前言

等保2.0明确对企业、安全厂家、系统集成商提出要求，强调使用漏洞扫描工具及时发现可能存在的漏洞，企业在进行网络安全防护建设时要充分考虑计算环境的入侵防范能力，本文就针对网络安全计算环境中入侵防范要求进行解读。

一、安全计算环境要求解读

1、基本要求安全计算环境主要对象为边界内部的所有对象，涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。以下将以三级保护对象为例，描述漏洞扫描类防护产品在入侵防范控制点的应用。

2、高风险项解读

针对互联网设备及内网设备的漏洞要定期进行扫描，发现已知漏洞并及时进行修复，可以有效地阻断外部的威胁，防止高危漏洞带来的潜在风险，提升各类设备及系统抵御安全风险的能力。

二、安全要求对标

三、合规产品应用部署示例

1、部署示例

漏洞扫描类防护产品一般建议旁路部署在安全管理中心位置，针对网络中设备、服务器等资产进行漏洞扫描，发现安全漏洞和隐患并提供修补建议，详细部署如下图所示：

2、等保合规扣分占比

以三级系统单个测评对象为示例，三级系统共计232个控制点。

假设所有项都为适用项，技术部分与管理部分各占50%，技术部分总分为100分（单项基准分为100/232），以下为其扣分情况：

从综合扣分情况看，漏洞扫描类防护产品对于重要业务及关键网络节点占比达到0.4310/100=0.4310%，虽然在测评中得分占比不高，但是考虑到网络安全中的多样化的攻击手段，使用漏洞扫描类防护产品可以帮助用户增强“漏洞管理”，帮助用户侧重“修复能力”，实现问题的事前修复。因此，建议企业在网络安全建设中关注漏洞扫描类相关防护产品，提升安全防护能力。

三、合规产品实际应用扩展建议

在等保合规的基础上，为了更大的发挥产品的作用，建议在选购对应的漏洞扫描类防护的合规产品时，仍需关注如下部分能力:

1、关注扫描对象的丰富性

关注产品的扫描能力，强调其扫描对象的丰富性，例如可扫描操作系统、网络设备数据库系统、安全设备、应用系统、工控设备等。

2、关注产品的安全能力

漏洞扫描类防护产品的安全防护能力与其强大的漏洞知识库息息相关，是否包含经CNNVD认证的多类系统漏洞，是否覆盖了当前网络环境中重要的、主流的系统和数据库漏洞，并能够根据网络环境变化及时调整更新，确保漏洞识别的全面性和时效性，这些产品能力建议企业在选购时多加关注

3、关注扫描效率

漏洞扫描类防护产品在使用过程中，建议企业用户综合评估探测速度及安全性，例如是否综合运用多种探测技术(例如预探测、渐进式、多线程的扫描技术等)，采用多线程进行并发扫描等，确保高安全性下的高效运维。

公司介绍

中科安信科技有限公司，简称“中科安信“公司专注于信息化、智能化、网络安全领域，聚焦咨询设计，系统集成、IT运维、信息安全服务、信息安全培训等为一体化的高新技术企业，公司致力于成为业界领先的数字化解决方案及服务提供商。公司服务于政府、医卫、教育、公安、金融、能源、军工、企业、运营商等，为用户提供数字化转型整体解决方案。中科安信业务涵盖信息安全产品、信息安全集成、信息安全服务、信息安全培训四大模块为基石，同时为用户提供数字化转型整体解决方案，帮助用户创造业务价值，降低安全风险，全面为用户数字化转型保驾护航。中科安信秉承以成就客户为使命，共建和谐网络空间，共享网络空间安全。

○首批公安部第三研究所湖北区域技术服务站

○湖北省网络与信息安全通报技术支撑单位

○湖北省信息网络安全协会副会长单位

○重点XX单位网络安全技术支撑服务单位

○武汉国际安全应急博览会重要技术支撑单位

○湖北省HW攻防实战演习重要技术支撑单位

○XX医卫领域信息化及网络及数据安全重要技术支撑单位

○XX政务领域网络及数据安全服务技术支撑单位

○《XX工业领域数据安全分类分级指南》标准起草单位

○恩施州“HW2023”网络攻防演习优秀支撑单位