System Scanner简介
System Scanner系统扫描器是一个基于主机的安全评估系统。它和网络扫描器有所区别,它提供基于主机的安全评估,分析安全弱点。网络扫描器是在网络层扫描各种设备来发现安全漏洞,系统扫描器是在系统层上通过依附于网络设备上的扫描器代理侦测主机内部的漏洞。这些扫描器代理策略可以通过企业的某个控制台进行集中管理和配置。系统扫描器在相当严格的基础上对安全风险级别进行划分。在UNIX系统上,它对大量的安全问题能自动产生修补程序脚本。一旦系统被确认处于安全的状态后,系统扫描器会用一种数字指纹锁定系统配置,以便更容易发现非法访问。
System Scanner系统扫描器结构
1、系统扫描器结构
系统扫描器采用Client/Server结构,由代理程序(客户端)和控制台(服务端)组成。系统扫描器代理安装在被检查和监控的机器上,控制台安装在控制中心,可以和代理安装在同一台机器上或其它网络能与代理机器连接的主机上。
2、被管理和管理系统
运行代理程序的系统称之为被管理系统,运行控制台的系统称之为管理系统。
一旦代理程序和控制程序安装完毕,你就可以交互式地操作系统扫描器的代理程序进行系统安全漏洞扫描,包括系统错误配置或普通配置信息。用户通过扫描结果对系统漏洞进行修补,直到扫描报告中不再出现任何警告,同时可以制定一个系统基线。以后可以计划一个规则,让系统扫描器在没有任何监管情况下自动运行,一旦发现漏洞立即报警。
系统扫描器所实行的所有规则定义在每个代理的知识库里,它允许我们自己定义一个适合相应平台的规则。它还允许我们对进行特殊定义,当网络不通时代理也可以进行工作。
System Scanner 产品特点
  宽阔的支持平台——系统扫描现在可以支持24种以上的平台,包括Unix平台的很多类型,例如Linux和Windows NT, Netware等。
  用户可自定义轻松的安全策略——用户能轻松的升级自己的“Flex Checks”或根据自己的独特环境自定义检测方法。
  网上通讯加密——系统扫描器代理和控制台之间采用SSL(Secure Socket Layer)加密方法在网上进行信息交流,不会受到窃听的威胁。
  丰富全面的安全规则——系统扫描器涵盖超过900 Unix和NT系统的安全规则
System Scanner产品扫描特征
规则类别            漏洞内容 UNIX Windws NT
系统
 文件属组及权限,系统访问、主要系统配置和日志文件 合法标题的显示,Admin和Guest用户,系统配置,***检测,管理用户
用户和组 组名和成员,用户详细情况(用户名、用户ID、密码、路径和登录shells),/etc/group和/etc/passwd格式,管理和超级用户 登录地点、时间和期限,最后一次登录回顾,本地登录能力,禁止/睡眠用户帐号
密码 易猜的密码、密码影象,用户共享密码,uid 0用户宿主路径,缺省登录环境 强制性密码更改,密码重新使用设置,最短密码期限和最长密码期限,密码要求和密码强度
文件 所有文件的不同规则,包括权限,所有者,硬/软连接,奇怪的名字或字符串,suid/sgid文件 N/A
正常/冻结文件 在冻结文件数据库中内容、所有者、文件连结的更改。 在冻结文件数据库中内容、所有者、文件连结的更改。
审记文件 系统扫描器审计文件的报告 审计策略,包括登录、退出、文件和对象、帐号管理、策略改变、启动和关机,进程跟踪
cron和at 任务所有者、配置文件、设备权限、lost+found目录内容 N/A
Coms 网络和后台进程的配置文件、NIS、所有者和TCP/IP配置文件 N/A
设备 可移动设备文件的文件权限,NFS配置和共享文件系统,nuucp登录shell N/A
日志文件 报告记录在系统日志文件中有意义的事件,检查对UUCP配置的访问和UUCP数据文件 日志文件,系统,安全和应用的日志文件大小,事件日志。
权限 N/A 检查具有特定权限的用户,用户权限,驱动盘映射,网络访问,备份与恢复权限,系统时间设置,令牌对象和永久共享对象的创建,程序的调试,安全审计的产生,进程优先级,下载和上传设备驱动,内存中页的锁定,服务登录,审记和安全日志管理,软硬件的修改,系统性能配置,进程级别标记的更改,系统关闭,所有者,软盘和CD-ROM分配。
其他 N/A 检查UPS服务启动、关闭命令,电源警告延时,电源警告信息重复,OS/2子系统,自动登录,敏感的系统服务。
System Scanner扫描过程
网络扫描器是在网络层扫描各种设备来发现安全漏洞,系统扫描器是在系统层上通过依附于网络设备上的扫描器代理侦测主机内部的漏洞。这些扫描器代理策略可以通过企业的某个控制台进行集中管理和配置。系统扫描器在相当严格的基础上对安全风险级别进行划分。在UNIX系统上,它对大量的安全问题能自动产生修补程序脚本。一旦系统被确认处于安全的状态后,系统扫描器会用一种数字指纹锁定系统配置,以便更容易发现非法访问。带箭头线路代表System Scanner的扫描过程。