2023年漏洞扫描实施流程

admin管理员组

文章数量:1536095

2023年12月18日发(作者：)

漏洞扫描实施流程

目录

1信息系统漏洞扫描工作概述 ............................................................................................................... 3

1.1信息系统漏洞扫描原因 ................................................................................................................ 3

1.2参与扫描的各方人员 .................................................................................................................... 3

1.2.1甲方 ......................................................................................................................................... 3

1.2.2乙方—安全测评公司 ............................................................................................................. 3

2信息系统扫描方案 ............................................................................................................................... 3

2.1目标 ................................................................................................................................................ 4

2.2参与人员 ........................................................................................................................................ 4

2.3范围 ................................................................................................................................................ 5

2.4地点 ................................................................................................................................................ 5

2.5时间 ................................................................................................................................................ 5

2.6沟通并确认风险 ........................................................................................................................... 6

2.7扫描内容 ....................................................................................................................................... 6

2.8扫描步骤 ....................................................................................................................................... 8

2.9扫描工具 ........................................................................................................................................ 8

2.10确认系统状态 .............................................................................................................................. 8

2.11验证漏洞扫描结果 ...................................................................................................................... 8

2.12漏洞扫描确认单 .......................................................................................................................... 9

2.13结果整理 ...................................................................................................................................... 9

2.14其他扫描工具 .............................................................................................................................. 9

3扫描风险和应对措施建议 ................................................................................................................... 9

3.1扫描前期准备 .............................................................................................................................. 10

3.2扫描过程中的风险 ...................................................................................................................... 10

3.3风险规避措施 .............................................................................................................................. 11

3.4扫描过程中的应急响应 ............................................................................................................. 11

第 2 页/ 共12页

1信息系统漏洞扫描工作概述

1.1信息系统漏洞扫描原因

根据工作要求，需要使用安全工具对服务器等设备进行安全漏洞扫描。经测评同事与安服同事双方共同讨论，决定使用绿盟或天镜漏洞扫描器对目标进行扫描实施。

1.2参与扫描的各方人员

在进行实施前进行双方沟通，确认双方实施人员，实施时间，使用扫描的设备等。

1.2.1甲方

甲方参加人员包括：

 信息技术中心相关技术人员

 网络管理员

 服务器管理员

1.2.2乙方—安全测评公司

乙方代表为安全测评公司。乙方参加人员：

 漏洞扫描工程师



项目组负责人及其他成员

2信息系统扫描方案

 项目方案流程图：

第 3 页/ 共12页

2.1目标

为了充分了解信息系统服务器的安全情况，以及服务器可能存在漏洞和安全配置隐患。

根据销售收到的客户申请，乙方工程师开展漏洞扫描工作。

2.2参与人员

乙方漏洞扫描工程师；

甲方相关网络管理员、主机管理员和信息系统管理员。

输出：

漏洞扫描实施申请单模版。

第 4 页/ 共12页

2.3范围

经过现场或电话邮件沟通，确认漏洞扫描目标为甲方确定相关的服务器。

输出：

漏洞扫描实施申请单。

2.4地点

经过现场或电话以及邮件沟通，服务公司服务器所在地址。

输出：

漏洞扫描实施申请单。

2.5时间

确认联系人、实施范围以及实施地址无误后，沟通确认实施时间，并且在实施当天再次进行确认：

2023/x/x 00：00开始；

2023/x/x 00：00开始。

输出：

漏洞扫描实施申请单。

第 5 页/ 共12页

2.6沟通并确认风险

乙方漏洞扫描工程师在进行实施前需要与甲方相关实施人员沟通，说明确认扫描可能存在的风险，并且随时监控扫描时设备运行情况。

出现应急响应状况时，可以参考：3.4扫描过程中的应急响应。

2.7扫描内容

利用绿盟漏洞扫描系统安全扫描工具，对信息系统服务器、中间件、网络设备等进行漏洞扫描，以发现系统可能存在的安全风险信息。

绿盟漏洞扫描系统包括以下内容：

➢ 服务器系统版本；

➢ 开放的端口；

➢ 服务信息；

➢ 应用服务版本；

➢ 漏洞的名称、描述、风险级；

➢ 漏洞的解决办法和操作步骤；

检测策略数量如下：

总共检测策略数量

Windows系列

Unix/Linux系列

网络设备和防火墙

网络信息收集

高危漏洞扫描

全部漏洞扫描

DNS检测

根据不同分类方法具体数量如下：

各分类检测策略数量

服务

（共35类）

AntiVirus [15]

BT [8]

CGI [276]

Kernel [31]

LDAP [4]

NNTP [6]

第 6 页/ 共12页

[2282]

[2218]

[1449]

[1717]

[1407]

[3100]

[47]

TFTP [5]

Telnet [43]

WWW [547]

各分类检测策略数量

CVS [14]

DCE/RPC [3]

DNS [39]

FTP [122]

Finger [16]

Firewall [8]

IMAP [24]

Kerberos [3]

AnalogX [7]

Apache [206]

ArGoSoft [3]

BIND [35]

CVS [15]

CheckPoint [6]

Cisco [46]

Cyrus [5]

DB2 [30]

应用

（共69类）

Exchange [6]

HP LaserJet [4]

IIS [106]

Informix [2]

Ipswitch [11]

JRun [5]

Lotus Domino [14]

MDaemon [8]

MS SQL Server [43]

McAfee [3]

Mercur [5]

MySQL [59]

AIX [3]

系统

（共14类）

BSD [3]

HP-UX [3]

IRIX [5]

Linux [36]

威胁

（共7类）

不必要的服务 [162]

其他 [343]

本地权限提升 [129]

第 7 页/ 共12页

ONC/RPC [56]

POP3 [19]

RTSP [9]

R系列服务 [9]

SMB [193]

SMTP [74]

SNMP [38]

SSH [35]

Netscape Server [12]

Nortel [6]

Novell [6]

OpenLDAP [3]

OpenSSH [20]

Oracle [95]

PHP [89]

Proftpd [17]

Qpopper [4]

RPC [21]

Radmin [3]

RealServer [6]

Resin [6]

SSH [13]

Samba [32]

Sambar [9]

Sendmail [22]

Serv-U [15]

Snmpd [18]

Squid [5]

MacOS [2]

NetWare [7]

Solaris [21]

UNIX通用 [431]

远程信息泄露 [822]

远程执行命令 [900]

X Window [4]

其他 [503]

打印服务 [9]

数据库 [239]

木马和后门 [37]

系统补丁 [564]

远程管理 [18]

Sybase [14]

Symantec [8]

Terminal Server [4]

Thttpd [5]

Tomcat [18]

Trend Micro [4]

UW-imap [4]

VNC [2]

WU-FTPD [10]

WarFTPd [5]

WebLogic [12]

WebSphere [9]

Windows SMB [70]

Windows补丁 [651]

Zope [5]

cfingerd [7]

iPlanet [6]

pcAnywhere [3]

snmpXdmid [1]

其他 [1113]

Windows [1373]

其他 [1]

系统无关 [985]

网络设备/防火墙 [102]

远程拒绝服务 [442]

远程数据修改 [171]

➢

2.8扫描步骤

1. 创建新的扫描任务，添加扫描服务器的IP地址。

2. 选择扫描模式，配置扫描策略。

3. 执行扫描工作。

4. 扫描结束后导出扫描结果并生成报告。

2.9扫描工具

此次信息系统漏洞扫描我们选用的是北京神州绿盟信息安全科技股份有限公司推出的绿盟漏洞扫描系统：RSAS NX3 Series。

工具系统版本号及升级日期：

工具版本号

已安装升级包：

名称

文件大小

469.8K

125.0M

103.3M

发布日期

2023-01-30

2023-02-16

2023-03-01

安装日期

2023-01-31

2023-02-20

2023-03-13

描述

增加系统插件

增加系统插件

增加系统插件

2.10确认系统状态

扫描结束后，乙方漏洞扫描工程师需要等待甲方实施人员确认设备是否出现异常状况，如果出现，则进入应急响应流程，参考：3.4扫描过程中的应急响应。

2.11验证漏洞扫描结果

在确认甲方设备没有异常状况后，乙方漏洞扫描工程师对漏洞进行验证，确认漏洞是否真实存在。

第 8 页/ 共12页

2.12漏洞扫描确认单

完成现场实施后，需要甲方实施人员签写漏洞扫描完成确认单后，乙方实施人员才可以离开现场。

2.13结果整理

扫描人员将扫描报告导出HTML原始文件，整理转换成word正式漏洞扫描报告，经过审核后，发送测评同事、PM邮箱等向双方项目组提交。

确认是否存在中高危漏洞，如果存在则待甲方修复完毕后再次进行：2.3范围，进行漏洞扫描复测。

如果不存在中高危漏洞，则结束项目。

输出：

绿盟漏洞扫描系统生成的原始扫描结果文件，以及信息系统漏洞扫描附件。

2.14其他扫描工具

当甲方进行漏洞扫描项目实施或完成漏洞修复后进行漏洞复查时，如果甲方认为仅依靠极光漏洞扫描器不能满足漏洞需求，则提供其他的漏洞扫描工具：

1）天镜漏洞扫描器

2）明鉴数据库漏洞扫描器

3扫描风险和应对措施建议

由于使用自动化扫描工具可能会引入不确定的风险，因此，建议甲方考虑以下方式规避评估过程中可能出现的风险。

第 9 页/ 共12页

3.1扫描前期准备

➢ 甲方提供测评信息系统的漏扫服务对象的内网地址，绿盟漏洞扫描系统从内网进行扫描。

➢ 甲方网管人员必须保证所提供的对象都能够到从内网PING通，并且扫描过程不会被网络安全设备影响。

➢ 首先要通知信息系统管理员，保证系统数据完成了备份工作。

➢ 由系统管理人员提前通知系统用户，尽量避免在扫描过程中使用系统，以免对正常的业务操作产生影响。

➢ 同时告知系统使用者，在扫描结束之后的使用中发现问题，应当及时告知系统管理人员，以便对问题进行及时处理。

3.2扫描过程中的风险

漏洞扫描只是做探测性的尝试包括开启的端口、服务等等。绿盟漏洞扫描系统工作的主要原理是通过向服务器发送特定的数据包，根据服务器的响应、返回或者屏蔽、丢弃等状态远程获取服务器相关信息，不会对服务器有任何攻击，但是在做检测的过程中会对服务器的性能有些影响，对网络带宽也有些影响，不会去修改服务器的本身的设置。

扫描过程中对服务器可能造成的影响：

风险一：

加重服务器的负载，服务器的CPU、内存等资源的使用率可能会增加。

应对措施：

若服务器的CPU、内存等资源长时间处于较高使用率上，则应立即暂停扫描，待资源恢复到正常水平后再重新启动扫描。若资源长时间无法恢复，则应重新启动服务器后再进行扫描。

风险二：

加重网络负载，消耗网络带宽资源。

应对措施：

暂停扫描，或减少一次扫描的服务器数量，分批次进行扫描。

第 10 页/ 共12页

风险三：

扫描工具的口令猜解测试如果未关闭会造成扫描过程中对系统管理员口令进行多次尝试，有可能会使系统锁定管理员帐号。

应对措施：

不启用口令猜解模块，默认的情况是不启用的，这样做是为了确保管理员帐号不被锁定。

3.3风险规避措施

可以通过遵守以下原则，尽量降低技术评估可能产生的风险。

➢ 网络扫描开始之前，实施人员要提交扫描计划、发布扫描通知。

➢ 扫描方案经甲方系统管理员审核确认后，方可实施。

➢ 在本次评估范围内的网络系统应该在评估期间保持一个稳定状态，比如不要处在系统升级或系统割接等状态。

➢ 扫描时间尽量安排在业务量不大的时段。

➢ 先扫描次要的主机设备，最后才扫描重要的主机设备。

➢ 扫描过程中，必须安排网管人员监测相关设备的情况，及时发现和处理出现的问题。

➢ 在扫描过程中尽量避免使用含有危险插件或使用口令猜测的扫描方式。

➢ 在扫描过程中如果出现被评估系统没有响应的情况，应当立即停止扫描工作，与甲方的技术人员一起分析情况，在确定原因后，并正确恢复系统，采取必要的预防措施后，才可以继续进行。

3.4扫描过程中的应急响应

如果在扫描过程中出现预想不到的事件发生，比如服务器宕机或者服务不能响应等情况，首先监控人员通知甲方相应的网络管理员和安全测评顾问。双方配合管理员，将停止的服务器或服务重新启动，然后一起确定故障原因。如果发现故障确实是由于扫描造成的，将对该主机的扫描工作进行重新安排，采取必要的措施防止此次事件再次发生。事后做好日志记录工作。

第 11 页/ 共12页

应急响应将按照下列步骤进行：

出现故障通知网络管理员重启服务器或服务确定故障原因和故障性质管理员作记录

第 12 页/ 共12页

本文标签： 扫描漏洞服务器实施系统