Safe: 08-安全巡检

主要内容:

定期做安全检查,发现新增漏洞、配置不合理。

漏洞扫描

使用企业级扫描器对系统进行漏洞扫描,并编写报告。

扫描前准备工作

沟通交流

1、基本信息

  1. 确认扫描时间(避开业务高峰期)
  2. 确定扫描方式(探测版本、发送POC)
  3. 确定任务类型(特定漏洞扫描、网段扫描、端口服务扫描)

2、风险提示与告知

  1. 占用部分带宽
  2. 触发安全防护产品的告警
  3. 可能会影响业务稳定性,甚至造成宕机
  4. 网段扫描可能涉及未知资产,存在一定业务风险

3、物理条件

  1. 网络环境
  2. 接入点
  3. 配合人员(系统管理员、机房管理员等)

4、交付成果

  • 对扫描报告的要求(excel、word、html等)

信息收集

  1. 目标系统资产信息

    信息资产表(IP地址、所属系统、承载业务、映射前地址、映射后地址、浮动IP、责任人)、网络拓扑。

  2. 安全防护产品配备情况

    当前已有安全产品的使用情况、策略情况等,以确认漏洞扫描过程中是否有被误阻断情况。

  3. 过往漏洞扫描信息

    是否进行过漏洞扫描、是否因扫描而造成设备异常。

  4. 其他信息

    业务系统的重要程度、业务繁忙时期等(重要资产夜间扫描)、网段扫描是否允许长时间挂扫。

工具准备

确定漏洞扫描的工具,检查漏洞库是否升级到最新版本。

其他注意事项

1、确认扫描之前得到授权

2、确认在授权允许的时间范围内开展扫描工作

3、禁止对未被授权的资产进行扫描

扫描实施

检查工作

1、严格按照事先指定的扫描地址进行配置,避免发生IP地址冲突问题

2、地址配置完成后,先进行网络可达性的测试(如windows系统使用ping命令),确保网络可达

开始扫描

1、如果扫描资产数量庞大,可以分批建立和下发任务,避免出现扫描工具卡顿等意外情况

2、根据前期收集到的信息,排除先前扫描出现异常的资产

3、可以先扫描1-2个地址,进行网络承载、路由路通的测试

4、扫描过程中提醒配合人员(如系统管理员)全程关注系统运行情况,一旦出现异常则立即停止扫描,配合进行处置和恢复

使用演示

以Nessus为例,演示扫描工具的安装和使用过程。

1、安装教程

首先注册一个outlook邮箱

链接:https://outlook.live.com/mail/inbox?authRedirect=true

接下来注册Nessus账号

链接:https://www.tenable.com/products/nessus-home

以windows版本的nessus为例进行演示:

安装工作完成后,首次启动nessus需要激活和更新漏洞库:

注意:激活码是一次性的。如果卸载然后重新安装,则需要再次注册并重新接收另一个激活代码。

2、使用教程

点击Create New Scan创建新扫描任务

Nessus扫描的基本配置项,在实际扫描过程中,最常用到的配置是端口,将”default”改成”1-65535”来实现全端口扫描,其他配置项保持默认。特殊情况下,也可以适当调整配置项,遇到具体问题需要具体对待。

基本配置完成后,点击”save”保存任务,再按下图点击开始扫描:

扫描过程如下图所示,"暂停"之后还可以继续扫描任务,"停止"之后扫描任务直接结束:

点击任务名”myscan01”查看扫描情况:

还可以查看具体漏洞详情:

扫描收尾工作

扫描任务结束后,正常情况下按照事先约定好的格式输出扫描报告进行反馈即可。但有时也会出现一些异常现象,接下来介绍可能出现的情况及排查思路:

1、扫描结果无漏洞 –检查是否存在低危漏洞,若存在,则扫描结果应该准确;若不存在,则可能是被中间的防护设备所拦截

2、扫描资产减少 –网络不稳定、资产未存活、网络不可达都可能导致,可以使用ping命令单独测试网络可达性

3、扫描任务失败 – 可能是中间存在防护设备,也有可能是工具故障

4、扫描进度卡死 – 可能是中间存在防护设备,也有可能是工具故障

扫描任务正常结束后,检查目标系统运行状态,断开扫描器网络,上述任务确认无误后结束扫描工作,输出扫描报告,提取以下关键信息:

1、检查扫描可达的目标数量,与资产表进行比对看是否存在遗漏,遗漏项需排查原因并进行补充扫描;

2、漏洞分布:哪些资产漏洞数量较多、风险等级较高,具体到主机层面是哪些操作系统和应用;

3、漏洞信息:漏洞名称、漏洞描述、受影响系统/版本/组件、风险等级、加固建议。

配置检查(基线配置核查)

配置检查在网络安全中也叫基线配置核查

针对主机、系统,应用等进行安全配置检查,检查点包括系统服务、文件权限、用户账号、口令策略、认证授权、网络通信、日志审计等内容。

检查方式有两种:

  • 人工检查(使用频率不高)
  • 工具检查(漏洞扫描工具网络上能找到免费版的工具 ;但基线配置核查目前没有免费的工具,都是商业软件。)
    • 在线扫描
    • 离线核查

从技术维度出发,不涉及管理,对于一个信息系统进行一次完整的安全检测,其中包括以下测评方法

  • 渗透测试
  • 漏洞扫描
  • 配置检查
  • 代码审计

人工检查

人工检查主要是通过检查表的形式逐项核对,下面给出一些检查表的例子: 

网络安全检查表-检查项
- 设备描述
- 系统版本信息
- 系统配置备份情况
- 是否使用了Enable secret
- Password 是否加密
- 是否存在简单口令
- 是否禁用 Telnet 方式访问系统
- 是否使用 SSH
- 是否限制 VTY 的数量
- 是否启用远程访问 ACL 控制
- 是否开启 SNMP 服务
- SNMP 版本
- SNMP 服务的共同体字符串是否为默认值
- SNMP 是否设置了 ACL 控制
- 是否禁用 HTTP 配置方式
- 是否设置登录超时
- 是否禁用不使用的端口
- 是否禁用 AUX 端口
- 是否设置 banner motd 警告信息
- 禁用 Finger 服务

主机系统核查表
- 主机系统的用户采用了何种身份标识和鉴别机制
- 主机系统是否配置有必要的访问权限控制
- 主机系统是否配有适当的审计机制
- 操作系统的系统补丁安装情况
- 关键主机系统是否具有冗余备份的措施
- 是否安装了实时检测与查杀恶意代码的软件产品
- 获得主机 DNS 地址
- 服务器是否安装多系统
- 查看主机路由信息
- 检查系统安装的补丁以及 Hotfix
- 是否开启屏幕保护程序
- 开启屏幕保护程序时间
- 屏幕保护程序是否有恢复口令
- 口令复杂度要求是否开启
- 口令复杂度要求
- 最短口令长度要求是否开启

应用系统安全检查表
- 应用系统是否使用加密传输机制、专用通信协议等
- 应用系统是否能限制用户对系统的访问
- 应用系统是否能阻止同一个用户从不同的终端同时登录进应用系统
- 应用系统建立会话前,是否显示有关使用系统的劝告性警示信息
- 登录系统,系统是否支持退出,返回等功能
- 是否能够跨越验证界面直接访问系统某些页面
- 限制用户尝试登录次数
- 多次失败登录后锁定和解锁措施
- 登录系统后,系统返回的登录信息中是否有用户上一次成功会话建立的时间、方法和位置等信息
- 系统返回的登录信息中是否包含"欢迎"等字样
- 用户身份鉴别信息在网络上的传输形式
- 应用系统是否存在 SQL 注入漏洞
- 应用系统是否存在跨站脚本执行漏洞
- 应用系统是否存在目录遍历的安全漏洞
- 应用系统是否存在系统信息泄漏的安全漏洞
- 是否制定了针对系统的运维计划

数据安全检查表
- 应用系统的输入数据是否进行数据合法性检验
- 应用系统的数据传输是否采用加密
- 数据的存储备份采用何种机制
- 存储系统是否建有热备机制
- 数据的访问是否有严格的权限控制
- 应用系统的开发环境与测试环境是否严格分离
- 数据的备份是否有异地备份及备份方式如何
- 数据库安装路径
- 安装路径访问权限
- 数据库文件存放路径
- 数据库日志存放路径
- 检查默认安装的用户的口令
- 数据库软件版本
- 数据库补丁号
- 最大错误登录次数
- 口令失效后锁定时间
- 口令有效时间
- 登录超过有效次数锁定时间
- 口令历史记录保留次数
- 口令历史记录保留时间
- 是否关掉 Extproc 功能
- 被测系统是否针对重要的数据文件、配置文件制定有效的逻辑备份、物理备份方式策略

以上列出的表格主要是为了展示检查项,以便让巡检人员了解具体的检查内容。在实际工作过程中,由于人工检查方式的工作量较大,因此使用频率不高。

工具检查

目前,各大主流安全厂商都具备安全配置核查产品,检查项可以细致到各类操作系统、网络设备、应用程序、数据库、中间件等内容,可能在具体的检查项上不完全一致,但是整体差别不大。因此在实际工作过程中,如果目标系统的所属单位并未明确要求检查模板,可直接使用与其具备合作关系的安全厂商的检查模板。

安全配置核查产品的使用非常简单,在保证网络可达的情况下,输入目标资产的IP和用户名密码,选择对应的模板,即可开始检查工作。通过查找设备在安全配置中存在的差距,找出不符合项,并选择和实施安全措施来控制安全风险,从而提升各类业务系统的安全防护能力和达到整体合规要求。

注:由于当前市场上没有免费的安全配置检查工具,都是以各大主流安全厂商的产品为主,因此在课程内容中不便进行展示,更多的是让你了解到安全配置检查的内容和方式。

安全巡检

安全巡检是指使用多种手段,对网络设备、服务器、操作系统、应用系统进行周期性的状态检查、安全扫描、日志分析,补丁管理并提交巡检报告及安全建议。

在实际过程中,一套完整的安全巡检工作需要不同人员来配合完成,如:机房管理员进行设备状态巡检,安全工程师进行漏洞扫描巡检和日志分析工作,扫描发现漏洞后交由系统管理员进行补丁管理,开发人员进行漏洞修复等。

基本的安全巡检内容如下:

1、检查安全设备状态

查看安全设备的运行状态、设备负载等是否正常;检查设备存放环境是否符合标准;对设备的版本进行检查,看是否有升级的必要;梳理分析设备的策略,清理过期无效策略,给出优化建议;此外还需查看安全设备是否过维保期等一系列的安全检查操作。根据网络安全等级保护的要求,对安全策略和配置做好调整和优化。

2、安全漏洞扫描

对网络设备、主机、数据库、应用系统进行漏洞扫描,并根据扫描结果进行综合分析,评估漏洞的危害大小,最终提供可行的漏洞解决方案。

3、安全日志分析

定期为用户信息系统内安全设备产生的海量日志进行深度挖掘和分析,对用户信息系统内安全设备产生的日志进行梳理,发现潜在的风险点。通过提供日志分析,及时掌握网络运行状态和安全隐患。

流量分析:pacp数据包进行分析,会用到wireshark软件

4、补丁管理

在前期安全扫描的基础上,对存在严重系统漏洞的主机进行补丁更新,从而及时消除因为系统漏洞而产生的安全风险。

emacs

Emacs

 org-mode

Orgmode

 Donations

打赏

 Copyright

© 2025 Jasper Hsu
Creative Commons

Creative Commons

 Attribute

Attribute

 Noncommercial

Noncommercial

 Share Alike

Share Alike