榕基漏洞掃描電子政務系統解決方案(轉)

榕基漏洞掃描電子政務系統解決方案(轉)[@more@]

    電子政務系統是國家行政機關進行日常事務處理的資訊體系，作為政府機構的主要業務系統，該系統中的資訊較為敏感，需要很高的保密性，所以構建一個安全的網路環境是電子政務系統正常運轉的先決條件。目前要構建安全的網路環境主要依靠部署網路安全裝置，其中防火牆、入侵檢測系統是最為常用的裝置，但是它們同樣存在著種種侷限性和脆弱性。防火牆的侷限性主要表現為：不能解決來自內部網路的攻擊；不能防止系統策略配置不當或錯誤的系統配置引起的安全威脅；不能防止利用標準網路協議中的缺陷進行的攻擊；不能防止利用伺服器系統漏洞所進行的攻擊；不能防止防火牆本身的安全漏洞的威脅等。而被譽為防火牆之後第二道安全屏障的入侵檢測系統同樣也存在諸多問題：檢測速度不適應網路通訊的要求；現有IDS裝置防禦手段存在漏洞；漏報率和誤報率居高不下等。

　　電子政務系統安全體系構建中只部署防火牆和入侵檢測系統顯然不足以保證系統的資訊保安，應把注意力更多地集中在發現網路中存在的安全隱患方面，避免給攻擊者留下可趁之機。目前更多的電子政務安全系統中已經開始關注網路漏洞掃描產品，由於電子政務系統的獨特性，其選擇意向基本確定為為國內安全廠商研發的產品。

　　榕基網安作為一家專注於漏洞掃描系統開發的廠商，其研發的RJ-iTop網路隱患掃描系統（以下簡稱RJ-iTop）是國家863計劃的成果轉化產品，在國內漏洞掃描產品中的市場份額高居榜首，是解決網路安全問題和構建網路安全防護體系的有力工具。RJ-iTop透過模擬駭客的進攻方法，對被檢系統進行攻擊性的安全漏洞和隱患掃描，並提交風險評估報告，提供相應的整改措施。先於駭客發現並彌補漏洞，防患於未然，這種預防性的安全檢查最大限度地揭示了現存網路系統中存在的安全隱患，配合行之有效的漏洞修補措施，可以將網路系統的執行風險降至最低。

　　由於多數電子政務系統的系統平臺都採用IBM的Lotus Domino，RJ-iTop對於該平臺所存在的漏洞有多項檢測指令碼，如對Lotus Domino認證繞過漏洞的檢測，對Lotus Domino SMTP 溢位漏洞的檢測，對Domino 目錄遍歷漏洞的檢測，Domino HTTP長CGI檔名導致緩衝區溢位的檢測。透過執行上述測試，基本可以探知存在的隱患，從而進一步加固系統。如果使用者部署的電子政務系統不採用lotus資料庫，RJ-iTop也可以掃描多種主流的資料庫，如Oracle、MS SQL Server，Sybase，MySQL等，並有專門的資料庫測試類別，方便進行針對性較強的資料庫安全檢測。

　　目前投入使用的電子政務系統大都是基於B/S 模式搭建，使用者直接透過瀏覽器使用系統，同時也方便了各個分支機構的使用者和出差的使用者透過連入Internet實現遠端辦公。RJ-iTop提供了CGI攻擊測試、WEB伺服器測試等專門針對B/S系統的測試類，內含數百條高效的測試指令碼，只要選擇相應的預定義策略就可以輕鬆檢測。此外RJ-iTop還採用了多項業界領先的掃描技術，像“智慧埠識別”技術能夠檢測出不是執行在預設的埠的服務，若把電子政務系統的web服務埠設在88埠，RJ-iTop一樣可以識別出來；“多重服務檢測”技術能夠檢測出同時執行的兩個ftp服務；“指令碼依賴檢測”技術使各掃描模組自動根據其邏輯依賴關係執行，從而提高了掃描效率和準確性。

　　剛剛升級的RJ-iTop 還有多項最新的技術確保掃描工作的準確性和效率。“系統最佳化掃描”技術使各個掃描模組會根據前面掃描到的埠進行判斷是否進行相應的掃描；“系統安全掃描”技術可以使電子政務系統不至於在檢測指令碼的掃描下崩潰，影響正常使用；而“系統滲透掃描”技術能根據管理員提供的使用者名稱和密碼對系統進行深入的檢測，發現系統內部存在的安全隱患。

　　使用RJ-iTop進行掃描檢測能減少電子政務系統中不可預見的風險，最大限度地暴露網路中存在的安全隱患，RJ-iTop完善的風險評估報告能夠幫助管理員制訂出科學的整改措施，使得電子政務系統能更安全的運轉。

　　目前，榕基RJ-iTop已經在軍隊、政府、電信、銀行、教育、電力等行業逐步獲得了廣泛的應用，隨著產品應用的深化，榕基正在根據使用者的需求不斷改進相關技術，力圖使網路隱患得以更快速、更全面的清查，並根據不同行業的特定需求定製出一系列專門的解決方案，在榕基每年舉辦的技術研討會上，使用者們將有機會了解這些方案的精髓，相信在榕基研發部門的努力下，來自政府、軍隊等領域的更多使用者網路將得到更為可靠的安全保障。