业务系统风险监查方案
客户介绍
随着国家大力实施信息化基础设施建设,政府机构、金融、能源、高校及科研机构等建成了信息化系统,在政务公开、信息发布、远程教育、远程医疗、办公自动化方面发挥着巨大的作用。基于这些系统业务的重要性,为保障其稳定可靠运行,各执法、监管单位在日常工作中需要准确知悉其监管范围内各系统的漏洞风险状况,防止漏洞被利用并产生攻击。在网络安全监督管理、网络安全信息通报、打击网络违法犯罪等工作和重大事件保障工作中,需要同时具备远程评估和本机检测的能力,并具有安全渗透和应急处置能力,从安全事件的源头保障重要系统的安全性。
需求分析
国家监管部门在对可能存在信息安全风险、影响较大的信息系统实行网络安全审查。在进行网络审查工作的过程中,要求参与审查的漏洞扫描设备能够做到:
◆ 在等保测评中发挥资产检测、漏洞扫描、合规评估的作用;
◆ 准确定位漏洞并提供取证,对漏洞历史情况能够进行跟踪并提出建议;
◆ 提供可远程评估的漏扫设备以及现场安全检测的便携式设备;
◆ 要求设备厂商具备渗透服务的能力,在重大事件安保活动中配合进行应急处置;
◆ 具备系统、Web、数据库、弱口令、配置核查于一体的检测设备,无需配备其他设备,方便垂直监管和重大安保时进行现场检查。
解决方案
该客户部署了盛邦安全高端一体化漏洞评估系统,可添加无限制个主机或网站,不限制主机或网站的范围,用于日常对监管范围内的系统或网站进行安全检查,以及在上级单位下发上万级的网站或业务系统扫描任务时执行高效检测,和周期性漏洞检查任务。除此之外,该客户配备了5台WebRAY便携式漏洞评估系统,用于重大安保活动中漏洞检查或应急处置。便携式漏洞评估系统采用专业级硬件架构、专用保密机箱、即插即用、一键扫描、一键导出统计及详细分析漏洞结果,漏洞结果包含测试用例、漏洞参数及解决建议,设备自带漏洞验证工具,帮助被检测单位进行漏洞验证及整改。
案例价值
WebRAY一体化漏洞评估系统和便携式漏洞评估系统满足监管单位远程评估和现场检查的需求,在日常网络安全审查和重大安保活动中,具有以下优势:
◆ 多形态满足多场景需求
WebRAY一体化漏洞评估系统机架式部署在某监管单位机房,进行远程漏洞评估,可执行现场检查任务、协助应急处置。
◆ 一体化功能,无需特殊配备
WebRAY漏洞评估系统集系统扫描、WEB扫描、数据库扫描、配置核查、弱口令检测于一体,现场检查工作人员只需携带一台便携式PAD即可进行全方位的漏洞检查。
◆ 渗透服务+重大安保现场协助
重大安保事件期间,WebRAY安服人员结合漏洞评估系统及现场渗透服务,对重要网站及业务系统进行全方位漏洞监控和安全保障。
几年来,WebRAY一体化漏洞评估系统在使用过程中稳定运行,在多次漏洞审查中累计帮助检测网站及系统超过10万个。便携式漏洞评估系统尤其受到监管部门客户的认可,不仅功能齐全,而且便携、易用、即插即扫,大大提高了该监管部门的工作效率。
相关产品