前言

等保2.0明确对企业、安全厂家、系统集成商提出要求，强调使用漏洞扫描工具及时发现可能存在的漏洞，企业在进行网络安全防护建设时要充分考虑计算环境的入侵防范能力，本文就针对网络安全计算环境中入侵防范要求进行解读。

一、安全计算环境要求解读

1、基本要求

安全计算环境主要对象为边界内部的所有对象，涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。以下将以三级保护对象为例，描述漏洞扫描类防护产品在入侵防范控制点的应用。

2、高风险项解读

针对互联网设备及内网设备的漏洞要定期进行扫描，发现已知漏洞并及时进行修复，可以有效地阻断外部的威胁，防止高危漏洞带来的潜在风险，提升各类设备及系统抵御安全风险的能力。

二、安全要求对标

三、合规产品应用部署示例

1、部署示例

漏洞扫描类防护产品一般建议旁路部署在安全管理中心位置，针对网络中设备、服务器等资产进行漏洞扫描，发现安全漏洞和隐患并提供修补建议，详细部署如下图所示：

图1 漏洞扫描类防护设备部署示意图

2、等保合规扣分占比

以三级系统单个测评对象为示例，三级系统共计232个控制点。

假设所有项都为适用项，技术部分与管理部分各占50%，技术部分总分为100分（单项基准分为100/232），以下为其扣分情况：

从综合扣分情况看，漏洞扫描类防护产品对于重要业务及关键网络节点占比达到0.4310/100=0.4310%，虽然在测评中得分占比不高，但是考虑到网络安全中的多样化的攻击手段，使用漏洞扫描类防护产品可以帮助用户增强“漏洞管理”，帮助用户侧重“修复能力”，实现问题的事前修复。因此，建议企业在网络安全建设中关注漏洞扫描类相关防护产品，提升安全防护能力。

三、合规产品实际应用扩展建议

在等保合规的基础上，为了更大的发挥产品的作用，建议在选购对应的漏洞扫描类防护的合规产品时，仍需关注如下部分能力：

1、关注扫描对象的丰富性

关注产品的扫描能力，强调其扫描对象的丰富性，例如可扫描操作系统、网络设备、数据库系统、安全设备、应用系统、工控设备等。

2、关注产品的安全能力

漏洞扫描类防护产品的安全防护能力与其强大的漏洞知识库息息相关，是否包含经CNNVD认证的多类系统漏洞，是否覆盖了当前网络环境中重要的、主流的系统和数据库漏洞，并能够根据网络环境变化及时调整更新，确保漏洞识别的全面性和时效性，这些产品能力建议企业在选购时多加关注。

3、关注扫描效率

漏洞扫描类防护产品在使用过程中，建议企业用户综合评估探测速度及安全性，例如是否综合运用多种探测技术（例如预探测、渐进式、多线程的扫描技术等），采用多线程进行并发扫描等，确保高安全性下的高效运维。

原文始发于微信公众号（等级保护测评）：等级保护要求解读之安全计算环境（二）