10web漏洞掃描系統(tǒng)產(chǎn)品白皮書

1、目錄一.概述1二.安全管理的. 3三.綠盟WEB 應(yīng)用掃描系統(tǒng)5產(chǎn)品體系結(jié)構(gòu)5產(chǎn)品特性7全面Web 應(yīng)用安全評估7快速穩(wěn)定掃描7安全閉環(huán)管理8全面支持虛擬化環(huán)境8典型應(yīng)用方式8獨(dú)立部署8分布式部署9與WAF 聯(lián)動(dòng)部署10虛擬化部署11四. 結(jié)語11一.概述近年來，Web 應(yīng)用系統(tǒng)隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展呈現(xiàn)出式的增長。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心(IC)發(fā)布的2014 年第 33 次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)顯示，截至2013 年 12 月底，中民數(shù)量達(dá)到 6.18 億，中站總量近 350.7 萬個(gè)。Web 應(yīng)用系統(tǒng)已廣泛應(yīng)用于各個(gè)公共領(lǐng)域（政治、經(jīng)濟(jì)、文化、國防等）以及個(gè)人領(lǐng)域、交流、溝通等），其中

2、蘊(yùn)含了越來越多的經(jīng)濟(jì)價(jià)值，而 Web 應(yīng)用系統(tǒng)在被廣（的。從 2005 年到 2006 年跳躍泛應(yīng)用的同時(shí)，因其互聯(lián)、開放等特性，更容易式增加至今，每年發(fā)現(xiàn)的Web數(shù)量一直居高不下，這也是導(dǎo)致Web 應(yīng)用頻繁的重要原因。國家互聯(lián)網(wǎng)應(yīng)急中心（以下簡稱 CNCERT/CC）對當(dāng)前主要的事件進(jìn)行監(jiān)測統(tǒng)計(jì)，中站篡改呈增長態(tài)勢。2013 年被篡改中站數(shù)量為 24034 個(gè)，較 2012 年的16388 個(gè)大幅增長 46.7%。中站被篡改數(shù)量的月度統(tǒng)計(jì)情況如圖 1-1 所示。圖 1.12013 年被篡改中站數(shù)量月度統(tǒng)計(jì)1)數(shù)據(jù)庫被拖庫導(dǎo)致用戶、信息、等?。?)被掛馬、被篡改導(dǎo)致信譽(yù)受損、資源被，以及給該的

3、用戶帶來被甚至成為僵尸主機(jī)的風(fēng)險(xiǎn)。從 CNCERT 發(fā)布的中國互聯(lián)網(wǎng)可看到，2013 年由 CNCERT/CC 主辦的共享（CNVD）新增收錄信息系統(tǒng)安全7854 個(gè)，較 2012 年收錄數(shù)量息增長 15%。2013 年CNVD 收錄高危2607 個(gè)（占 33.2%）、中危4467 個(gè)（占 56.9%）、低危780 個(gè)（占 9.9%）。各級別比例分布統(tǒng)計(jì)如圖 3-4 所示。圖 1.2 2013 年 CNVD 收錄按級別分布情況如何應(yīng)對頻頻發(fā)生的Web 應(yīng)用安全事件，給部門及其安全部門帶來新的挑戰(zhàn)。二.綠盟 WEB 應(yīng)用掃描系統(tǒng)若能夠主動(dòng)發(fā)現(xiàn)的風(fēng)險(xiǎn)隱患，并及時(shí)采取修補(bǔ)措施，則可以降低風(fēng)險(xiǎn)、減少損

4、失。綠盟科技針對該需求，推出了綠盟 WEB 應(yīng)用掃描系統(tǒng)（NSFOCUS Web VulnerabilityScanning System 簡稱：NSFOCUS WVSS），該系統(tǒng)可自動(dòng)獲取包含的所有資源，并全面模擬的各種行為，比如按鈕點(diǎn)擊、鼠標(biāo)移動(dòng)、表單復(fù)雜填充等，通過內(nèi)建的“安全模型”檢測Web 應(yīng)用系統(tǒng)潛在的各種，為用戶構(gòu)建了從急到緩的修補(bǔ)流程，并通過與NSFOCUS WAF 的聯(lián)合形成了“自動(dòng)修補(bǔ)”的機(jī)制，能夠有效解決安全管理的，也能較好滿足安全檢查工作中所需要的高效性和準(zhǔn)確性，以實(shí)現(xiàn)安全管理水平的。全面深入的Web 應(yīng)用安全檢測，檢測范圍覆蓋了各企事業(yè)的門戶、電子政務(wù)的互動(dòng)和政務(wù)信息

5、公開服務(wù)系統(tǒng)等，覆蓋了、內(nèi)容管理系統(tǒng)（CMS）和電子商務(wù)應(yīng)用系統(tǒng)等。采用高效穩(wěn)定的掃描引擎，基于系統(tǒng)，通過內(nèi)核級優(yōu)化，實(shí)現(xiàn)了單設(shè)備的快速、穩(wěn)定掃描；同時(shí)，通過 URL 級別的負(fù)載均衡技術(shù)，以集群的方式實(shí)現(xiàn)了多設(shè)備間的性能疊加和設(shè)備冗余的效果，從而實(shí)現(xiàn)了面向“海量”級別的快速穩(wěn)定的掃描。通過的“安全模型”與 NSFOCUS WAF 無縫對接，實(shí)現(xiàn)了從發(fā)現(xiàn)到防護(hù)的快速響應(yīng)，達(dá)到了“自動(dòng)修補(bǔ)”的效果，極大縮減了從發(fā)現(xiàn)到修補(bǔ)期間所的風(fēng)險(xiǎn)“空窗期”。2.1 產(chǎn)品體系結(jié)構(gòu)NSFOCUS WVSS 是基于 Web 的管理方式，用戶使用瀏覽器通過 SSL 加密通道和系統(tǒng)進(jìn)行交互，方便用戶管理。NSFOCUS

6、WVSS 采用模塊化設(shè)計(jì)，整個(gè)系統(tǒng)可分為：UI、web應(yīng)用服務(wù)、掃描引擎、狀態(tài)引擎、調(diào)度引擎、升級系統(tǒng)、系統(tǒng)、報(bào)表系統(tǒng)和基礎(chǔ)系統(tǒng)。圖 3.1 NSFOCUS WVSS 系統(tǒng)架構(gòu)主要模塊說明：a)調(diào)度引擎模塊該模塊采用內(nèi)置的算法實(shí)時(shí)系統(tǒng)任務(wù)的運(yùn)行情況，并依據(jù)結(jié)果對各任務(wù)進(jìn)行優(yōu)化和調(diào)整，以達(dá)到系統(tǒng)資源的充分利用和任務(wù)的高效運(yùn)行。b)掃描引擎模塊該模塊根據(jù)配置的策略，對被掃描站點(diǎn)進(jìn)行全面準(zhǔn)確的 web和網(wǎng)頁掛馬檢測。c)Web 應(yīng)用模塊該模塊通過友好的UI 設(shè)計(jì)為用戶提供了便捷的操作，同時(shí)還負(fù)責(zé)對掃描結(jié)果的數(shù)據(jù)分析和呈現(xiàn)。d)基礎(chǔ)系統(tǒng)該模塊采用操作系統(tǒng)，通過內(nèi)核級優(yōu)化，為系統(tǒng)的高性能、高穩(wěn)定性和安全

7、性提供了基礎(chǔ)。2.2 產(chǎn)品特性2.2.1 全面 Web 應(yīng)用安全評估NSFOCUS WVSS 可對包括門戶、電子商務(wù)、網(wǎng)上營業(yè)廳等各種 Web 應(yīng)用系統(tǒng)進(jìn)行安全檢測，同時(shí)其全面性還體現(xiàn)在以下兩個(gè)方面：檢測范圍：覆蓋 Ajax、Flash、JavaScript 等Web2.0 環(huán)境支持、ASP、.NET 和 Java 等編程語言支持 IIS、Apache、Nginx、Tomcat 等Web 服務(wù)器支持各種靜態(tài)頁面（后綴名為：html、htm 等）和動(dòng)態(tài)頁面（后綴名為：asp、jsp、asp、jsp、aspx、phtml、shtml、xhtml、do 等）支持 FlashTLM、檢測、復(fù)雜字符編碼

8、、會話令牌管理、多種認(rèn)證方式（、SSL 等）支持掃描，HTTPS 掃描等風(fēng)險(xiǎn)分析：支持 WASC 的分類，以及按照嚴(yán)重性分高中低三個(gè)等級進(jìn)行風(fēng)險(xiǎn)分析支持兩個(gè)版本的 OWASP TOP10分類和風(fēng)險(xiǎn)分析，為用戶提供的分析結(jié)果支持風(fēng)險(xiǎn)的對比分析和趨勢分析，既可以幫助用戶進(jìn)行多站點(diǎn)差異化風(fēng)險(xiǎn)管理，還可以助其更準(zhǔn)確的了解和分析站點(diǎn)的歷史風(fēng)險(xiǎn)狀況和未來的風(fēng)險(xiǎn)趨勢，提高風(fēng)險(xiǎn)管理的水平2.2.2快速穩(wěn)定掃描NSFOCUS WVSS 基于綠盟科技多年技術(shù)積累研發(fā)的基礎(chǔ)，采用系統(tǒng)，通過內(nèi)核級修改實(shí)現(xiàn)了多任務(wù)、多線程、數(shù)據(jù)、數(shù)據(jù)等多方面的優(yōu)化，使系統(tǒng)相比使用第產(chǎn)品擁有更好的性能、穩(wěn)定性和安全性；同時(shí)通過URL 級

9、別的負(fù)載均衡技術(shù)，以集群的方式實(shí)現(xiàn)了多設(shè)備間的性能疊加和設(shè)備冗余的效果，實(shí)現(xiàn)了面向“海量”級別的快速穩(wěn)定的掃描。2.2.3安全閉環(huán)管理在安全管理時(shí)，往往因?yàn)槿肆Y源、代碼不可控、修補(bǔ)成本高等原因造成很難及時(shí)修補(bǔ)已發(fā)現(xiàn)的Web，這給企業(yè)帶來了風(fēng)險(xiǎn)。NSFOCUS WVSS 和NSFOCUS WAF使用的“安全模型”，形成聯(lián)合防護(hù)，通過 WVSS 向WAF 提供被防護(hù)的漏，WAF 以此為依據(jù)自動(dòng)生成防護(hù)策略應(yīng)用于被保護(hù)洞掃描，實(shí)現(xiàn)了“檢測”與“防護(hù)”的安全閉環(huán)管理。2.2.4 全面支持虛擬化環(huán)境虛擬化應(yīng)用業(yè)已成為 IT 技術(shù)的發(fā)展趨勢，隨著在數(shù)據(jù)中心，云計(jì)算，智慧城市，智慧園區(qū)等方面的應(yīng)用，如何有

10、效針對運(yùn)行于虛擬化環(huán)境的進(jìn)行安全管理成為急需解決。NSFOCUS WVSS 可完全支持虛擬環(huán)境下的部署和掃描，可輕松融入這些環(huán)境的安全管理。同時(shí)，NSFOCUS WVSS 無需安裝的虛擬化形態(tài)，相比一般產(chǎn)品，不僅具備了按需啟用的特性，還能避免因?yàn)橐劳械谒拗鞑僮飨到y(tǒng)而帶來的額外開銷，并且在穩(wěn)定性和性能上更具優(yōu)勢。2.3 典型應(yīng)用方式NSFOCUS WVSS 適用于各種，部署靈活簡單，只需要對目標(biāo)站點(diǎn)“網(wǎng)絡(luò)可達(dá)”即可進(jìn)行Web、掛馬等檢測，同時(shí)具備了豐富的部署應(yīng)用場景。2.3.1 獨(dú)立部署單臺 NSFOCUS WVSS 通過其多路掃描的特性，可以對的生產(chǎn)環(huán)境、發(fā)布環(huán)境和運(yùn)行環(huán)境進(jìn)行同步掃描，獲得匯

11、總、對比、負(fù)載均衡等由單路掃描無法獲得的特性。圖 3.2 NSFOCUS WVSS 獨(dú)立部署2.3.2 分布式部署NSFOCUS WVSS 通過分布式管理功能，可集中管理多臺 WVSS 設(shè)備，并支持“URL級別”的負(fù)載均衡技術(shù)，以實(shí)現(xiàn)性能疊加和設(shè)備冗余的效果，從而實(shí)現(xiàn)了面向“海量”級別的快速穩(wěn)定的掃描。圖 3.3 NSFOCUS WVSS 分布式部署2.3.3 與 WAF 聯(lián)動(dòng)部署為更好滿足運(yùn)維時(shí)的安全管理要求，NSFOCUS WVSS 通過的安全模型與NSFOCUS WAF 實(shí)現(xiàn)了無縫對接，形成聯(lián)合防護(hù)，通過 WVSS 向WAF 提供被防護(hù)掃描，WAF 以此為依據(jù)自動(dòng)生成防護(hù)策略應(yīng)用于被保護(hù)

12、的，實(shí)現(xiàn)了“檢測”與“防護(hù)”的安全閉環(huán)管理。圖 3.4 NSFOCUS WVSS 與WAF 聯(lián)動(dòng)部署2.3.4 虛擬化部署NSFOCUS WVSS 可完全支持虛擬環(huán)境下的部署和掃描，可輕松融入這些環(huán)境的安全管理。同時(shí)，NSFOCUS WVSS 無需安裝的虛擬化形態(tài)，相比一般產(chǎn)品，不僅具開銷，并且備了按需啟用的特性，還能避免因?yàn)橐劳械谠诜€(wěn)定性和性能上更具優(yōu)勢。宿主操作系統(tǒng)而帶來的額外圖 3.5 NSFOCUS WVSS 虛擬化部署三.結(jié)語隨著互聯(lián)網(wǎng)的高速發(fā)展，越來越多的行業(yè)通過互聯(lián)網(wǎng)為公眾提供信息以及數(shù)字服務(wù)，而隨著應(yīng)用的深入，越來越多的經(jīng)濟(jì)價(jià)值融入其中。在這個(gè)生態(tài)鏈中，安全保障業(yè)已成為重要的一環(huán)，如何保障數(shù)據(jù)的安全、如何保障業(yè)務(wù)安全、如何保障可用性安全均成為新的，同時(shí)每一個(gè)也擔(dān)負(fù)著