中新漏洞掃描系統(tǒng)

中新金盾漏洞掃描系統(tǒng)產(chǎn)品介紹ZX-Scancer基于中新網(wǎng)安自主ZXOS操作系統(tǒng)的綜合漏洞發(fā)現(xiàn)與評(píng)估系統(tǒng)，深入檢測(cè)系統(tǒng)和網(wǎng)站中存在的漏洞和弱點(diǎn)，同時(shí)提供整改方法和建議，幫助修補(bǔ)漏洞、全面提升整體安全性。中新網(wǎng)絡(luò)信息安全股份有限公司CHAPTERONE背景介紹Backgroundintroduction我國(guó)網(wǎng)站發(fā)展現(xiàn)狀123網(wǎng)站具備重大影響力政府網(wǎng)站已經(jīng)成為社會(huì)信息的權(quán)威來(lái)源，成為公眾和媒體了解政府的重要渠道和窗口。網(wǎng)站承擔(dān)重要責(zé)任并包含重要數(shù)據(jù)很多政府的工作動(dòng)態(tài)、政策文件、審批事項(xiàng)、財(cái)政預(yù)決算、“三公”經(jīng)費(fèi)等信息均通過(guò)政府網(wǎng)站發(fā)布。網(wǎng)上納稅、網(wǎng)上信訪、在線訪談、網(wǎng)上掛號(hào)…網(wǎng)站大量開辦中國(guó)網(wǎng)站總數(shù)為423萬(wàn)個(gè)，較2014年增長(zhǎng)了88萬(wàn)，年增長(zhǎng)率達(dá)到26.3%。同時(shí)，中國(guó)網(wǎng)頁(yè)數(shù)量首次突破2000億。——《第37次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》網(wǎng)站定義：宣傳、各種業(yè)務(wù)系統(tǒng)、內(nèi)網(wǎng)HTTP傳輸?shù)南到y(tǒng)，均屬于網(wǎng)站范疇。四部委聯(lián)合發(fā)文加強(qiáng)網(wǎng)站治理中央網(wǎng)信辦<1號(hào)文>2014.5.9公安部網(wǎng)站大檢查2013.9結(jié)論：5.2萬(wàn)網(wǎng)站，76%以上網(wǎng)站存在安全隱患，40%網(wǎng)站可以被拿到控制權(quán)中央網(wǎng)信辦、中編辦<69號(hào)文件>2014.11.242015.9.3國(guó)家“9.3”閱兵，30%左右重要政府網(wǎng)站在閱兵當(dāng)天關(guān)閉，包括大量央企、省級(jí)門戶網(wǎng)站。2014.10.18：香港占中事件，匿名組織對(duì)國(guó)內(nèi)攻擊。監(jiān)測(cè)報(bào)告：55%左右政府網(wǎng)站存在安全隱患！過(guò)半高校網(wǎng)站存在安全漏洞,更有20%的高校官網(wǎng)已經(jīng)被黑客入侵篡改。公安部（執(zhí)法）、中央網(wǎng)信辦（起草）、中編辦、工信部<2562號(hào)文件>俗稱四部委文件2015.9.30四部委文件核心解讀（一）落實(shí)網(wǎng)站開辦審核工作（二）開展網(wǎng)站統(tǒng)一標(biāo)識(shí)工作確保上線網(wǎng)站統(tǒng)一標(biāo)識(shí)并辦理網(wǎng)站備案手續(xù)；對(duì)已經(jīng)投入運(yùn)行的網(wǎng)站進(jìn)行梳理。（三）開展網(wǎng)站群建設(shè)工作保障網(wǎng)站群建設(shè)經(jīng)費(fèi)，將分散的小網(wǎng)站歸并為網(wǎng)站群，對(duì)網(wǎng)站進(jìn)行統(tǒng)一管理、統(tǒng)一防護(hù)、統(tǒng)一監(jiān)測(cè)（四）全面加強(qiáng)黨政機(jī)關(guān)、事業(yè)單位和國(guó)有企業(yè)網(wǎng)站安全保護(hù)工作加強(qiáng)網(wǎng)站安全監(jiān)測(cè)、測(cè)評(píng)和檢查，查找網(wǎng)站安全隱患并及時(shí)整改落實(shí)網(wǎng)站防攻擊、防篡改、防掛馬等關(guān)鍵技術(shù)防范措施必須按照等保制度要求，開展定級(jí)（五）全面加強(qiáng)黨政機(jī)關(guān)、事業(yè)單位和國(guó)有企業(yè)網(wǎng)站安全監(jiān)測(cè)、應(yīng)急處置和責(zé)任追究網(wǎng)站遭攻擊篡改，要第一時(shí)間向行業(yè)主管（監(jiān)管）部門報(bào)告并啟動(dòng)應(yīng)急預(yù)案，同時(shí)向受理備案的公安機(jī)關(guān)報(bào)案，開展應(yīng)急恢復(fù)安全事件頻繁發(fā)送安全事件頻繁發(fā)送CHAPTERTWO需求分析Requirementanalysis安全事件頻繁發(fā)送網(wǎng)站大量被篡改、被掛馬、被盜竊；網(wǎng)站早期被植入木馬，無(wú)法正常清除；傳統(tǒng)的安全設(shè)備對(duì)Web層面的安全鞭長(zhǎng)莫及；網(wǎng)站架構(gòu)復(fù)雜，管理員在可用性和安全性中間不斷的折中。網(wǎng)站安全問(wèn)題020103管理難度大傳統(tǒng)的FW、DDoS、IPS、UTM、NGFW對(duì)Web層面的安全鞭長(zhǎng)莫及；部署WAF，隨著安全技術(shù)發(fā)展，WAF不能及時(shí)更新特征庫(kù)，常常被黑；浙江下沙區(qū)、北京語(yǔ)言大學(xué)等事件；網(wǎng)站早期被植入木馬，現(xiàn)有漏洞掃描產(chǎn)品因?yàn)樘烊患夹g(shù)原因，無(wú)法正常清除,比如中信集團(tuán)、北工大；網(wǎng)站數(shù)量眾多，管理成本高責(zé)權(quán)利不好界定，“網(wǎng)絡(luò)中心”“信息中心”成為替罪羊，導(dǎo)致積極性不高私搭亂建現(xiàn)象嚴(yán)重，不易檢測(cè)退運(yùn)的網(wǎng)站，因?yàn)檫\(yùn)營(yíng)和安保屬于不同部門，因此常常成為孤島網(wǎng)站類別種類多院系眾多，部門眾多，網(wǎng)站需求不一致網(wǎng)站開發(fā)使用了不同時(shí)代的技術(shù)，管理員在可用性和安全性中間不斷的折中科研需求更特殊，常常安全被犧牲；基于Web的教學(xué)系統(tǒng)、學(xué)籍管理系統(tǒng)、考試管理系統(tǒng)等關(guān)乎整個(gè)教學(xué)的安全性。防御防不勝防相關(guān)政策要求

2011年銀監(jiān)會(huì)《網(wǎng)上銀行安全風(fēng)險(xiǎn)管理指引》——【2011】549號(hào)文第四十九條

商業(yè)銀行應(yīng)制定合理的網(wǎng)銀系統(tǒng)安全測(cè)試計(jì)劃、分配足夠的資源驗(yàn)證安全質(zhì)量，如對(duì)網(wǎng)銀代碼進(jìn)行安全審查、對(duì)系統(tǒng)進(jìn)行滲透性測(cè)試、對(duì)安全控制措施進(jìn)行查驗(yàn)等，防范引入惡意代碼或出現(xiàn)安全漏洞。

五十三條商業(yè)銀行的網(wǎng)銀系統(tǒng)在上線運(yùn)行時(shí)，應(yīng)針對(duì)網(wǎng)銀的互聯(lián)網(wǎng)環(huán)境依賴和外部威脅高的特性，在互聯(lián)網(wǎng)接入點(diǎn)部署安全設(shè)備，如防火墻、WAF、DDoS防護(hù)等設(shè)備，并設(shè)置相應(yīng)的安全規(guī)則，有效降低或消除安全風(fēng)險(xiǎn)。第五十八條

商業(yè)銀行應(yīng)每年定期組織網(wǎng)銀系統(tǒng)的漏洞掃描和滲透性測(cè)試，并形成測(cè)試報(bào)告。對(duì)發(fā)現(xiàn)的安全隱患應(yīng)及時(shí)進(jìn)行修補(bǔ)或升級(jí)，確保網(wǎng)銀的安全防護(hù)能力。《關(guān)于開展2012年通信網(wǎng)絡(luò)安全防護(hù)檢查工作的通知》工信部保函【2012】102號(hào)《中國(guó)移動(dòng)網(wǎng)頁(yè)安全漏洞掃描系統(tǒng)技術(shù)規(guī)范》中國(guó)移動(dòng)【2010】《關(guān)于加強(qiáng)黨政機(jī)關(guān)網(wǎng)站安全管理的通知

》2014年中網(wǎng)辦1號(hào)文件《關(guān)于加強(qiáng)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》工信部?！?014〕368號(hào)《關(guān)于進(jìn)一步加強(qiáng)軍隊(duì)信息安全工作的意見》中央軍委WASPTop10CHAPTERTHREE產(chǎn)品分析Productanalysis防火墻防火墻防火墻無(wú)法阻止從內(nèi)部發(fā)起的攻擊行為IP層TCP/UDP層應(yīng)用層WEB2.0A檢測(cè)網(wǎng)絡(luò)層攻擊BIP地址、端口等C對(duì)Web無(wú)防護(hù)IPS/IDSIDS是入侵檢測(cè)系統(tǒng)，負(fù)責(zé)記錄入侵行為

IPS是入侵防御系統(tǒng)，可以抵御部分對(duì)WEB應(yīng)用的攻擊IP層TCP/UDP層應(yīng)用層WEB2.0IPS針對(duì)Web應(yīng)用深度不夠只檢測(cè)已知協(xié)議UTMIP層TCP/UDP層應(yīng)用層WEB2.0UTMUTM是一種寬泛的防御，集成防火墻，IDS/IPS，VPN，網(wǎng)關(guān)殺毒，反垃圾郵件等多種功能于一身。網(wǎng)絡(luò)阻塞點(diǎn)A具備其他產(chǎn)品瓶頸B性能瓶頸NGFW正常：deletefromtable1wherename=‘John’越權(quán)攻擊：deletefromtable1SQL注入：select*fromstockwherecatalog-no=''having1=1--'andlocation=1SQL越權(quán)、注入、內(nèi)部直接連接、文件復(fù)制IP層TCP/UDP層應(yīng)用層WEB2.0NGFW1.能夠阻止部分SQL注入攻擊、跨站攻擊2.無(wú)法阻止內(nèi)部對(duì)數(shù)據(jù)庫(kù)的攻擊產(chǎn)品分析技術(shù)原理工作機(jī)制不足傳統(tǒng)網(wǎng)絡(luò)防火墻網(wǎng)絡(luò)層、傳輸層訪問(wèn)控制端口阻斷UDP/TCP狀態(tài)感知僅對(duì)網(wǎng)絡(luò)層進(jìn)行保護(hù)，不能對(duì)應(yīng)用層保護(hù)傳統(tǒng)入侵防御IPS基于規(guī)則的網(wǎng)絡(luò)保護(hù)基于規(guī)則的檢測(cè)阻斷連接UDP/TCP狀態(tài)感知分析深度不夠不適應(yīng)WEB2.0缺乏主動(dòng)防御綜合安全網(wǎng)關(guān)（UTM）下一代防火墻(NGFW)集成了IPS,AV，防火墻等多種安全功能HTTP/HTTPS應(yīng)用保護(hù)URL標(biāo)準(zhǔn)化HTTP會(huì)話狀態(tài)感知處理性能不足WEB分析深度不足缺乏主動(dòng)防御Web應(yīng)用防火墻HTTP/HTTPS應(yīng)用保護(hù)URL標(biāo)準(zhǔn)化HTTP會(huì)話狀態(tài)感知應(yīng)用語(yǔ)境執(zhí)行基于語(yǔ)境的正向安全模型自適應(yīng)規(guī)則（學(xué)習(xí)能力）內(nèi)容控制CHAPTERFOUR解決方案Solution一體化解決方案訪問(wèn)1.Web訪問(wèn)3.安全訪問(wèn)2.攻擊行為上報(bào)0.定期安全巡檢Web監(jiān)控網(wǎng)頁(yè)恢復(fù)報(bào)警、行為分析、數(shù)據(jù)挖掘、行為審計(jì)漏洞、內(nèi)容、可用性、合規(guī)性檢查業(yè)務(wù)維護(hù)WAF+掃描器方案CHAPTERFIVE產(chǎn)品介紹Productintroduction系統(tǒng)存在漏洞非開源操作系統(tǒng)主要是以微軟的Windows操作系統(tǒng)。開源操作系統(tǒng)主要是以redhat、ubuntu的linux操作系統(tǒng)為主的群體大多開源與非開源操作系統(tǒng)或WEB服務(wù)器存在漏洞操作系統(tǒng)和應(yīng)用漏洞能夠直接威脅數(shù)據(jù)的完整性和機(jī)密性。流行蠕蟲的傳播通常也依賴于嚴(yán)重的安全漏洞。黑客的主動(dòng)攻擊往往離不開對(duì)漏洞的利用。開源與非開源操作系統(tǒng)等網(wǎng)絡(luò)系統(tǒng)等存在漏洞WindowsLinuxAIXHPSolaris網(wǎng)絡(luò)系統(tǒng)NetWareBSD路由器交換機(jī)防火墻手機(jī)網(wǎng)絡(luò)設(shè)備存在漏洞網(wǎng)絡(luò)設(shè)備存在安全漏洞，黑客可以利用漏洞。全球最大的網(wǎng)絡(luò)基礎(chǔ)服務(wù)主要是Cisco、Juniper、華為。在網(wǎng)絡(luò)中除了傳統(tǒng)的網(wǎng)絡(luò)基礎(chǔ)建設(shè)的設(shè)備外，還有很多安全設(shè)備。針對(duì)網(wǎng)絡(luò)設(shè)備建設(shè)也使用系統(tǒng)組成的，如系統(tǒng)中存在安全漏洞，黑客可以利用漏洞實(shí)現(xiàn)攻擊。給客戶造成直接的經(jīng)濟(jì)損失或負(fù)面新聞。系統(tǒng)漏洞的危害Web服務(wù)器存在漏洞WEB服務(wù)器存在漏洞代碼造成漏洞WEB服務(wù)器存在漏洞開發(fā)語(yǔ)言存在漏洞WEB服務(wù)器存在很多已知或未知的漏洞，漏洞不能及時(shí)發(fā)現(xiàn)并修改，黑客可以利用該漏洞進(jìn)行攻擊。很多的WEB網(wǎng)站開發(fā)者不注意安全規(guī)范，編寫的代碼不合規(guī)，容易造成安全漏洞，黑客可以利用該漏洞進(jìn)行攻擊。SCANSCANWebRAY一體化掃描系統(tǒng)是WebRAY技術(shù)研究團(tuán)隊(duì)多年深入研究當(dāng)前各類流行Web攻擊手段（如網(wǎng)頁(yè)掛馬攻擊、SQL注入漏洞、跨站腳本攻擊等）的經(jīng)驗(yàn)結(jié)晶。通過(guò)本地檢測(cè)技術(shù)與遠(yuǎn)程檢測(cè)技術(shù)相結(jié)合，對(duì)您的網(wǎng)站進(jìn)行全面的、深入的、徹底的風(fēng)險(xiǎn)評(píng)估，綜合性的規(guī)則庫(kù)（本地漏洞庫(kù)、ActiveX庫(kù)、網(wǎng)頁(yè)木馬庫(kù)、網(wǎng)站代碼審計(jì)規(guī)則庫(kù)等）以及業(yè)界最為領(lǐng)先的智能化爬蟲技術(shù)及SQL注入狀態(tài)檢測(cè)技術(shù)，檢查應(yīng)用和系統(tǒng)中存在的弱點(diǎn)和漏洞并給出詳細(xì)的修復(fù)建議及方案。RayScan功能01SQL注入跨站腳本代碼合規(guī)信息泄露......021）全方位多層次檢測(cè)安全漏洞2）高效的爬蟲檢測(cè)技術(shù)以及本地安全檢測(cè)（沙箱技術(shù)）3）全方位的網(wǎng)絡(luò)對(duì)象支持以及豐富的漏洞資源庫(kù)，漏洞庫(kù)15000條4）高效的掃描效率和漏洞信息的準(zhǔn)確識(shí)別和判斷5）多種探測(cè)機(jī)制及登錄掃描滿足客戶保密需求03操作系統(tǒng)數(shù)據(jù)庫(kù)網(wǎng)絡(luò)設(shè)備手機(jī)......展示掃描漏洞對(duì)比系統(tǒng)漏洞掃描Web數(shù)據(jù)掃描解決修改方案綜合性、專業(yè)性的整體評(píng)估報(bào)告：前后數(shù)據(jù)掃描報(bào)告漏洞對(duì)比，舊漏洞與新漏洞進(jìn)行對(duì)比呈現(xiàn)，讓客戶了漏洞最新情況系統(tǒng)漏洞與Web數(shù)據(jù)漏洞實(shí)時(shí)呈現(xiàn)漏洞提供解決修改方案，輔助客戶了解漏洞情況，輔助客戶快速修改漏洞多格式報(bào)告呈現(xiàn)，提供報(bào)表定制服務(wù)，支持WORD、EXCEL、HTML價(jià)值網(wǎng)站監(jiān)管者1網(wǎng)站運(yùn)維者2網(wǎng)站開發(fā)者3掌握網(wǎng)站的風(fēng)險(xiǎn)狀況，統(tǒng)計(jì)數(shù)據(jù)。發(fā)現(xiàn)漏洞，