核心级网络、部门级网络、终端/个人用户级网络的建设，各个网络之间存在着防火墙、交换机等过滤机制，网络漏洞管理系统发送的检测数据包大部分将被这些网络设备过滤，降低了扫描的时效性和准确性。

针对这种分布式的复杂网络，漏洞扫描系统提供了分布式管理功能，系统能够向下级引擎下达扫描任务，接收下级引擎上传的扫描结果，进行统一分析，生成整体扫描报告。下级引擎也可以自行新建扫描任务，满足自评估的需要。从而实现了对大规模网络的实时、定时的漏洞扫描和风险评估。

及时快捷升级功能

漏洞扫描系统利用程序内置的产品升级模块，可以通过网络或者本地数据包，对漏洞库、软件进行在线升级、本地升级、定时升级。

每周至少升级一次，确保系统可以及时准确的检测到最新公布的漏洞，确保信息系统的安全。

应用部署

漏洞扫描系统是根据网络IP地址分布情况进行配置的，它可以部署在网络的任何地方，只要能够访问到要进行安全评估的目标系统就能够正常工作。

漏洞扫描系统的分布式部署图如下图所示：