国瑞信安等级保护检查工具箱介绍v2.0发布版课件.pptx

1、目目 录录国瑞信国瑞信安简介安简介1产品概述产品概述2等级保护检查工具箱等级保护检查工具箱3国瑞信国瑞信安简介安简介目目 录录u成立于2019年，注册资金5200万人民币 u国家级软件园江苏软件园徐庄基地20栋，面积4500m高新技术企业和软件企业计算机信息系统集成壹级资质涉密信息系统集成资质（甲级）人防信息系统建设保密项目设计（施 工）甲级资质安防工程企业一级资质国防科技工业涉密集成资质国家信息安全服务（安全工程类贰级）军工涉密业务咨询服务资质建筑智能化工程设计与施工贰级CNCERT/CC网络安全应急服务资质江苏省信息安全风险检查评估机构公安部信息安全等级保护测评机构资质CMMI L3 认证

2、质量管理体系认证 ISO9001 认证IT服务管理体系认证证书ISO/IEC 20000信息安全管理体系认证证书ISO/IEC 27001国瑞信安国瑞信安信息安全信息安全行业范围行业范围党政军工军队民防金融公司信息安全业务典型形态如下：公司信息安全业务典型形态如下：信息系统安全保障体系设计咨询、集成、服务 涉密信息系统分级保护设计咨询、集成、服务 信息系统等级保护设计咨询、集成、服务 信息系统的风险评估服务、集成 信息安全产品研发及销售 信息系统集成（含信息安全集成、建筑智能化集成）国瑞信安以信息技术为控制和管理手段，为用户提供信息安全咨询、服务、集成和开发等全方位的解决方案。产品名称产品名称

3、产品名称产品名称国瑞信安信息安全等级保护监察装备国瑞信安信息安全等级保护监察装备国瑞信国瑞信安安保密保密管理管理信息系统信息系统国瑞信安国瑞信安终端安全登录与终端安全登录与监控审计系统监控审计系统国瑞信安光盘集中刻录监控审计与管理系统国瑞信安光盘集中刻录监控审计与管理系统国瑞信安计算机安全保密检查国瑞信安计算机安全保密检查工具工具国瑞信安打印安全监控与审计系统国瑞信安打印安全监控与审计系统国瑞信安安全增强电子邮件系统国瑞信安安全增强电子邮件系统国瑞信安恶意程序辅助检测系统国瑞信安恶意程序辅助检测系统国瑞信安互联网敏感信息管理控制系统国瑞信安互联网敏感信息管理控制系统国瑞信安互联网舆情监测管理系

4、统国瑞信安互联网舆情监测管理系统国瑞信安国瑞信安实名实名上网行为管理系统上网行为管理系统国瑞信安网络接入控制系统国瑞信安网络接入控制系统国瑞信安防火墙国瑞信安防火墙国瑞信安入侵检测系统国瑞信安入侵检测系统、产品概述产品概述目目 录录监督检查监督检查指导管理指导管理指导网安部门运营使用单位安全服务商测评机构监督管理推推进进等等保保检检查查工工作作等级保护检查等级保护检查工具箱工具箱目目 录录标配工具 Windows主机配置检查工具 Linux主机配置检查工具 病毒检查工具 木马检查工具 网站恶意代码检查工具 网站安全检查工具 网络及安全设备配置检查工具 弱口令检查工具 数据库安全检查工具 系统漏

5、洞检查工具选配工具 协同工作处理机 网络设备信息侦测工具 无线WIFI检查工具 网站监测预警工具其他工具设备 数据相机 手持扫描仪 录音笔 便携式打印机 执法记录仪检查系统信息、硬件信息、启动项、系统服务、账户信息等基本信息安全策略：检查密码安全策略设置、账户锁定策略设置等；审计策略：对策略更改、登录事件、特权使用、系统事件、账户登录事件、账户管理等显示审计信息；系统安全补丁：支持显示已安装的更新程序、其中包含了补丁名称、补丁发布日期、补丁安装日期、严重级别、补丁描述；软件安装：显示已安装的软件，软件总数，并针对软件进行了分类，同时支持智能识别系统安装的反病毒软件、病毒库升级日期；进程扫描：支

6、持显示了系统当前活的的进程、PID；活动端口：支持显示当前开放的TCP/UDP端口、连接状态、进程对应路径；用户权限：支持显示用户、访问权限与操作系统安全相关的状态；安全选项：支持显示与操作系统安全相关的安全策略状态；组策略：支持显示为管理员设置各种软件、计算机系统设置相关的策略；运行环境支持Windows2000、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 2000 Server、Windows 2019 Server、Windows 2019 Server等操作系统(包括其各系列的32位、64位系统)；如上截图是WIN终端检查工

7、具与等保标准的对应 检查工具首先获取配置数据 检查工具根据获取的配置数据，结合等保保护标准和知识库，对应每个条目给出符合、不符合的判定结果 检查结果导入工具箱管理平台进一步分析处理 其中“工具检查记录”栏目为给出的参考正确值系统信息、账户信息等系统基本信息账户口令策略：支持检查系统配置是否配置了口令复杂度、定期更换、登录失败、锁定时间、超时时间等状态；活动端口、服务：支持显示当前开放的TCP/UDP端口、连接状态、进程对应路径、以及端口对应服务；用户权限：支持显示用户、访问权限与操作系统安全相关的状态；安全审计：支持检查系统是否开启了审计策略、同时是否配备了SYSLOG服务器；SNMP服务：支

8、持检查是否开启了SNMP服务，并检查SNMP是否采用加密的协议；SSH协议：支持检查当前SSH版本；运行环境包括但不限于以下主流Linux操作系统：Red Hat Enterprise 32/64bit，CentOS 32/64bit，支持检查当前SSH版本；快速扫描：支持快速扫描系统关键目录、快速扫描和发现关键目录中(例如：system32)所存在的病毒程序；全盘扫描：支持系统所有的盘符下的文件进行全面深度检查，帮助发现系统中存在的病毒，不留死角；自定义扫描：支持所选择的目录进行全面的检查，帮助发现指定检查的目录中是否含有病毒程序，支持快速选择桌面、文档、系统关键目录、U口等区域；运行环境支

9、持Windows2000、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 2000 Server、Windows 2019 Server、Windows 2019 Server等操作系统(包括其各系列的32位、64位系统)；快速扫描：支持快速扫描系统关键目录、快速扫描和发现关键目录中所存在的木马、后门；全盘扫描：支持系统所有的盘符下的文件进行全面深度检查，帮助发现系统中存在的木马程序；自定义扫描：支持所选择的目录进行全面的检查，帮助发现指定检查的目录中是否含有木马、后门等程序。支持快速选择桌面、文档、系统关键目录、U口等区域；运行环境支

10、持Windows2000、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 2000 Server、Windows 2019 Server、Windows 2019 Server等操作系统(包括其各系列的32位、64位系统)；快速扫描：支持指定检查的WEB服务器目录路径，即可进行扫描状态。快速扫描是根据文件类型匹配对应的扫描策略；全盘扫描：支持指定检查的WEB服务器目录路径，全面检查不区分文件类型，扫描所有默认ASP、ASPX、JSP、PHP、CSS等类型的文件；自定义扫描：支持指定检查的WEB服务器目录路径，自由定制文件类型和检查策略等

11、；WEB服务器支持：IIS、Apache、nginx、weic、Websphere、Tomcat等；WEB安全检测：Struts2命令执行漏洞检测、HTTP头部变量检测、SQL注入漏洞检测、跨站攻击脚本攻击漏洞检测、第三方WEB应用漏洞检测等等支持JavaScript脚本引擎，可以动态分析JavaScript脚本，从中获取出内嵌的URL；支持基于Basic、NTLM、Cookie 等认证方式的Web 应用系统安全扫描；支持基于HTTP和HTTPS协议的应用系统检测；支持检测基于Web 2.0的Web应用系统；支持所有类型的静态、动态和伪静态页面检测。提供全面、详细的统计报表功能，能够提供图形界

12、面进行查询；支持从不同维度，对系统内站点做出汇总报告及趋势统计分析，方便用户及时发现最突出的安全隐患；系统信息：支持检查设备厂商名称、版本、型号；账户和口令策略：支持检查CONSOLE、TELNET等方式登录是否需要输入口令、以及账户和口令的安全策略情况；远程访问管理：支持检查是否设置了相关策略仅允许授权的IP地址采用TELNET、SSH等协议远程登录管理；SNMP协议：支持检查SNMP是否开启，SNMP是否存在弱口令，并检查SNMP团体名称是否采取了相关加密措施；日志审计策略：支持检查是否开启了系统自带的日志审计功能，以及检查是否指定了SYSLOG服务器；支持品牌，包括但不限于以下主流设备：

13、网络设备：H3C、思科、Juniper、锐捷、华为；防火墙通用设备天融信、网神、启明星辰、网御星云、山石；支持协议类型：SMB、MSSQL、FTP、MYSQL、Oracle、RDP、POP3、SSH、HTTP、Telnet、VNC、SyBase等弱口令检查；内置字典：支持内置常见弱口令字典，并支持自定义账户、口令字典；支持加密：支持设置通过SSL方式进行检查；端口自定义：支持自定义应用协议TCP端口；批量支持：支持本地、远程主机及多协议同时检查；破解速度：支持本地操作系统口令破解，实现秒级数万弱口令的破解；备注：部标里面的弱口令检查工具，是基于网络的，通过网络连接被检查主机，进行口令枚举从而达

14、到破解的目的。但现有网络的局限性，一般每秒只能穷举几十个口令，效率比较低。我们现在采用有终端检查的方法，在检查终端的同时检查弱口令，采用不同的技术，每秒可以枚举数万弱口令。后续会开发本地弱口令检查工具，类似于WINDOWS终端，接入系统后自动分析获取数据库用户口令、系统用户口令等信息支持远程方式扫描数据库的配置信息、安全策略、参数、账号口令安全、远程服务、端口和漏洞情况；支持业界主流的数据库类型，包括Oracle、MSsql、DB2、Informix、Mysql、Sybase等；支持扫描引擎应确保系统工作时对数据库及服务器性能无明显影响；支持授权扫描,使用具有DBA权限的数据库用户，执行选定的

15、安全策略实现对目标数据库的检测；支持非授权扫描,用户在没有授权的情况下（即：不需要数据库的用户名和密码），依据数据库版本号并根据选定的安全策略对目标数据库进行的检测；支持策略自定义,提供扫描策略可自定义模式，操作者可以灵活选择默认策略的同时也可以自定义添加策略；支持自动发现和识别目标主机的操作系统类型，并根据其系统类型选择对应的扫描方法；支持对扫描对象的脆弱性进行全面检查，识别内容应包括操作系统和应用系统安全补丁的缺失、弱口令、常见木马后门、不安全的服务配置等；具备Windows域环境下的深度扫描能力，即能够利用域管理员的权限，在域内进行效果相当于基于主机的漏洞扫描和检测；支持智能推荐扫描参数

16、，根据宿主机的实时性能动态提供线程数和并发IP数等参数设置建议；支持断点续扫功能，以应对突发网络状况和设备故障，并能够对已经完成的扫描结果进行实时保存支持实时显示扫描进度以及阶段性扫描结果，包括主机名、开放端口、操作系统、服务、用户、BANNER信息、漏洞信息等；支持灵活的扫描策略自定义功能，提供策略编辑向导和详细漏洞信息，支持以系统类型、漏洞类型、危险级别、CVE等不同视图显示漏洞，支持策略的导入、导出、修改以及合并协同工作处理机是检查人员进行检查任务多人合作，提升检查工作效率。可以导入等级保护检查专用工具导出的检查任务；可以进行安全检查任务的多人协同工作；可以将检查数据汇总到等级保护检查专

17、用工具中。设备发现：支持探测指定IP范围内活动的主机、网络设备和安全设备；支持快速扫描（ICMP方式）和深度扫描（采用SNMP、telnet、SSH、CDP等方式采集设备信息）；网络环境：支持IPV6类型网络环境侦测；端口探测：支持探测指定IP范围内的活动主机上的若干个端口状态，并支持自定义端口和自定义探测方式；操作系统探测：支持获取被探测目标的操作系统类型（如：Windows，Linux等），系统版本和设备类型（如主机、路由器、交换机、防火墙等），并给出设备的品牌（如：华为、联想、天融信等）；服务类型和版本探测：支持探测端口的服务的类型和版本功能；网络拓扑生成：支持根据探测到的信息，生成针对

18、指定目标主机、网络设备和安全设备的网络拓扑图功能。支持发现目标信息系统网络中活动的无线WIFI/WAPI访问节点、通过无线WIFI/WAPI上网的终端；支持显示侦测到的无线WIFI/WAPI访问节点的详细信息，包括SSID、MAC地址、频道、加密方式、信号强度；支持统计侦测到的无线WIFI/WAPI访问节点的出现频率，包括首次出现时间、最近出现时间；支持分析每个无线WIFI/WAPI访问节点下面连接的终端个数和详细信息，包括MAC地址、设备厂商、信道、出现时间等相关信息；支持通过无线WIFI/WAPI访问节点和终端的无线信号强度变化定位其物理位置；支持对发现的无线WIFI/WAPI访问节点进行

19、弱口令检测。检查目标网站的业务连续性，并监测目标网站的内容（文字、链接、图片）是否被篡改。网站监测预警工具通过互联网或局域网连接到目标网站，然后自动对目标网站进行监测。支持站点资产自动发现能力，能够快速发现IP地址段内存活的站点IP地址及对应站点的属性信息；支持检测网站首页响应速度，判断网站是否掉线；支持分析网站资源数量，如包含的图片、Flash、HTML、外站链接、错误页面等个数。采用云端动态行为检测技术与静态特征匹配技术相结合；支持页面源代码分析，可深入检查该页面所有自动加载资源，包括脚本、框架、CSS，并统一所有资源的风险进行风险值计算，支持配置检查资源URL的域名白名单、URL白名单；网站变更检测：可监测网站变更情况，通过对比页面前后两次变化，来判断是否网页出现变更敏感内容检测：采用中文分词及中文语义识别技术，对网站页面中的内容进行敏感内容检测；脆弱性检测：SQL注入检测功能，检测网站是否存在SQL注入漏洞。包括对：Get参数的注入检测、Post参数的注入检测、Cookie中变量的注入检测、HTTP头部变量的注入检测，能有效识别路径类型的参数提交方式支持邮件告警、短信告警；