中新金盾漏洞掃描系統(tǒng)產(chǎn)品介紹ZX-Scancer基于中新網(wǎng)安自主ZXOS操作系統(tǒng)的綜合漏洞發(fā)現(xiàn)與評估系統(tǒng)，深入檢測系統(tǒng)和網(wǎng)站中存在的漏洞和弱點，同時提供整改方法和建議，幫助修補漏洞、全面提升整體安全性。中新網(wǎng)絡信息安全股份有限公司CHAPTERONE背景介紹Backgroundintroduction我國網(wǎng)站發(fā)展現(xiàn)狀123網(wǎng)站具備重大影響力政府網(wǎng)站已經(jīng)成為社會信息的權威來源，成為公眾和媒體了解政府的重要渠道和窗口。網(wǎng)站承擔重要責任并包含重要數(shù)據(jù)很多政府的工作動態(tài)、政策文件、審批事項、財政預決算、“三公”經(jīng)費等信息均通過政府網(wǎng)站發(fā)布。網(wǎng)上納稅、網(wǎng)上信訪、在線訪談、網(wǎng)上掛號…網(wǎng)站大量開辦中國網(wǎng)站總數(shù)為423萬個，較2014年增長了88萬，年增長率達到26.3%。同時，中國網(wǎng)頁數(shù)量首次突破2000億。——《第37次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》網(wǎng)站定義：宣傳、各種業(yè)務系統(tǒng)、內(nèi)網(wǎng)HTTP傳輸?shù)南到y(tǒng)，均屬于網(wǎng)站范疇。四部委聯(lián)合發(fā)文加強網(wǎng)站治理中央網(wǎng)信辦<1號文>2014.5.9公安部網(wǎng)站大檢查2013.9結論：5.2萬網(wǎng)站，76%以上網(wǎng)站存在安全隱患，40%網(wǎng)站可以被拿到控制權中央網(wǎng)信辦、中編辦<69號文件>2014.11.242015.9.3國家“9.3”閱兵，30%左右重要政府網(wǎng)站在閱兵當天關閉，包括大量央企、省級門戶網(wǎng)站。2014.10.18：香港占中事件，匿名組織對國內(nèi)攻擊。監(jiān)測報告：55%左右政府網(wǎng)站存在安全隱患！過半高校網(wǎng)站存在安全漏洞,更有20%的高校官網(wǎng)已經(jīng)被黑客入侵篡改。公安部（執(zhí)法）、中央網(wǎng)信辦（起草）、中編辦、工信部<2562號文件>俗稱四部委文件2015.9.30四部委文件核心解讀（一）落實網(wǎng)站開辦審核工作（二）開展網(wǎng)站統(tǒng)一標識工作確保上線網(wǎng)站統(tǒng)一標識并辦理網(wǎng)站備案手續(xù)；對已經(jīng)投入運行的網(wǎng)站進行梳理。（三）開展網(wǎng)站群建設工作保障網(wǎng)站群建設經(jīng)費，將分散的小網(wǎng)站歸并為網(wǎng)站群，對網(wǎng)站進行統(tǒng)一管理、統(tǒng)一防護、統(tǒng)一監(jiān)測（四）全面加強黨政機關、事業(yè)單位和國有企業(yè)網(wǎng)站安全保護工作加強網(wǎng)站安全監(jiān)測、測評和檢查，查找網(wǎng)站安全隱患并及時整改落實網(wǎng)站防攻擊、防篡改、防掛馬等關鍵技術防范措施必須按照等保制度要求，開展定級（五）全面加強黨政機關、事業(yè)單位和國有企業(yè)網(wǎng)站安全監(jiān)測、應急處置和責任追究網(wǎng)站遭攻擊篡改，要第一時間向行業(yè)主管（監(jiān)管）部門報告并啟動應急預案，同時向受理備案的公安機關報案，開展應急恢復安全事件頻繁發(fā)送安全事件頻繁發(fā)送CHAPTERTWO需求分析Requirementanalysis安全事件頻繁發(fā)送網(wǎng)站大量被篡改、被掛馬、被盜竊；網(wǎng)站早期被植入木馬，無法正常清除；傳統(tǒng)的安全設備對Web層面的安全鞭長莫及；網(wǎng)站架構復雜，管理員在可用性和安全性中間不斷的折中。網(wǎng)站安全問題020103管理難度大傳統(tǒng)的FW、DDoS、IPS、UTM、NGFW對Web層面的安全鞭長莫及；部署WAF，隨著安全技術發(fā)展，WAF不能及時更新特征庫，常常被黑；浙江下沙區(qū)、北京語言大學等事件；網(wǎng)站早期被植入木馬，現(xiàn)有漏洞掃描產(chǎn)品因為天然技術原因，無法正常清除,比如中信集團、北工大；網(wǎng)站數(shù)量眾多，管理成本高責權利不好界定，“網(wǎng)絡中心”“信息中心”成為替罪羊，導致積極性不高私搭亂建現(xiàn)象嚴重，不易檢測退運的網(wǎng)站，因為運營和安保屬于不同部門，因此常常成為孤島網(wǎng)站類別種類多院系眾多，部門眾多，網(wǎng)站需求不一致網(wǎng)站開發(fā)使用了不同時代的技術，管理員在可用性和安全性中間不斷的折中科研需求更特殊，常常安全被犧牲；基于Web的教學系統(tǒng)、學籍管理系統(tǒng)、考試管理系統(tǒng)等關乎整個教學的安全性。防御防不勝防相關政策要求

2011年銀監(jiān)會《網(wǎng)上銀行安全風險管理指引》——【2011】549號文第四十九條

商業(yè)銀行應制定合理的網(wǎng)銀系統(tǒng)安全測試計劃、分配足夠的資源驗證安全質(zhì)量，如對網(wǎng)銀代碼進行安全審查、對系統(tǒng)進行滲透性測試、對安全控制措施進行查驗等，防范引入惡意代碼或出現(xiàn)安全漏洞。

五十三條商業(yè)銀行的網(wǎng)銀系統(tǒng)在上線運行時，應針對網(wǎng)銀的互聯(lián)網(wǎng)環(huán)境依賴和外部威脅高的特性，在互聯(lián)網(wǎng)接入點部署安全設備，如防火墻、WAF、DDoS防護等設備，并設置相應的安全規(guī)則，有效降低或消除安全風險。第五十八條

商業(yè)銀行應每年定期組織網(wǎng)銀系統(tǒng)的漏洞掃描和滲透性測試，并形成測試報告。對發(fā)現(xiàn)的安全隱患應及時進行修補或升級，確保網(wǎng)銀的安全防護能力。《關于開展2012年通信網(wǎng)絡安全防護檢查工作的通知》工信部保函【2012】102號《中國移動網(wǎng)頁安全漏洞掃描系統(tǒng)技術規(guī)范》中國移動【2010】《關于加強黨政機關網(wǎng)站安全管理的通知

》2014年中網(wǎng)辦1號文件《關于加強電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡安全工作的指導意見》工信部保〔2014〕368號《關于進一步加強軍隊信息安全工作的意見》中央軍委WASPTop10CHAPTERTHREE產(chǎn)品分析Productanalysis防火墻防火墻防火墻無法阻止從內(nèi)部發(fā)起的攻擊行為IP層TCP/UDP層應用層WEB2.0A檢測網(wǎng)絡層攻擊BIP地址、端口等C對Web無防護IPS/IDSIDS是入侵檢測系統(tǒng)，負責記錄入侵行為

IPS是入侵防御系統(tǒng)，可以抵御部分對WEB應用的攻擊IP層TCP/UDP層應用層WEB2.0IPS針對Web應用深度不夠只檢測已知協(xié)議UTMIP層TCP/UDP層應用層WEB2.0UTMUTM是一種寬泛的防御，集成防火墻，IDS/IPS，VPN，網(wǎng)關殺毒，反垃圾郵件等多種功能于一身。網(wǎng)絡阻塞點A具備其他產(chǎn)品瓶頸B性能瓶頸NGFW正常：deletefromtable1wherename=‘John’越權攻擊：deletefromtable1SQL注入：select*fromstockwherecatalog-no=''having1=1--'andlocation=1SQL越權、注入、內(nèi)部直接連接、文件復制IP層TCP/UDP層應用層WEB2.0NGFW1.能夠阻止部分SQL注入攻擊、跨站攻擊2.無法阻止內(nèi)部對數(shù)據(jù)庫的攻擊產(chǎn)品分析技術原理工作機制不足傳統(tǒng)網(wǎng)絡防火墻網(wǎng)絡層、傳輸層訪問控制端口阻斷UDP/TCP狀態(tài)感知僅對網(wǎng)絡層進行保護，不能對應用層保護傳統(tǒng)入侵防御IPS基于規(guī)則的網(wǎng)絡保護基于規(guī)則的檢測阻斷連接UDP/TCP狀態(tài)感知分析深度不夠不適應WEB2.0缺乏主動防御綜合安全網(wǎng)關（UTM）下一代防火墻(NGFW)集成了IPS,AV，防火墻等多種安全功能HTTP/HTTPS應用保護URL標準化HTTP會話狀態(tài)感知處理性能不足WEB分析深度不足缺乏主動防御Web應用防火墻HTTP/HTTPS應用保護URL標準化HTTP會話狀態(tài)感知應用語境執(zhí)行基于語境的正向安全模型自適應規(guī)則（學習能力）內(nèi)容控制CHAPTERFOUR解決方案Solution一體化解決方案訪問1.Web訪問3.安全訪問2.攻擊行為上報0.定期安全巡檢Web監(jiān)控網(wǎng)頁恢復報警、行為分析、數(shù)據(jù)挖掘、行為審計漏洞、內(nèi)容、可用性、合規(guī)性檢查業(yè)務維護WAF+掃描器方案CHAPTERFIVE產(chǎn)品介紹Productintroduction系統(tǒng)存在漏洞非開源操作系統(tǒng)主要是以微軟的Windows操作系統(tǒng)。開源操作系統(tǒng)主要是以redhat、ubuntu的linux操作系統(tǒng)為主的群體大多開源與非開源操作系統(tǒng)或WEB服務器存在漏洞操作系統(tǒng)和應用漏洞能夠直接威脅數(shù)據(jù)的完整性和機密性。流行蠕蟲的傳播通常也依賴于嚴重的安全漏洞。黑客的主動攻擊往往離不開對漏洞的利用。開源與非開源操作系統(tǒng)等網(wǎng)絡系統(tǒng)等存在漏洞WindowsLinuxAIXHPSolaris網(wǎng)絡系統(tǒng)NetWareBSD路由器交換機防火墻手機網(wǎng)絡設備存在漏洞網(wǎng)絡設備存在安全漏洞，黑客可以利用漏洞。全球最大的網(wǎng)絡基礎服務主要是Cisco、Juniper、華為。在網(wǎng)絡中除了傳統(tǒng)的網(wǎng)絡基礎建設的設備外，還有很多安全設備。針對網(wǎng)絡設備建設也使用系統(tǒng)組成的，如系統(tǒng)中存在安全漏洞，黑客可以利用漏洞實現(xiàn)攻擊。給客戶造成直接的經(jīng)濟損失或負面新聞。系統(tǒng)漏洞的危害Web服務器存在漏洞WEB服務器存在漏洞代碼造成漏洞WEB服務器存在漏洞開發(fā)語言存在漏洞WEB服務器存在很多已知或未知的漏洞，漏洞不能及時發(fā)現(xiàn)并修改，黑客可以利用該漏洞進行攻擊。很多的WEB網(wǎng)站開發(fā)者不注意安全規(guī)范，編寫的代碼不合規(guī)，容易造成安全漏洞，黑客可以利用該漏洞進行攻擊。SCANSCANWebRAY一體化掃描系統(tǒng)是WebRAY技術研究團隊多年深入研究當前各類流行Web攻擊手段（如網(wǎng)頁掛馬攻擊、SQL注入漏洞、跨站腳本攻擊等）的經(jīng)驗結晶。通過本地檢測技術與遠程檢測技術相結合，對您的網(wǎng)站進行全面的、深入的、徹底的風險評估，綜合性的規(guī)則庫（本地漏洞庫、ActiveX庫、網(wǎng)頁木馬庫、網(wǎng)站代碼審計規(guī)則庫等）以及業(yè)界最為領先的智能化爬蟲技術及SQL注入狀態(tài)檢測技術，檢查應用和系統(tǒng)中存在的弱點和漏洞并給出詳細的修復建議及方案。RayScan功能01SQL注入跨站腳本代碼合規(guī)信息泄露......021）全方位多層次檢測安全漏洞2）高效的爬蟲檢測技術以及本地安全檢測（沙箱技術）3）全方位的網(wǎng)絡對象支持以及豐富的漏洞資源庫，漏洞庫15000條4）高效的掃描效率和漏洞信息的準確識別和判斷5）多種探測機制及登錄掃描滿足客戶保密需求03操作系統(tǒng)數(shù)據(jù)庫網(wǎng)絡設備手機......展示掃描漏洞對比系統(tǒng)漏洞掃描Web數(shù)據(jù)掃描解決修改方案綜合性、專業(yè)性的整體評估報告：前后數(shù)據(jù)掃描報告漏洞對比，舊漏洞與新漏洞進行對比呈現(xiàn)，讓客戶了漏洞最新情況系統(tǒng)漏洞與Web數(shù)據(jù)漏洞實時呈現(xiàn)漏洞提供解決修改方案，輔助客戶了解漏洞情況，輔助客戶快速修改漏洞多格式報告呈現(xiàn)，提供報表定制服務，支持WORD、EXCEL、HTML價值網(wǎng)站監(jiān)管者1網(wǎng)站運維者2網(wǎng)站開發(fā)者3掌握網(wǎng)站的風險狀況，統(tǒng)計數(shù)據(jù)。發(fā)現(xiàn)漏洞，