美国国务院规划部署系统漏洞定期扫描工具

美国国务院正在研究对其企业漏洞扫描解决方案进行"生命周期更新"。

美国国务院希望确保其安全官员能够及时发现其网络中的漏洞（美国国务院网络由敏感网络和机密网络混合组成，托管于美国境内及境外的本地环境及云端环境），并在一份新合同中重新斟酌其企业漏洞扫描解决方案。

根据发布于beta.SAM.gov上的一份工作说明书草案所述："美国国务院网络防御项目需要具备快速扫描、评估及报告国务院网络安全状况的能力。国务院需要一个能够提供分析、监测、报告、配置、策略及设备管理的解决方案。"

为此，美国政府正在为其现有的扫描程序寻求全流程的更新方案。

无论是在美国国内的办公室和数据中心，还是横跨全球各地的美国大使馆及各种岗位，新的企业漏洞扫描解决方案必须支持扫描各种基础设施、平台和软件并生成报告，同时可以根据不同许可和密级进行隔离。总而言之，该款工具必须能够扫描大约25万个终端。

美国国务院需要一种全面的服务工具，可通过扫描其所有不同的系统来确定网络安全弱点，并在适当的时间将这些弱点映射到CVE库中记录的漏洞，同时产生一个实时信息流，包括"当前的、新兴的和历史的漏洞和威胁"。

接下来，这些信息将必须提供给安全人员，以便采取措施。此外该解决方案必须能够分配适当的角色和限制，确保敏感的漏洞数据没有落入坏人之手。

根据提供的数据，安全人员还必须能够为单个系统生成评估报告，可设置的字段包括"主机名、主机池/组、IP范围、地理位置、时间和日期"等。

根据招标公告，扫描应每周至少进行两次，同时官员们希望能灵活地为不同的网络和系统设定不同的扫描计划，"不仅可按照东部时区至太平洋时区对美国国内终端进行评估，还允许海外使馆和驻地根据当地时间进行评估，甚至可设置在工作时间之外。"

政府雇员也应该能够在任意时间发起可定制的临时扫描。

美国国务院使用多种不同类型的基础设施，包括本地部署（政府拥有并运营）的机密和非机密网络，以及两个云环境：分别由亚马逊AWS及微软Azure托管。

此外，美国国务院系统还拥有多种类型的网络环境，包括："气隙网络（air-gapped networks）；专用互联网；在国内及海外托管、不与企业网络连接的DMZ区；以及多个不同的云服务提供商，如谷歌云、AWS商用云及政务云、Azure商用云及政务云。"

合同官员对能在所有上述基础设施和平台上工作的扫描解决方案感兴趣。

新的企业漏洞扫描解决方案还必须能够与现有的风险管理工具整合，包括美国国务院的企业风险管理系统iPost；特权访问管理工具CyberArk；以及数据管理分析工具Splunk。

合同官员在一份Q&A文件中表示，最终版本的招标书即将出台，美国国务院希望在本财政年度结束前完成授标。

参考来源：nextgov.com

声明：本文来自互联网安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。