明鉴漏洞扫描系统
来源:
明鉴漏洞扫描系统.xmind明鉴漏洞扫描系统产品白皮书-徐云杰-20260321_093454.docx明鉴漏洞扫描系统产品解决方案-徐云杰-20260417_093356.docx- 网络安全整体结构理解图
0. 产品介绍思路
这几个产品我想先从“事前发现风险”讲起。明鉴漏扫其实就像给客户网络做一次安全体检,它的作用不是挡攻击,而是先把资产、端口、服务、漏洞、弱口令和基线问题找出来,告诉客户哪里有风险、怎么整改、整改完怎么复测。在等保 2.0 里,它主要对应漏洞和风险管理、基线核查、安全运维和测评整改这些要求。功能上可以记成资产探测、主机漏洞、Web 漏洞、数据库漏洞、弱口令、基线检查、容器和工控扫描等几块。部署时一般放在安全管理区、核心或汇聚交换附近,只要能访问到被扫资产就行;方式上常见是旁路/单机一体机,也可以做分布式引擎、集群或者通过 VPN/代理扫分支和隔离网。讲完漏扫,就可以顺到下一个问题:漏洞找出来是一方面,那有没有人正在利用这些漏洞攻击我,就要看 AI-APT 这类流量检测产品。
1. 一句话总览
明鉴漏洞扫描系统是给网络资产做安全体检的产品:主动发现主机、服务器、网络设备、Web 应用、数据库、容器镜像、工控资产中的漏洞、弱口令和不安全配置,并输出风险等级、漏洞描述、修复建议、报表,帮助客户完成整改和复测闭环。
通俗记忆:
明鉴漏扫 = 找资产 + 找漏洞 + 找弱口令 + 查基线 + 出报告 + 复测闭环它不是防火墙那种“挡流量”的设备,而是安全评估工具。防火墙负责挡,漏扫负责找。
2. 产品是干什么用的
明鉴漏扫主要解决三个问题:
| 客户问题 | 产品做法 | 输出结果 |
|---|---|---|
| 不知道有哪些资产有风险 | 主动探测存活主机、端口、服务、版本、操作系统和设备类型 | 资产清单、暴露面、风险资产 |
| 不知道系统哪里有漏洞 | 扫描主机、Web、数据库、容器、工控等对象 | 漏洞列表、风险等级、修复建议 |
| 不知道整改是否有效 | 定期扫描、整改后复测、报告对比 | 整改闭环材料、复测证明 |
核心价值是:在攻击者利用漏洞之前,先帮客户发现问题并推动修复。
3. 在等保 2.0 里哪里体现
明鉴漏扫在等保 2.0 中主要支撑“漏洞和风险管理、基线核查、整改复测、运维闭环”。
| 等保相关方向 | 明鉴漏扫对应能力 | 怎么理解 |
|---|---|---|
| 漏洞和风险管理 | 主机漏洞、Web 漏洞、数据库漏洞、弱口令扫描 | 定期识别安全漏洞和隐患 |
| 安全运维管理 | 周期任务、扫描报告、整改建议、复测 | 日常巡检和持续安全运营 |
| 安全建设管理 / 测评整改 | 建设前摸底、测评前自查、整改后复测 | 给等保整改提供技术证据 |
| 基线配置核查 | 操作系统、数据库、应用、虚拟化设备、网络设备基线检查 | 判断配置是否符合标准和等保级别要求 |
注意边界:
Important
漏扫负责“发现问题”和“提供整改依据”,但等保还要求修复整改、制度留痕、复测验证和持续运维闭环。漏扫不能替代整改,只能支撑整改。
可交付材料包括:
- 漏洞扫描报告
- 风险等级统计
- 整改建议清单
- 资产风险统计
- 整改后复测报告
4. 产品功能有几个大的功能模块
按 XMind 展开,可以记成 10 个大功能模块:
| 模块 | 作用 |
|---|---|
| 资产探测 | 识别存活主机、开放端口、服务、版本、操作系统、设备类型 |
| 系统漏洞扫描 | 对主机、服务器、网络设备、安全设备等做漏洞识别 |
| 弱口令探测 | 对 SSH、FTP、SMB、RDP、数据库等协议尝试弱口令检测 |
| Web 应用安全漏洞扫描 | 爬取网站 URL,检测 SQL 注入、XSS、文件包含、命令执行等 Web 风险 |
| 数据库漏洞扫描 | 对 Oracle、MySQL、SQL Server、DB2、达梦、人大金仓等数据库做授权扫描 |
| 安全配置基线核查 | 检查操作系统、数据库、应用、虚拟化设备、网络设备配置是否符合标准 |
| 事件内容扫描 | 检测网站暗链、坏链、挂马、挖矿、黑页、webshell、敏感内容泄露等 |
| 容器镜像扫描 | 在 Docker 镜像运行前检查镜像漏洞和配置风险 |
| 网站被动扫描 | 通过代理监听真实访问行为,适合前后端分离网站和特定功能扫描 |
| 工控扫描 | 面向 PLC、RTU、SCADA、DCS、HMI、工业网络和嵌入式资产做低扰动扫描 |
售前表达时也可以简化成:
五大主扫描能力:主机 + Web + 数据库 + 基线 + 安全事件
扩展能力:弱口令、容器镜像、被动扫描、工控扫描、专项排查5. 产品部署在哪里
结合网络结构图,明鉴漏扫通常放在 企业内网核心 / 汇聚层附近,或安全运维管理区,要求能访问被扫描资产。
常见位置:
- 网管交换机旁边
- 中心交换机旁边
- 核心交换机或汇聚交换机可达区域
- 安全管理区 / 运维管理区
- 能连通 DMZ、服务器区、数据库区、办公网、分支网段的位置
它扫描的对象包括:
- DMZ:公网 Web 服务器、邮件服务器、API 网关等
- 企业内网:办公终端、打印机、IoT、网络设备
- 业务与数据中心:OA、ERP、CRM、数据库、虚拟化平台、容器平台
- 终端与主机:员工电脑、服务器主机、开发测试终端
- 网络设备和安全设备:交换机、路由器、防火墙等
记忆图:
安全运维管理区 / 核心汇聚侧
└─ 明鉴漏扫
├─ 扫 DMZ:Web、邮件、API、堡垒机入口
├─ 扫内网:终端、打印机、IoT、网络设备
├─ 扫数据中心:服务器、数据库、虚拟化、容器
└─ 扫分支/隔离网:通过 VPN 或代理到达目标网段6. 产品部署方式有哪些
| 部署方式 | 适用场景 | 记忆点 |
|---|---|---|
| 旁路部署 | 最常见,接入客户网络,不改变原有业务链路 | 不串联、不挡流量、不影响现网结构 |
| 单机 / 一体机部署 | 中小规模或单点管理场景 | 一台设备完成任务、扫描、报表和管理 |
| 软件部署 | 客户已有服务器或虚拟化资源 | 部分型号支持纯软件部署 |
| 分布式引擎部署 | 多网段、大规模资产、跨区域扫描 | 中心管理 + 多扫描引擎,支持负载均衡 |
| 集群部署 | 大规模、高可用、横向扩展场景 | 计算和存储可扩展,降低单点风险 |
| VPN / 代理扫描 | 公有云、隔离网、分支机构等特殊网络 | 通过代理或 VPN 让扫描器能到达目标 |
白皮书中实施端口可速记:
30000:默认 SSH 后台服务端口8891:Web 管理服务端口8892:引擎管理端口,主要用于分布式场景
7. 新人速记
明鉴漏洞扫描系统
├─ 是什么:主动安全评估和漏洞管理工具
├─ 干什么:找资产、找漏洞、找弱口令、查基线、出报告
├─ 等保作用:支撑漏洞管理、风险评估、基线核查、整改复测
├─ 功能模块:资产、主机、弱口令、Web、数据库、基线、事件、容器、被动、工控
├─ 部署位置:核心/汇聚/网管交换机旁边,或安全运维管理区
├─ 部署方式:旁路、单机/一体机、软件、分布式、集群、VPN/代理
└─ 产品边界:负责发现问题,不负责直接阻断攻击8. 一句话复述
明鉴漏洞扫描系统是客户网络里的“安全体检仪”:部署在能访问各类资产的核心或管理侧,通过主动扫描发现主机、Web、数据库、配置基线、弱口令、容器和工控风险,为等保自查、整改复测和日常安全运维提供可落地的风险清单与报告。