—— 网络资产安全治理方案【第三步】 安全 巡检 不 安 全 修补漏洞 可安全访问 告警、阻断 不 合 规 下线 安全性 合规性 安 全 合 规 整改 网络资产 系统扫描 Web 扫描 WebShell 检测 弱口令检测 合规性 恶意链接检测 敏感词监控 © Copyright 2021 WebRAY Tech （ BeiJing ） Co., Ltd. All 确认整改 不予整改 驳回整改结 果 验证 整改结果是 否达标 是否 同意不予 整改 是 是 是 否 否 否 指定整改单位 漏洞扫描 对资产漏洞的持续性监控 漏洞分析及对比 漏洞历史信息分析及 漏洞修复优先级建议 漏洞整改 漏洞整改闭环管理 © Copyright 2021 WebRAY Tech （ BeiJing

本册为《指南》上册，共收录了 58 家企业提供的 200 款产品，涉及数据备份与恢复产品、 防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）、网络和终端隔离产品、反垃圾邮件产品、 网络安全审计产品、网络脆弱性扫描产品、安全数据库系统、网站数据恢复产品、虚拟专用网 产品、防病毒网关等 12 类网络安全专用产品，其中每类产品均按企业名称首字母进行排序。 .........................................................................................425 网络脆弱性扫描产品 北京安华金和科技有限公司................................................................................... 以及与邮件服务器集成的反垃圾邮件产品等。 ７ 网络安全审计产品 采集网络、信息系统及其组件的记录与活动数据 , 并对这些数据进行存 储和分析 , 以实现事件追溯、发现安全违规或异常的产品。 ８ 网络脆弱性扫描产品 利用扫描手段检测目标网络系统中可能存在的安全弱点的软件或软硬件 组合的产品。 ９ 安全数据库系统 从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全 策略的数据库系统 , 目的是在数据库层面保障数据安全。

1.2 产品简介 随着互联网络规模不断扩大、应用更加广泛，各种网络攻击、信息安全事故发 生率也不断攀升。为了应对新型安全挑战，每个中大型企业和组织先后部署了防火 墙、UTM、IDS、IPS、漏洞扫描系统、防病毒系统、终端管理系统、WAF、DB- AUDIT 等安全设备，构建起了一道道安全防线。然而，这些安全防线都仅仅抵御 来自某个方面的安全威胁，形成了一个个“安全防御孤岛”，无法产生协同效应。更 轻松实现各资产间的关联分析。 23 智安网络等级保护安全防御体系方案 脆弱性管理 具备多厂商资产脆弱性管理，兼容性较强。支持主流漏 洞扫描工具的漏洞管理分析，可结合日志和资产进行关 联分析。 支持收集和管理来自各种 Web 漏洞扫描、主机漏洞扫描 工具、网络漏洞扫描工具的产生的扫描结果，并实时和 用户资产收到的攻击危险进行风险关联分析。 数据挖掘和数据预 测 具备多种数据挖掘和数据预测核心分析模型。对历史日 支持主动采集和被动接收等多种方式对信息系统中超过 2000+主流设备类型的日志进行采集，包括安全类、网 络类、管理类以及基础信息类日志。同时支持网络全流 量镜像采集并实现全协议全流量深度解析。支持主流安 全漏洞扫描报告、威胁情报等数百种异构数据采集与解 析。 26 智安网络等级保护安全防御体系方案 超大规模存储查询 超大规模存储查询引擎专为解决超大规模（支持千亿到 百万亿规模）数据的存储和查询需求而设计研发的，采

拓扑图案例 整体技术体系架构 产品清单 下一代防火墙 数据库审计 负载均衡 感知平台 + （检测探针） 上网行为管理 SSL VPN 信服云眼 / 信服云盾 日志审计系统 漏洞扫描系统 主机杀毒 运维堡垒主机 云平台安全建设拓扑图 法院等级保护 高校等级保护 广播电视等级保护 监狱等级保护 医院等级保护解决方案 医院整体拓扑图 内网终端接入域 核心业务域（三级系统域） 内网运维管理域 安全感知平台 运维堡垒主机 补丁分发系统 日志审计系统 防病毒服务器 漏洞扫描系统 内网前置 网闸 外网前置 机（下一代防火墙）机 业务内网 外网运维管理域 日志审计系统 运维堡垒主机 补丁分发系统 漏洞扫描系统 防病毒服务器 外网核心域 对外服务器域 下一代防火墙 （增强级） 负载均衡 门户网站 于安全服务 交换机 检测探针 交换机 下一代防火墙 检测探针 （增强级） 下一代防火墙 （增强级） 交换机 数据库审计 IaaS 边界 安全 虚拟化安全 安全加固 虚拟资源隑离 入侵防御 漏洞扫描 基线核查 安全域隔离 边界安全防护 安全域划分 访问控制 访问控制 入侵防御 负载均衡 网络威胁检测 流量清洗 安全审计 安全接入 访问控制 流量监控 云安全服务平台 通信

.......................................................................................27 4.3.6 漏洞扫描................................................................................................... 2.3.4.2 漏洞扫描 漏洞扫描设备能够通过综合运用多种手段(主机存活探测、智能端口检测等) 全面、快 速、准确的发现被扫描网络中的存活主机，准确识别其属性， 包括主机名称、设备类型、端 口情况、操作系统以及开放的服务等，为进一步脆弱性扫描做好准备。 设备提供探测未知资产功能，针对一个 IP 段进行自动漏洞扫描，自动针对在线的 IP 地 址的主机进行漏洞扫描， 使用 ARP、ICMP、TCP、UDP ARP、ICMP、TCP、UDP 等多种协议测试在线主机是否存活， 并 提供在线主机漏洞扫描功能。 漏洞扫描通过对信息网中的数据库、 WEB 以及主机进行扫描与威胁情报、APT 等进 行 联动，可用于发现 XX 网中各类非法远程控制行为，及时发现并阻断该行为。 6 跨网安全访问与交换平台安全方案 在接入网中，由跨网安全访问与交换平台实现数据汇聚节点与用户汇聚节点的安全互联， 实现 XX 用户、

方案 优化 应急 预案 全面资产梳理、隐患排查 01 互 联 网 资 产 梳 理 互联网资产梳理，扫描 重要服务，发现暴露信 息，收敛暴露面 02 敏 感 信 息 排 查 搜索外泄的敏感信息， 检查网站、论坛、网盘、 GitHub 等 03 内 部 资 产 扫 描 扫描资产属性、明确责 任人、检查漏洞信息， 及时加固整改 04 分 析 攻 击 路 径 明确纵向突破口（邮件、 实战对抗中的攻击溯源与反制 基于 MITRE ATT&CK 框架，从“网络层、应用层、主机层”对攻击行为全量溯源。 有效识别攻击，努力获取加分 探测扫描 渗透攻击 攻陷蜜罐 后门远控 跳板攻击 • 可疑访问 • 尝试登陆 • 端口扫描 • 漏洞攻击 • 暴力破解 • 登陆成功 • 命令执行 • 可疑程序 • 病毒文件 • 利用蜜罐 发起跳板 攻击 还原攻击链 演习结束后经验积累与能力建设 综 合 防 护 系 统 ( 网 防 G 0 1 ) 通过在主机上安装软探针，对重要信息系统开展精准防护 网 络 资 产 与 风 险 综 合 管 控 系 统 ( 网 探 D 0 1 ) 通过主动扫描和植入探针，全面进行网络资产和风险管理 网 络 威 胁 情 报 联 防 处 置 平 台 ( 网 盾 K 0 1 ) 通过威胁情报共享，实现全行业联防联控，及时 IP 阻断 应 用 高 级 威 胁

...................................13 目录 XI 报告编号：XXXXXXXXXXX-XXXXX-XX-XXXX-XX 【2025 版】 3.12.1 漏洞扫描................................................................................................... ....................................................................................... 35 附录 E 漏洞扫描结果记录............................................................................................... 【填写说明：验证测试包括漏洞扫描、渗透测试等。本章节仅列出验证测试的 汇总类结果，详细验证测试结果参见报告附录。如若放弃漏洞扫描或渗透测试 需提供说明材料。】 3.12.1漏洞扫描 3.12.1.1 漏洞扫描结果统计 【填写说明：描述漏洞扫描工具的名称及其系统版本和规则库版本，给出漏洞 扫描工具接入示意图和相关接入点说明。】 （1）接入点 X 漏洞扫描结果统计 【填写说明：按照下表对漏洞扫描结果进行汇总，详细漏洞扫描结果记录描述

xml 配置文件中设置密码 补充说明 使用弱口令扫描工具进行检查时应注意扫描的 线程数，避免对服务器造成不必要的资源消 数字、小写字母、大写 字母和特殊符号 4 类中 至少 3 类。 检测方法 1、判定条件 检查 tomcat/conf/tomcat-user 配置文件中的帐号口令是否符合配置口令复杂度要求。 2、检测操作 （1）人工检查配置文件中帐号口令是否符合； （2） 使用 tomcat 弱口令扫描工具定期对 Tomcat Web 服务器进行远程扫描，检查是否存在弱 口令帐号。 耗；选择在服务器负荷较低的时间段进行扫描 检查。 5 在设备权限配置能力 内，根据用户的业务需 要，配置其所需的最小 权限 操作指南 1、参考配置操作 编辑

以及与邮件服务器集成的反垃圾邮件产品等。 ７ 网络安全审计产品 采集网络、信息系统及其组件的记录与活动数据 , 并对这些数据进行存 储和分析 , 以实现事件追溯、发现安全违规或异常的产品。 ８ 网络脆弱性扫描产品 利用扫描手段检测目标网络系统中可能存在的安全弱点的软件或软硬件 组合的产品。 ９ 安全数据库系统 从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全 策略的数据库系统 , 目的是在数据库层面保障数据安全。 mp3、wma、wav、ogg 等文件，且文档类型和分类库可自定义。 16 网络安全专用产品指南 第二版（下册） 功能类别 功能描述 Web 安全 具备对 Web 恶意扫描行为的防护能力，至少包含对弱口令、版本探测、漏洞扫描三种行 为的防护能 可发现 Webshell 恶意上传行为并进行拦截，具备 50 种以上的行为特征库 可对 SQL 注入攻击行为 /XSS 跨站脚本攻击行为进行防护 知、云端检测等安全组件的检 测结果，感知整网安全风险点，实现动态安全监控和处置，为客户提供覆盖端点、网络和服务 的全域协同防护安全解决方案。 天融信应用安全网关提供全面的资产管理功能。一键资产扫描发现、资产导入导出、资产 手工录入、资产联动上报，资产分组。可根据指定的网络范围，通过被动资产发现和主动资产 发现等多种方式，识别出资产及其不同类型。 天融信应用安全网关内置多种高级威胁攻击防御解决手段，包括基于

造合法 数据包接管通信会话；  UDP 反射攻击：攻击者利用开放服务（如 DNS、NTP）伪造 源 IP 发送请求，诱导服务器向目标返回大量响应，形成流量 放大；  端口扫描与服务枚举：攻击者通过扫描工具探测开放端口，发 现可攻击的服务（如未授权的 SSH、HTTP 接口）。 通过识别这些共性风险，可在 IPv6 环境中复用 IPv4 的成熟防护 经验，构建“分层防御、协同共治”的安全体系。 ）为协议 带来灵活性的同时，也被攻击者利用构造异常报头，消耗设备资源或 绕过防护。无状态地址自动配置（SLAAC）虽便捷，但基于 EUI-64 格式的地址可被攻击者通过 MAC 地址推导，用于扫描存活设备。详 细内容参见本白皮书第三章。 (四) IPv6+引入的安全风险 IPv6+在IPv6的基础上引入了SRv6（Segment Routing IPv6）、 网络切片、IFIT（随流检测）、BIERv6（基于 服务器参与，极大提升了设备入网便捷性， 但也带来安全风险。攻击者可通过获取设备 MAC 地址，依据 EUI-64 规则推导出对应的 IPv6 地址，进而对这些地址进行扫描，发现网络 中的存活设备。在物联网场景中，大量设备采用 SLAAC 方式配置地 址，攻击者利用自动化扫描工具，可快速定位并攻击这些设备。​ 为强化 SLAAC 安全性，可启用隐私扩展地址（RFC8981）。 该机制下，设备会定期生成随机的接口标识符，替换基于