专利名称:一种计算机网络风险评估的装置及其方法
技术领域:
本发明涉及计算机网络,特别是涉及一种通过网关和漏洞扫描器来实现对计算机网络进行风险评估的设备和方法。
背景技术:
在现有的技术中,安全网关和漏洞扫描器是两个独立的设备,不能协同工作。现有的技术是通过在网关处集成防火墙,防病毒,IPS/IDS等功能来进行安全防护。漏洞扫描器需要单独部署,并由人工配置,才能工作。现有的技术只注重在网关处的防护,这样只能抵挡外部的攻击。然而,根据警方的记录,70%的攻击是来自网络内部的。漏洞扫描器可以对内网中存在的风险进行稽核,从而有效地降低内部攻击的可能性。但是在现有的技术中这两种设备不能协同工作。对于每一个内网都要单独地部署漏洞扫描设备,还要手工的进行配置。这样的部署方式不但操作复杂而且造价很高。
发明内容
本发明的目的在于提供一种计算机网络风险评估的装置及方法,以通过网关和漏洞扫描器的协同工作来实现对内网中存在的风险进行有效地防护。
为解决本发明的上述技术问题,本发明提供了一种计算机网络风险评估的装置,其中,包括网关,可获得网络拓扑结构信息;扫描代理服务器,与所述网关相连,可用于从所述网关处获得网络拓扑结构信息的;及漏洞扫描器,用于从所述扫描代理服务器处获得所述网络拓扑结构信息,根据所述网络拓扑结构信息及其自身的配置建立扫描策略,并根据所述扫描策略进行扫描。
所述的装置,其中,所述漏洞扫描器通过虚拟专用网隧道、SSH安全协议、SSL协议和/或预先设定的一安全协议从所述扫描代理服务器获得所述网络拓扑结构的信息。
所述的装置,其中,所述漏洞扫描器上进一步包括一客户端模块,用于实现其与所述扫描代理服务器和所述网关的通信。
所述的装置,其中,所述漏洞扫描器上进一步包括一扫描结果分析模块,用于分析扫描网络主机的结果并生成漏洞报告和/或补救报告。
所述的装置,其中,进一步包括多个子网网关和所述子网关相连的用于获得所述多个子网网络拓扑结构信息的多个子网扫描代理服务器。
所述的装置,其中,所述漏洞扫描器为设置有漏洞扫描软件的个人电脑或包含漏洞扫描模块的运算设备。
所述的装置,其中,所述网关、扫描代理服务器及漏洞扫描器为集成在一起的一个设备。
为实现本发明的目的,本发明进一步提供了一种计算机网络风险评估的方法,其中,包括步骤1,扫描代理服务器从网关处获得网络拓扑结构信息;步骤2,漏洞扫描器从扫描代理服务器处获取所述网络拓扑结构;步骤3,漏洞扫描器根据其配置及获得的所述网络拓扑结构信息建立扫描策略,并根据所述扫描策略对网络进行漏洞扫描;步骤4,漏洞扫描器分析扫描结果,生成网络主机漏洞报告和/或救报告。
所述的方法,其中,进一步包括通过扫描代理服务器或直接通过网关发送和/或接收扫描数据包步骤。
所述的方法,其中,当所述被扫描的网络是一个树形多层结构,进一步包括判断是否已获得整个网络的网络拓扑结构信息的步骤;如否,则重复所述步骤1,直至获取整个网络的全部拓扑信息的步骤。
所述的方法,其中,所述漏洞扫描器通过虚拟专用网隧道、SSH安全协议、SSL协议和/或预先设定的一安全协议从所述扫描代理服务器获得所述网络拓扑结构的信息。
对于ISP来说,由于一台漏洞扫描设备可以与多个网关和扫描代理服务器建立连接,同时对多个内网进行风险评估,这样就大大简化了部署和配置的复杂度,降低了风险评估的造价。对于单个内网来说,由于有了漏洞扫描设备定期的自动的进行风险评估,网管员可以及时发现内网中存在的安全漏洞,及时进行补救,这样就大大提高了对来自内网攻击的防护能力。
图1为本发明的网络风险评估装置的方框示意图;图2为本发明一实施例的网络风险评估装置的示意图;图3为本发明一实施例的风险评估方法中,漏洞扫描器发包和收包时不通过扫描代理服务器进行而直接通过网关进行时的工作流程图;图4为本发明另一实施例的网络风险评估装置的网络结构示意图。
具体实施例方式
图1为本发明的网络风险评估装置的方框图。如图1所示,本发明的网络风险评估装置包括漏洞扫描器1、网关设备2(比如防火墙或路由器)、位于网关之后用于生成网络拓扑结构并处理扫描数据包的扫描代理服务器3。利用本发明的风险评估装置对网络中的多个主机4-7如图1所示的PC1-PC4进行风险评估。其中,网关是一种类似于防火墙和路由器的包过滤设备。它含有网络拓扑结构的信息。位于网关后的扫描代理服务器3能够通过自动从网关设备2处获取信息或手动配置的方法,生成网络拓扑结构图。而漏洞扫描器1则可以通过VPN隧道或特定协议从扫描代理服务器处取得网络拓扑。漏洞扫描器1能够自动稽核网络主机存在的漏洞(包括操作系统和应用软件的漏洞),防毒软件的部署情况,服务器的配置是否安全,补丁管理等。漏洞扫描器1还可以通过分析网络中主机的网络行为,自动检测到未知的恶意软件。可以充当网关的设备有防火墙,路由器,PC(个人电脑),包括无线网关设备。可以充当漏洞扫描器的设备包括安装了漏洞扫描软件的PC,或者其它包含漏洞扫描模块的运算设备。其中的扫描代理服务器3具体的可以是PC机或是网关中的一个功能模块。漏洞扫描器、网关、扫描代理服务器三者也可集成在一起形成一设备,如在网关中集成有漏洞扫描器模块及扫描代理服务器模块。漏洞扫描器可进一步包括一客户端模块,用于实现其与所述扫描代理服务器和所述网关的通信。
利用本发明的风险评估装置通过网关和漏洞扫描器的协同工作扫描网络主机的方法包括以下几个步骤1)网关获得网络的拓扑结构信息;2)漏洞扫描器通过VPN隧道或特定协议穿过网关连接到扫描代理服务器;3)漏洞扫描器从扫描代理服务器获取网络的拓扑结构信息;如果网络是一个树形多层结构,扫描代理服务器可以通过和下级子网网关后的扫描代理服务器通信,获得下级子网的拓扑,以此类推,就可以获得整个网络的拓扑,重复步骤2,直至获取整个网络的全部拓扑结构信息;4)漏洞扫描器根据整个网络的拓扑结构信息和漏洞扫描器的配置建立相应的扫描策略;5)漏洞扫描器通过扫描代理服务器发送和/或接收扫描数据包来进行漏洞扫描;6)漏洞扫描器分析扫描结果,生成网络主机漏洞报告和补救报告。
图2为本发明一实施例的网络风险评估装置的示意图。如图2,用箭头表示数据流,用箭头方向表示数据流动的方向。其中,ISP(internet服务提供商)8可以控制和配置漏洞扫描器9,并从漏洞扫描器9取得扫描结果和补救报告。漏洞扫描器9通过Internet(互联网)10连接到防火墙网关12。漏洞扫描器9可以和位于网关12之后的扫描代理服务器11相互通信。扫描代理服务器11进一步地可以和子网网关及其后的扫描代理服务器通信。漏洞扫描器9可以通过扫描代理服务器11对内网或直接对内网的目标设备13进行漏洞扫描。
在本发明的一实施例中,某公司的防火墙配置参见表1-表3,其中,网络接口的配置如表1所示,DHCP(动态主机配置协议)服务配置如表2所示。其中,表2中的Mobile_VLAN接口提供DHCP服务。Mobile_VLAN中的移动设备如表3所示。
表1
表2
表3其中,扫描代理服务器通过与防火墙的通信了解到如下信息1)公司的内网包含6个VLAN,分别为192.168.20.1/24,192.168.21.1/24,192.168.22.1/24,192.168.23.1/24,192.168.24.1/24,192.168.25.1/24。
2)Mobile_VLAN接口提供DHCP服务,这个VLAN中的移动设备IP地址可以从DHCP服务器处获取到。所以,对于这个VLAN,不进行全网段的扫描,只扫描确实存在的设备。例如,扫描代理服务器从防火墙的DHCP服务器处了解到,现在Mobile_VLAN中有一台移动设备,其IP为,192.168.25.33这样,扫描代理服务器获取到的网络拓扑信息如下192.168.20.1/24,192.168.21.1/24,192.168.22.1/24,192.168.23.1/24,192.168.24.1/24,192.168.25.33/32
这时,扫描代理服务器的配置如表4所示。根据这个配置表,扫描代理服务器会把整个内网的主机列表都提供给漏洞扫描器。网络管理员也可以根据自身情况,手工配置这些信息,增加或减少一些拓扑信息。除了网络拓扑信息外,网络管理员还可以对漏洞扫描的其它扫描策略进行配置。例如,他可以指定扫描哪些端口,是否要进行本地扫描,本地PC登录信息,进行哪些漏洞的扫描等等。如果他不指定这些扫描策略,漏洞扫描器将执行如表4中所示的默认扫描策略,对整个内网的主机进行扫描。
表4接下来,漏洞扫描器与扫描代理服务器通信。漏洞扫描器从扫描代理服务器处了解到,需要进行漏洞扫描的网络有192.168.20.1/24,192.168.21.1/24,192.168.22.1/24,192.168.23.1/24,192.168.24.1/24,192.168.25.33/32需要进行的扫描策略为默认。
根据这些信息,漏洞扫描器就可以自动建立起扫描策略,并进行扫描。
本实施例的扫描策略具体如表5所示。
表5随后,漏洞扫描器运行扫描。漏洞扫描器的数据包通过代理服务器发送和接收。扫描完毕,漏洞扫描器生成的扫描报告和相应的补救内容如表6-表9所示。其中,表6为扫描报告的报告摘要。分别列出了报告名称、日期、扫描的主机数量、扫描地主机列表、未扫描到的主机列表、扫描开始时间及扫描结束时间等项。其中,表7为扫描报告的漏洞列表摘要,列出了漏洞的总数量、漏洞的危险程度及其相对应的数量。在本实施例中,漏洞的危险程度包括信息类、低危险漏洞、中等程度危险漏洞、高危险漏洞及极度危险漏洞项。表8列出了本实施例被扫描的内网中风险最高的10台主机及其具有的不同种类的漏洞的数量。表9给出了本实施例一主机漏洞分析报告的部分内容。具体的,在部分内容中IP为192.168.20.26的主机包括名称为“Check.SSHServer.and.get.information”(检查SSH服务器并获取信息)的漏洞和名称为“Microsoft RPC/DCOM的累积性更新”的漏洞,并对漏洞相应的端口、CVE-ID(CVE漏洞编号)、MS安全公告编号、漏洞的描述、影响及相应的解决方案进行了说明。根据需要,主机漏洞分析报告中还可以包括其它的内容。
表6
表7
表8
表9根据以上的报告,该公司网络的风险评估结果说明如下在这个实例中,只取了漏洞扫描报告的部分内容。从这些内容可以看出该公司内网主机192.168.20.26存在一个极度严重危险的漏洞。内网的攻击者可以利用这个漏洞,完全控制这台主机,从而获取到这台主机上的机密信息或是破坏这台主机的系统和重要文件。
这个漏洞报告交给ISP或者网络管理员之后,他们可以根据报告中提供的解决方案,为这台主机打上微软的安全漏洞补丁,修复这个漏洞。这样,这台主机就不存在这个漏洞,也就不会受到这样的攻击了。
在实际情况中,当内网中的子网不存在NAT时,本发明一实施例的风险评估设备中的漏洞扫描器发包和收包时不需要通过扫描代理服务器进行而直接通过网关进行,具体的工作过程如图3所示,包括步骤301,漏洞扫描器通过VPN隧道(虚拟专用网隧道)或一特定协议(SSH安全协议、SSL安全协议或自己定义的协议)穿过网关连接到扫描代理服务器;步骤302,漏洞扫描器从扫描代理服务器获取网络拓扑结构;步骤303,判断是否还有子网;如是,转入步骤301继续获得子网的网络拓扑结构直至获得整个网络的网络拓扑结构信息;如否,继续步骤304;步骤304,漏洞扫描器根据网络拓扑结构和漏洞扫描器配置建立扫描策略;步骤305,漏洞扫描器通过网关发送和接收扫描数据包,对内网进行漏洞扫描;步骤306,漏洞扫描器分析扫描结果,生成网络主机漏洞报告和补救报告;步骤307,漏洞扫描器将扫描结果发送给扫描代理服务器。
对于ISP来说,由于一台漏洞扫描设备可以与多个网关和扫描代理服务器建立连接,同时对多个内网进行风险评估,这样就大大简化了部署和配置的复杂度,降低了风险评估的造价。对于单个内网来说,由于有了漏洞扫描设备定期的自动的进行风险评估,网管员可以及时发现内网中存在的安全漏洞,及时进行补救,这样就大大提高了对来自内网攻击的防护能力。
本发明的另一实施例实现了利用一台漏洞扫描器同时扫描2个内网来进行风险评估,其网络结构示意图如图4所示。漏洞扫描器同时对多个内网进行风险评估的过程和对单一内网进行评估的过程非常相像。不同之处在于,漏洞扫描器分别从各个网关处取得内网拓扑结构,并根据这些拓扑信息建立扫描策略。现以同时扫描两个网关的情形为例进行说明。如图4,漏洞扫描器403通过网关404、设置在网关404后的扫描代理服务器405对子网401的主机408至411(PC1至PC4)进行扫描和通过网关406、设置在网关406后的扫描代理服务器407对子网402的主机412至415(PC1至PC4)进行扫描。其中,设定子网401为A公司的子网,子网402为B公司的子网。其中A公司的防火墙配置参见下表10,B公司的防火墙配置参见下表11。
表10
表11其中,扫描代理服务器通过与A公司的防火墙通信了解到如下信息1)A公司的内网包含5个VLAN,分别为192.168.20.1/24,192.168.21.1/24,192.168.22.1/24,192.168.23.1/24,192.168.24.1/24。
这样,扫描代理服务器获取到的A公司的网络拓扑信息如下192.168.20.1/24,192.168.21.1/24,192.168.22.1/24,192.168.23.1/24,
192.168.24.1/24,扫描代理服务器通过与B公司的防火墙通信了解到如下信息1)A公司的内网包含5个VLAN,分别为172.100.20.1/24,172.100.21.1/24,172.100.22.1/24,172.100.23.1/24,172.100.24.1/24。
这样,扫描代理服务器获取到的B公司的网络拓扑信息如下172.100.20.1/24,172.100.21.1/24,172.100.22.1/24,172.100.23.1/24,172.100.24.1/24,这时,A,B两公司扫描代理服务器配置如表12A和表12B所示,漏洞扫描器将根据这些信息对A,B两公司的内网进行风险评估。网络管理员也可以根据自身情况,手工配置这些信息,增加或减少一些拓扑信息。
表12A
表12B接下来,漏洞扫描器与扫描代理服务器通信。漏洞扫描器从扫描代理服务器处了解到,需要进行漏洞扫描的网络有A公司192.168.20.1/24,192.168.21.1/24,192.168.22.1/24,192.168.23.1/24,192.168.24.1/24,B公司172.100.20.1/24,172.100.21.1/24,172.100.22.1/24,172.100.23.1/24,172.100.24.1/24,漏洞扫描器按照表13所示的扫描策略对A,B两公司内网的全部主机进行扫描。
表13随后,漏洞扫描器运行扫描。漏洞扫描器的数据包通过代理服务器发送和接收。扫描完毕,漏洞扫描器生成扫描报告如下表14-18所示。其中,表14为A公司、B公司的扫描报告的报告摘要;表15扫描报告的漏洞列表摘要,内容可同表7所示;表16、17分别列出了本实施例被扫描的A公司内网和B公司内网中风险最高的10台主机及其具有的不同种类的漏洞的数量。表18给出了本实施例中A公司一主机漏洞分析报告的部分内容。具体的,在部分内容中IP为192.168.20.26的主机包括名称为“Check.SSHServer.and.get.information”(检查SSH服务器并获取信息)的漏洞和名称为“Microsoft RPC/DCOM的累积性更新”的漏洞,并对漏洞相应的端口、CVE-ID(CVE漏洞编号)、MS安全公告编号、漏洞的描述、影响及相应的解决方案进行了说明。根据需要,主机漏洞分析报告中还可以包括其它的内容。
表14
表15
表16
表17
表18A公司网络的风险评估结果说明在在这个实例中,只取了漏洞扫描报告的部分内容。从这些内容可以看出A公司内网主机192.168.20.26存在一个极度严重危险的漏洞。内网的攻击者可以利用这个漏洞,完全控制这台主机,从而获取到这台主机上的机密信息或是破坏这台主机的系统和重要文件。这个漏洞报告交给ISP或者网络管理员之后,他们可以根据报告中提供的解决方案,为这台主机打上微软的安全漏洞补丁,修复这个漏洞。这样,这台主机就不存在这个漏洞,也就不会受到这样的攻击。相应的也可给出B公司的主机漏洞报告及相应的补救方案,在此不再赘述。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种计算机网络风险评估的装置,其特征在于,包括网关,可获得网络拓扑结构信息;扫描代理服务器,与所述网关相连,可用于从所述网关处获得网络拓扑结构信息的;及漏洞扫描器,可用于从所述扫描代理服务器处获得所述网络拓扑结构信息,并根据所述网络拓扑结构信息及其自身的配置建立扫描策略,并根据所述扫描策略进行扫描。
2.根据权利要求1所述的装置,其特征在于,所述漏洞扫描器通过虚拟专用网隧道、SSH安全协议、SSL协议和/或预先设定的一安全协议从所述扫描代理服务器获得所述网络拓扑结构的信息。
3.根据权利要求2所述的装置,其特征在于,所述漏洞扫描器上进一步包括一客户端模块,用于实现其与所述扫描代理服务器和所述网关的通信。
4.根据权利要求1、2或3所述的装置,其特征在于,所述漏洞扫描器上进一步包括一扫描结果分析模块,用于分析扫描网络主机的结果并生成漏洞报告和/或补救报告。
5.根据权利要求4所述的装置,其特征在于,进一步包括多个子网网关和所述子网关相连的用于获得所述多个子网网络拓扑结构信息的多个子网扫描代理服务器。
6.根据权利要求1-3或5中任一权利要求所述的装置,其特征在于,所述漏洞扫描器为设置有漏洞扫描软件的个人电脑或包含漏洞扫描模块的运算设备。
7.根据权利要求1-3或5中任一权利要求所述的装置,其特征在于,所述网关、扫描代理服务器及漏洞扫描器为集成在一起的一个设备。
8.一种利用权利要求1所述装置的计算机网络风险评估的方法,其特征在于,包括步骤1,扫描代理服务器从网关处获得网络拓扑结构信息;步骤2,漏洞扫描器从扫描代理服务器处获取所述网络拓扑结构;步骤3,漏洞扫描器根据其配置及获得的所述网络拓扑结构信息建立扫描策略,并根据所述扫描策略进行扫描;步骤4,漏洞扫描器分析扫描结果,生成网络主机漏洞报告和/或补救报告。
9.根据权利要求8所述的方法,其特征在于,进一步包括通过扫描代理服务器或直接通过网关发送和/或接收扫描数据包步骤。
10.根据权利要求9所述的方法,其特征在于,当所述被扫描的网络是一个树形多层结构,进一步包括判断是否已获得整个网络的网络拓扑结构信息的步骤;如否,则重复所述步骤1,直至获取整个网络的全部拓扑信息的步骤。
11.根据权利要求8、9或10所述的方法,其特征在于,所述漏洞扫描器通过虚拟专用网隧道、SSH安全协议、SSL协议和/或预先设定的一安全协议从所述扫描代理服务器获得所述网络拓扑结构的信息。
全文摘要
本发明公开了一种计算机网络风险评估的装置及其方法,本发明的装置包括网关,可获得网络拓扑结构信息;扫描代理服务器,可用于从网关处获得网络拓扑结构信息的;漏洞扫描器,可用于从扫描代理服务器处获得所述网络拓扑结构信息,并根据网络拓扑结构信息及其自身的配置建立扫描策略。本发明的方法包括步骤1,扫描代理服务器从网关处获得网络拓扑结构信息;步骤2,漏洞扫描器从扫描代理服务器处获取网络拓扑结构;步骤3,漏洞扫描器根据其配置及获得的所述网络拓扑结构信息建立扫描策略,并根据扫描策略进行扫描;步骤4,漏洞扫描器分析扫描结果,生成网络主机漏洞报告和/或补救报告。利用本发明可实现对内网中存在的风险进行有效地防护。
文档编号H04L12/28GK101064736SQ20061001185
公开日2007年10月31日 申请日期2006年4月30日 优先权日2006年4月30日
发明者王磊 申请人:飞塔信息科技(北京)有限公司