(精选文档)XXXX创新业务系统安全监测平台技术规范

1、QBXXXX公司发布201X-XX-XX实施201X-XX-XX发布XXXX创新业务系统安全监测平台技术规范V1.0XXXX Technical Specification ForSafety Monitoring Platform Innovation Service System（V1.0） QB/CU XXX-201X XX公司企业标准目 次目 次2前 言4XXXX创新业务系统安全监测平台技术规范v1.051 范围52 规范性引用53 缩略语和术语53.1 缩略语53.2 术语64 平台概述64.1 平台定位64.2 平台与其他平台关系74.3 平台功能结构75 平台功能85.1 引擎模

2、块数据层85.2 引擎模块能力引擎95.3 控制中心调度模块145.4 控制中心支撑能力模块145.5 控制中心门户175.6 平台自身安全性196 流程要求196.1 添加平台监测策略196.2 变更平台监测策略206.3 检测对象查询与管理216.4 检测任务执行流程217 接口要求237.1 接口描述237.2 业务系统扫描接口IF1247.3 与工单系统接口IF2（可选）247.4 与在信网关接口IF3247.5 发送邮件接口IF4247.6 库同步接口IF5247.7 与网管系统接口IF6248 平台性能要求248.1 处理能力248.2 可靠性要求278.3 安全性289 平台设备

3、的网管功能要求289.1 性能管理289.2 故障管理289.3 配置管理2910 平台设备的软、硬件功能要求2910.1 硬件要求2910.2 软件要求2911 平台设备的电源和环境要求3111.1 电源要求3111.2 接地要求3111.3 绝缘电阻3111.4 环境要求31前 言创新业务系统指XXXX新业务（非商用）平台和商用平台应用软件（包括：浏览类、视频类、音乐类等应用软件）。随着XXXX创新业务的不断发展，业务系统安全在业务开展中扮演重要角色，一方面，业务系统作为用户使用业务的重要媒介，承载关键用户数据，代表企业形象；另一方面，xx业务系统具有数量多、用户量大、访问量大、页面更新迅

4、速的特点，造成安全管理困难，安全事件只能事后补救，安全事件影响范围广等问题。201X年，XXXX创新业务系统多次被国家安全机构通报安全事件，包括跨站漏洞、SQL注入、远程代码执行等安全问题，也曾出现利用漏洞进行广告注入等损害用户体验的问题。XXXX现有安全管理手段主要包括，划分VLAN或网段、部署防火墙、部署IDS和IPS、部署防病毒软件、人工安全检查等方式。现有安全防护机制停留在网络级和系统级，对应用层安全关注不够，现有安全防护方式对防止注入攻击、跨站脚本攻击、挂马攻击等应用级安全问题还没有很好的手段。因此制定XXXX创新业务系统安全监测平台系列规范，为保护创新业务系统应用级安全提供有效手段

5、，并指导监测平台的建设和测试工作。本标准是XXXX创新业务系统安全监测平台系列规范系列标准之一。该系列标准包括（后续将根据实际情况补充）：1、QB/CU *-2013XXXX创新业务系统安全监测平台技术规范v1.02、QB/CU *-2013XXXX创新业务系统安全监测平台测试规范v1.0本规范提出单位：XXXX公司产品创新部本规范归口单位：XXXX公司技术部本规范主要起草单位：XXXX公司产品创新部、XXXXXXXX咨询有限公司本规范主要起草人： 本规范的修订和解释权属于XXXX公司。XXXX创新业务系统安全监测平台技术规范v1.01 范围XXXX创新业务系统安全监测平台针对创新系统，监测该

6、类系统网页篡改、网马、敏感字监测、漏洞监控、非法链接等问题，是解决应用级安全问题的有效手段。本规范规范了XXXX创新业务系统安全监测平台引擎功能、技术流程、平台接口、平台管理功能等。本规范作为XXXX创新业务系统安全监测平台系统规划、开发、测试、部署等工作的依据。2 规范性引用下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。序号版本规范名称发布单位1QB/CU 186-2011XXXX移动通

7、信网络短消息xx在信网关设备技术规范（V1.0）XXXX2RFC821SIMPLE MAIL TRANSFER PROTOCOL简单邮件传输协议RFC3 缩略语和术语3.1 缩略语下列符号和缩略语适用于本标准。序号缩略语英文全称中文解释1DDOSDistributed Denial of Service分布式拒绝服务2XSSCross Site Scripting 跨站攻击3SQLStructured Quevy Language结构化查询语言4CSRFCross-site request forgery跨站请求伪造5IDSIntrusion Detection System入侵检测系统6CV

8、ECommon Vulnerabilities and Exposures公共漏洞和暴露7OWASPOpen Web Application Security Project开放式Web应用程序安全项目3.2 术语3.2.1 SQL注入漏洞平台对提交的数据过滤不严格，恶意人员在访问网页时构造特定的参数实现对WEB系统后台数据库的非法操作。常用于非法修改动态网页数据或者获取后台数据库保存的敏感信息。3.2.2 Cookie注入漏洞平台对客户端的Cookie值处理不当，恶意人员在访问网页时构造特定的Cookie参数值实现对WEB系统后台数据库的非法操作。常用于非法修改动态网页数据或者获取后台数据库

9、保存的敏感信息。3.2.3 跨站攻击漏洞平台对提交的数据处理不当，恶意人员提交数据与服务器进行交互时,将恶意脚本隐藏在用户提交的数据中，实现篡改服务器正常的响应页面。常用于实现用户窃取敏感信息或者进行恶作剧。3.2.4 CSRF漏洞平台对部分操作处理不当，恶意人员可以利用他人的浏览器向系统发送请求,最后达到攻击所需要的操作行为。3.2.5 目录遍历漏洞平台的WEB Server配置不当，恶意人员可以直接遍历系统的目录获取系统敏感信息。3.2.6 网站信息泄漏平台的实现不当，恶意人员可以利用各种方式获取IP、系统类型、实现方法等网站的信息。3.2.7 管理后台开放平台的WEB Server配置不

10、当，可以从互联网上访问WEB系统的管理后台。3.2.8 认证方式不健壮平台认证方式不健壮，可以被绕过或者存有固定的用户帐号密码等。4 平台概述4.1 平台定位XXXX创新业务系统安全监测平台（以下简称“监测平台”或“平台”）构建了篡改、网马、敏感字、漏洞等监测引擎，实现门户7*24小时实时监控，帮助业务系统修正安全问题，对创新业务系统进行日常化的安全监管，形成长效机制，并能够实现将监管任务进行统一管理，满足大批量业务系统任务管理等。其主要特点为：1. 独立于业务平台部署，对现网结构无影响； 2. 监测平台以用户和攻击者的视角排查问题，可以自动化、不间断的扫描系统问题并迅速作出反应。在攻击者发现

11、漏洞前先修复，在用户受侵害前先补救；3. 实现事前、事中、事后全流程的门户安全监控的全流程监测。 4.2 平台与其他平台关系 监测平台与业务系统连接，扫描篡改、网马、敏感字、漏洞、非法链接等问题，对业务系统可用性进行监测；监测平台提供库文件更新接口，用于与管理平台对接，在线获取库文件的更新。管理平台由系统提供商负责提供；监测平台与工单系统连接，在发现业务系统问题后，以工单的形式将问题流转给相应负责人处理，同时对处理结果反馈确认，形成闭环处理流程；监测平台与在信网关连接，在发现业务系统问题后，向监测平台管理员和相应问题业务系统管理员发送报警；监测平台与邮件系统连接，在发现业务系统问题后，向监测平

12、台管理员和相应问题业务系统管理员发送邮件报警，同时发送问题的详细信息；监测平台与网管系统连接，实现对本平台进行管理。4.3 平台功能结构监测平台分为控制中心和引擎模块两大部分，各设备商可根据自身产品情况，独立部署或合设，其中：控制中心：负责策略制定，分派扫描任务给各引擎模块，并收集处理结果，集中展现、告警。可与多台引擎连接，可实现集群部署，多地部署，最大限度的节省设备资源；引擎：负责扫描业务平台安全漏洞，并将结果反馈给控制中心。 其中控制中心主要能力包括：门户：供平台安全管理员、总部安全管理员使用，用于制定扫描策略，查看扫描状态和结果，并查看平台对于业务系统安全问题的统计分析；支撑能力：平台的

13、主要支撑能力，用于发出事件告警、策略配置的管理、扫描引擎提供的结果管理与分析；调度：该模块用于多个引擎模块的调度，分配扫描任务，汇总扫描结果。其中引擎模块主要能力包括：五大引擎：用于扫描业务系统的安全问题。扫描策略和任务的具体内容，由控制中心下发；数据层：用于存储和管理用于匹配安全问题的特征库，包括敏感字库、网马特征库、漏洞特征库、防篡改特征库。5 平台功能5.1 引擎模块数据层5.1.1 数据内容平台的主要数据类型包括：漏洞特征库:用于匹配和检测应用系统的WEB网页代码、中间件、操作系统中的漏洞，该特征库记录漏洞属性特征（如编号、名称、危害级别、影响平台等）、漏洞识别特征（漏洞代码特征、检测

14、方式等）以及该漏洞如何被修复（如更新补丁、修改代码建议）；挂马特征库：用于匹配和检测业务系统插件中的木马、后门等恶意程序或脚本，该特征库记录恶意软件或脚本的属性、恶意行为、识别方式、以及修复建议；敏感字库：用于检测监测站点内容、文字，包括政治、色情、低俗、诈骗、虚假等不符合国家政策法规要求的敏感内容，从而有效防止不良信息扩散，避免法律风险；防篡改特征库：被监测系统的门户框架特征，通过扫描爬取将框架特征形成特征库，并依据该特征库对比变化，以检测该页面是否被篡改。5.1.2 库命名要求平台应能对不同引擎的库进行汇总与管理，采用CVE（CNVD）、OWASP（WASC）分类及编号作为标识。XXXX创

15、新业务系统安全监测平台支持将不同检测工具提供的描述信息（示例如下）进行汇总与更新，若已有CVE、OWASP等公开的编号及分类，按已有类型进行处理；对自定义/未公开的漏洞，参考国家安全组织命名方式自定义。库中信息至少包括：来源、编号、分类、危险级别、影响平台、评分、国际组织漏洞和木马编号、详细描述、修补建议、参考网址。平台应提供单独的管理界面支持对库进行管理，包括增加、删除、修改（漏洞描述、漏洞级别、加固建议等）。漏洞、木马等管理可由安全专家、平台安全管理员发起，最终由总部安全管理员确认。对已发现的漏洞、木马等，最终验证报告需标明验证结果，包括：未验证、已验证（误报、疑似、确认）。5.1.3 数

16、据同步和更新系统可自动判别是否需要进行软件或特征库的升级，支持漏洞特征库、网马特征库、敏感字库、防篡改特征库在线更新和手动更新，支持对低危险级别漏洞、网马特征等的定期更新，支持对重大安全事件、高危害漏洞、网马特征等的临时更新。在业界（安全厂商、设备厂商以及行业协会等）发布新的漏洞一周内应提供特征库升级。软件或特征库升级后不影响正常功能的使用，平台配置应保持不变，原有策略依然能生效。5.2 引擎模块能力引擎5.2.1 漏洞扫描模块漏洞扫描模块，能够遍历目标系统的页面、插件，及其运行的操作系统、中间件，依据系统制定的扫描策略，排查目标站点漏洞。 扫描范围XXXX创新业务系统安全监测平

17、台必须对系统页面进行扫描并发现安全漏洞，扫描的范围包括但不限于下列内容： 静态网页； 动态网页； 网页目录； 页面中的图片； 页面中的Flash。上述内容在基于HTTP和HTTPS的不同访问方式时，平台都能够进行正常扫描。XXXX创新业务系统安全监测平台须支持扫描应用ASP、JSP、PHP、HTML等技术开发的WEB系统，支持扫描的WEB系统为运行在各类WEB服务器上的系统，包括但不限于IIS、WebLogic、WebSphere、Apache、Tomcat等。 检测能力（1）用户接口界面XXXX创新业务系统安全监测平台须为系统管理和漏洞扫描用户分别提供友好、灵活的中文界面。（2

18、）URL发现URL发现模块主要功能是通过一个网页(例如网站首页)，能够发现所有该网页链接到的网页的URL。须能够发现的URL包括在网页中出现的网页的完整的URL、通过各种计算得出的URL、以及各种跳转的URL等。（3）漏洞扫描依据一定的策略，针对发现的URL进行扫描以确认是否存在策略描述的相应漏洞。（4）漏洞验证对于已经发现的漏洞，可以依据用户的选项进行验证。（5）安全管理安全管理须具备帐号管理功能，能够为用户提供权限管理，依据域名、网站目录等方式管理用户的扫描等操作权限，并同时具备敏感操作日志审计功能。要求漏洞扫描引擎具备如下功能。（1）第三方插件检查功能应能检测出系统所用的第三方插件的版本

19、对应的漏洞，例如ewebeditor、fckeditor、kindeditor、Webhtmleditor、Freetextbox、Cute Editor等，根据使用的版本是否有存在漏洞给出相应的结果和提示。第三方插件的信息果（插件类型、版本号等）应作为web网站的信息进行上报，并由远程检测平台汇总到测试对象管理中，并作为新的类型。（2）系统开源性检查应能够检测出被检测的系统开源程序，例如discuz、phpwind等各类开源建站程序，如果采用开源程序开发的系统，结合版本号给出存在的相应漏洞。开源程序的名称及版本应作为服务类型纳入测试对象的管理中。测试工具应能够根据开源程序的特性，去检测默认的

20、管理后台、帐号、密码、数据库路径、数据库帐号和密码等是否存在。（3）web页面模糊探测功能。（可选）支持通过已有的URL和字典库，对可能存在漏洞的URL进行探测。（4）网页安全漏洞验证监测平台须提供安全漏洞验证的功能，并支持手工配置验证参数，直观地向用户展现系统漏洞。具体包括： 能够调用其他浏览器或者用自带的浏览器验证跨站攻击漏洞、目录遍历、管理后台泄漏等安全漏洞； 能够可配置地自动通过SQL注入点获取后台数据库的相关信息（可选）。XXXX创新业务系统安全监测平台须能够检测出常见的网页系统漏洞，包括但不限于：（1）SQL注入漏洞XXXX创新业务系统安全监测平台须能够检测系统中存在的各种SQL注

21、入漏洞，特别是基于GET、POST方式提交的至少包括字符、数字、搜索等的注入漏洞，同时应支持各种注入语句的变形及其编码形式。平台应能绕过网页系统中实现的基本的SQL注入过滤检测机制。（2）Cookie注入XXXX创新业务系统安全监测平台须能够检测系统中存在的基于Cookie方式提交的至少包括字符、数字、搜索等的注入漏洞，同时应支持各种注入语句的变形及其编码形式。平台应能绕过基本的Cookie注入过滤检测机制。（3）跨站攻击XXXX创新业务系统安全监测平台须能够检测系统中存在的基于GET、POST方式的跨站攻击漏洞，并能检测其各种变种形式及编码形式。（4）CSRFXXXX创新业务系统安全监测平台

22、须能够检测系统中存在的CSRF漏洞。（5）目录遍历XXXX创新业务系统安全监测平台须能够检测常见的由于WEB Server的管理配置不当而存在的网页目录遍历漏洞。（6）网站信息泄漏XXXX创新业务系统安全监测平台须能够检测常见的由于WEB Server的管理配置不当而存在的网站信息泄漏漏洞。（7）管理后台泄漏XXXX创新业务系统安全监测平台须能够检测各种常见的WEB Server的管理后台是否对外开放，如TOMCAT、WebLogic等。（8）认证方式不健壮XXXX创新业务系统安全监测平台须能够检测一些常见的认证方式不健壮漏洞，包括但不限于各种登录绕过、常见的帐号、弱口令等。 检

23、测结果要求对于扫描到的每一个漏洞须包括如下内容： URL； 漏洞名称； 严重性级别； 漏洞类型； 漏洞描述，包括出现漏洞的代码，及其带来的危害等； 完整的改进建议，如代码修订方法、建议部署外置安全设备的信息等等。5.2.2 挂马监测模块挂马检测模块用于检测系统中嵌入的木马、后门等恶意程序或脚本，采用爬虫技术对系统页面进行爬取，采用特征分析和沙箱行为分析对系统进行木马监测，从而实现发现和定位系统网页木马并及时消除。 检测范围能够检测html、asp、.net、php、java、jsp等程序语言编写的系统。不仅能识别针对IE系列浏览器的恶意脚本，也能识别针对Firefox、chrom

24、e等浏览器的恶意脚本。不仅能够检测明文的恶意脚本，而且还能够检测经过各种变形的恶意脚本，具体包括：代码加密、可疑shellcode、js代码混淆、ASCII转换、UNICODE转换、BASE64转换、MD5加密、URL转换等变形方法（本条可选）。 检测能力（1）检测方式采用沙箱技术与脚本特征相结合的方式，对系统的恶意脚本进行检测。沙箱检测技术工作在操作系统API层，当发现恶意程序调用恶意API，即认为是恶意脚本；脚本特征检测方法工作在代码层，匹配恶意脚本的文本特征。设备应支持采用两种方式进行综合检测的能力。（2）爬虫能力能够限定爬取的深度以及爬取的最大页面数量可配置且无限制。挂马

25、检测工具须能够发现系统中的各种URL，包括：a) 解析JavaScript等脚本而获得的URL；b) 执行JavaScript等脚本而获得的URL；c) 系统网页文件包括的URL。（3）识别能力不仅能够检测已知恶意脚本，而且能够对可疑行为的识别来检测未知的恶意脚本；对于已知的恶意脚本能够报出对应的CVE信息、控件信息、链接信息以及恶意代码内容等信息；对于未知的恶意脚本能够报出恶意行为类型、链接信息以及恶意代码内容等信息。至少能够识别2001年到2013年间的所有可被利用的CVE漏洞的挂马，包括利用IE、FireFox以及各种插件的CVE漏洞挂马，且可以识别每种挂马漏洞的变形脚本。（4）安全漏洞

26、验证挂马监测模块须提供安全漏洞验证的功能，并支持手工配置验证参数，直观地向用户展现木马或漏洞。具体包括：能够调用其他浏览器或者用自带的浏览器验证安全漏洞；能够直接展示木马信息。（可选）（5）配置管理扫描配置能够作为模板文件进行导入、导出，模板中可包含的内容包括：网络配置：支持代理与非代理两种方式爬取；检测方式：支持漏洞优先和页面优先两种模式；检测策略：支持对检测的漏洞进行配置；检测范围：支持对检测范围进行配置；检测周期：可自定义每次检测间隔时间。 检测结果管理对于扫描到的每木马须包括如下内容： URL； 木马名称； 严重性级别； 木马类型； 木马描述，包括出现木马的代码、中间件，

27、及其带来的危害等； 完整的改进建议，如代码修订方法、建议部署外置安全设备的信息等等。（可选）5.2.3 篡改监测模块篡改检测模块支持通过远程爬取的方式对系统页面进行获取，并对是否遭受篡改进行检测。检测方式采用特征值比对方式，检测内容包括页面整体内容遭受篡改以及页面嵌入不信任系统的链接等。 检测范围能够检测html、asp、.net、php、java、jsp等程序语言编写的系统。 检测能力（1）检测方式支持特征值比对方式。（2）爬虫能力能够限定爬取的深度以及爬取的最大页面数量可配置且无限制。网页篡改模块须能够发现网页系统中的各种URL，包括： 解析JavaScript

28、等脚本而获得的URL； 执行JavaScript等脚本而获得的URL； 网页文件包括的URL。（2）识别能力能够通过特征值比对的方式识别页面内容的恶意篡改，可识别的篡改行为至少包括如下方式：a）页面替换。替换行为包括页面被完全替换、页面内容被完全删除、页面结构变化超过阈值（阈值可设置）；b）页面局部内容被修改。页面修改行为包括：页面变化超过阈值（阈值可设置）、有暗链（包括通过CSS、偏离页面可显示范围、修改滚动信息、颜色与背景相同等方式）、黑链、外链、黑客的留言或者签名（如hacked by someone）。（4）篡改内容展示篡改监测引擎须提供被篡改页面比对展示的功能，并直观地向用户展现篡改

29、前后的内容。具体包括： 展示篡改前后的内容对比情况； 说明篡改的类型及可能的原因。（5）配置能力检测配置能够作为模板文件进行导入、导出，模板中可包含的内容包括：网络配置：支持代理与非代理两种方式爬取；检测范围：支持对检测范围进行配置；检测周期：可自定义每次检测间隔时间。（6）支持断点续扫功能。 检测结果管理对于扫描到的每一个篡改行为须包括如下内容： URL； 篡改的内容； 篡改行为类型； 严重性级别； 完整的改进建议。5.2.4 敏感内容监测模块监测站点内容、文字，发现内容中包含的政治、色情、低俗、诈骗、虚假信息等不符合国家政策法规要求的敏感内容，从而有效防止不良信息扩散，避免法

30、律风险。 检测范围能够检测html、javascript等程序语言编写的系统。能够检测asp、.net、php、java、jsp等程序语言编写的系统。 检测能力（1）用户接口界面XXXX创新业务系统安全监测平台须为系统管理和漏洞扫描用户分别提供友好、灵活的中文界面，可以是B/S模式的界面。（2）扫描能够限定爬取的深度以及爬取的最大页面数量可配置且无限制。（3）爬虫能力敏感内容引擎须能够发现网页系统中的各种页面内容，包括： 解析JavaScript等脚本而获得的页面内容； 执行JavaScript等脚本而获得的页面内容； 系统网页文件包括的URL获取的内容。5.2.4

31、.3 检测结果对于扫描到敏感内容须包括如下内容： 系统； URL； 具体内容。并支持由管理员进行查看，并确认该内容是否为敏感内容。管理员可对发现非敏感信息进行主动忽略。5.2.5 可用性监测模块可用性监测模块，可以监测到域名劫持、DNS中毒、ISP线路等原因导致的系统可用性问题。防止业务中断、降低访问延时，保证服务质量。可用性监测模块，通过定期获取业务系统页面等，判断业务是否可用。当获取页面失败后，应能够进行确认和验证，并能够提供告警能力，同时监测页面获取延时，能够对访问延时问题告警。5.3 控制中心调度模块5.3.1 引擎调度模块该模块负责处理由管理员录入的扫描策略和计划，合理控制各引擎模块

32、的负载，并将策略下发给引擎模块。一台控制中心设备支持多引擎模块的接入，接入数量不低于10台。5.3.2 扫描结果的接收和汇总控制中心能够汇总各引擎模块任务执行情况，任务处理结果，及统计信息，并能够将该信息给同步给结果分析和报表展现模块，进行集中的报表处理。5.4 控制中心支撑能力模块5.4.1 安全扫描策略配置XXXX创新业务系统安全监测平台的扫描配置能够作为模板文件进行导入、导出，包括网络配置、扫描登录管理、扫描选项、扫描策略、扫描范围等。 网络配置功能XXXX创新业务系统安全监测平台须能够配置系统所使用的网络，包括：（1）网络连接方式XXXX创新业务系统安全监测平台能够配置为

33、至少下列两种网络连接方式： 直接连接； 使用代理服务器。在配置为使用代理服务器时，须能够指定代理服务器的IP地址以及端口，以及支持代理服务器的用户名和密码的认证方式或者是域认证方式。在配置代理服务器后，须能够检测到代理服务器的连接状况。（2）网络超时时间XXXX创新业务系统安全监测平台须能够对扫描中的网络超时时间进行配置。 扫描范围配置XXXX创新业务系统安全监测平台须能够配置扫描的范围，扫描范围至少包括下列几类： 当前URL(如，XX)； 当前域(当前URL所在域，如XX等)； 整个域(当前URL所在的二级域名，如)； IP地址。XXXX创新业务系统安全监测平台能够配置为对IP

34、地址、多个域名、多个URL或者一个URL列表进行扫描，并且可以配置为多个域名顺序扫描或者同时扫描。平台在扫描范围配置后扫描时须与权限管理保持一致，对于配置的扫描范围如果用户不具备权限，则不能进行该范围的扫描并给出相应警示信息。 扫描登陆管理在系统存在用户登录时，XXXX创新业务系统安全监测平台可以配置为下列方式： 不登录进行扫描； 录制登录过程进行扫描； 基于此前扫描保存的登录记录信息（如Cookie）进行扫描； 扫描中每次登录进行弹出提示。XXXX创新业务系统安全监测平台须能够配置为不扫描指定的URL或者是包括相关关键字的URL，例如登出相关的网页等。 扫描选项配

35、置XXXX创新业务系统安全监测平台须能够对扫描时开启的线程数目进行配置，并要对最大的线程数目进行控制，以免对系统自身以及扫描的WEB系统产生影响。监测平台须能够在扫描时配置下列两种模式的配置： 深度优先； 广度优先。监测平台须能够对扫描时的深度进行配置。监测平台须能够对每个URL最大扫描的次数进行配置。 扫描策略配置对所有的可检测对象类型都有对应的默认检测策略，并可以根据需要添加自定义检测策略，并支持在默认检测策略基础上生成自定义策略；支持策略的导入和导出功能；用户可定义检测范围、检测使用的参数集、检测并发数等具体检测选项；可配置网络超时时间。 扫描任务制定XXXX

36、创新业务系统安全监测平台须能够以任务的方式设定扫描的起止时间、域名列表、策略、扫描所需的门户的登录口令等，任务设定后须能够自动执行该任务。设置的任务须包括能够实现周期性自动扫描的功能。设置的多个任务、及任务中的多线程都能并行进行扫描。能够根据网络环境调整并发检测、网络延迟等任务参数。支持灵活的检测任务定制功能，检测产品至少支持检测任务的优先级、开始时间、周期类型及周期、检测策略等配置。可以修改、删除已定义的任务，并且可以在已定义的任务基础上衍生出新任务。支持对尚未执行的任务策略做二次编辑。 扫描结果管理功能XXXX创新业务系统安全监测平台须能够导入已经完成的扫描结果，并能够将新产

37、生的扫描与以前的扫描结果进行对比，分析其两次扫描结果的变化。对两次扫描结果进行分析，至少要对下列内容进行报表： 已经修补漏洞的URL； 未修补漏洞的URL； 新发现漏洞的URL。 扫描过程管理XXXX创新业务系统安全监测平台在扫描的过程中可以查看其进度情况，并支持任务停止、任务暂停、任务重新检测和断点续扫。当暂停后可以导出扫描结果，再次导入该扫描结果时能够在此基础上继续进行扫描。5.4.2 事件告警不同级别的安全事件的告警方式、告警内容 具备针对监测平台所有资产的安全预警功能，包括整体态势预警和重要漏洞预警功能； 整体态势预警可依据资产脆弱性（包括网络关键节点线路存在的脆弱性、关

38、键主机、服务的脆弱性、策略配置带来的脆弱性等）建立指标体系，依据脆弱性指标模型对整体态势进行评价、跟踪和预警； 重要漏洞预警包括较大范围存在的漏洞、新发现的高危漏洞、易被攻击利用的漏洞进行提示预警； 平台根据预警信息应具备下一步针对性检测任务的自动化建议，供管理员进行任务分配调度参考。5.4.3 日志管理 日志要求以下操作行为应有完整的日志记录，便于审计跟踪和分析： 用户账号的相关操作日志，如创建账号、删除账号、权限调整等； 平台所有用户的登录/注销日志； 检测操作日志（包括检测结果的查看日志）； 新增、删除、修改策略的操作日志； 系统运行日志，包括各模块工作状态、模块间通信状态

39、等； 产品升级日志； 其他使用日志，如任务定制、任务下发、任务删除和中止、生成报告、自动发送报告等。只有审计员才能查看日志审计数据，并且可灵活设置查看的数据类型、起止时间等参数。可以设定日志记录量的阀值，超过阀值自动报警。支持日志备份提醒功能，可按照时间阀值周期(天)或日志记录量阀值进行设置，超过阀值时提醒用户备份日志。支持syslog或FTP或TFTP等日志导出方式，日志内容至少包括事件发生时间、事件类别、事件描述、事件来源、用户账号等。检测结果及日志能够在线保存90天（含）以上，离线保存180天（含）以上。 日志审计要求XXXX创新业务系统安全监测平台日志功能必须记录如下事件

40、： 用户创建、删除、权限调整、修改密码； 增加、删除、修改URL资源列表； 用户登录情况； 任务定制情况； 报表查看情况； 扫描启动； 扫描结束； 扫描暂停； 扫描的URL； 用户登出； 扫描结果查看、下载操作。日志中须包含事件的发生时间、IP、用户帐号、操作类型等信息。5.4.4 检测结果分析与管理对于检测发现的漏洞按照检测URL+检测参数进行唯一性标识，同一检测URL但检测参数不同的，若检测发现的漏洞类型一致，认定为同一漏洞。对上述检测结果，应支持分类展示及查询统计功能。若一个检测对象经过多次或多个不同的检测模块检测，并将多次不同检测模块的检测结果进行整合分析与展现。支持通过检测对象、检测

41、日期（时间段）、检测结果、漏洞类型、漏洞名称等方式进行检测记录查询及导出。5.5 控制中心门户5.5.1 管理员用户管理应至少能够分高级管理员、操作员、审计员三类角色： 高级管理员能使用监测平台的所有完整功能，包括用户管理、系统管理等； 操作员（包括总部管理员、平台管理员、安全专家）只能制定和执行扫描任务，但没有用户管理和系统管理等权限，也不能查看除自己外的其他用户的操作记录； 审计员只能查看其他人员的操作记录，不能查看扫描结果、扫描报告，也不能查看或修改任何扫描配置信息。对于管理员、操作员和审计员至少采用一种身份鉴别方式（例如：用户名和口令）对其进行身份鉴别，并支持对用户口令强度的检查，拒绝

42、设置不符合强度要求的口令。可限定用户登陆的IP地址范围。应支持分权分域使用模式。 能够根据需要为不同的操作员用户设定不同的权限和管理域，如可扫描IP地址范围或对象类型、报告查看等。不同操作员之间不能横向查看对方所关注的扫描相关任何详情。5.5.2 管理门户要求XXXX创新业务系统安全监测平台须基于B/S模式为用户提供友好的简体中文操作界面，各种操作简单灵活。监测平台的管理界面应包括用户帐号管理、资源管理、系统状态管理等功能。监测平台的用户界面应包括的功能主要是定制任务、查看结果等，可以从互联网访问。采用图形化中文界面，界面友好，符合用户操作使用习惯。产品必须支持B/S架构，扫描过程中，用户可以

43、关闭浏览器，扫描任务保持在后台执行，并且可以重新通过打开浏览器查看后台扫描任务的实时扫描信息。能够对扫描结果、日志、扫描模板、任务参数、系统参数等数据进行备份，并支持备份的导出和导入操作。支持对扫描产品（被管引擎、控制台）的主要进程的运行状态进行管理监控的功能。5.5.3 统计分析 报表功能要求漏洞分析报告支持在线浏览报告和离线打印报告两种方式。支持多种格式输出报表，报表格式有：HTML、WORD、EXCEL、XML等。基于各种字段灵活生成报表，报表中应该包含检测任务的详细信息，以及每个安全事件的IP、安全事件描述、风险级别、风险修复建议、帮助链接等信息。其中风险修复建议需要准确

44、全面（对于可能为误报的漏洞，能给出提示，并提供排查方法），帮助链接可以指向特定的信息站点，如CVE漏洞描述、补丁下载官方站点等。报告中的漏洞应参照CVSS国际标准给出漏洞安全威胁级别评分。支持根据端口、漏洞、IP地址等关键字对主机信息进行查询。具有针对不同角色的默认报告模板，允许用户定制报告的内容和报告的格式。报表中对综述、主机、漏洞等信息进行分类显示；综述中应对风险类别和操作系统分布进行定量统计分析并展示；主机中应提供单主机的漏洞分布、风险值和风险等级信息，能够列出单主机的详细漏洞描述和可行的解决建议。支持自动报表功能，检测完成后可以自动生成报表，报告可以直接下载或以邮件形式自动发送到指定接

45、收人和邮件组。 报告生成方式XXXX创新业务系统安全监测平台须支持根据扫描任务发起人的角色，按照系统维护管理权限归属，生成发起人权限范围内已扫描分系统、分维护管理权限归属、分总部、业务平台等形成分系统报告、分部门报告、以及各种组合的汇总报告。XXXX创新业务系统安全监测平台需要针对设定的扫描列表中的各个系统分别提供Excel报表和Word、PDF格式的安全报告；须能对当次扫描列表中所有系统的报告合成汇总报告、并进行横向比较等；须能够对导入的其他系统的安全报表报告合成汇总报告、并进行横向比较等，横向比较的内容包括： 各个系统风险值及其系统排名； 各类型安全漏洞及其系统排名； 各个部

46、门（依据系统维护管理权限）的风险排名； 各个类型系统的风险排名。 报告主要内容XXXX创新业务系统安全监测平台须能够根据针对同一系统的多次扫描的报告合成汇总报告、并进行纵向比较等，纵向比较的内容包括： 取值范围为1100（100为最高风险值）的系统风险值； 各类型安全漏洞； 已经修补漏洞的URL； 未修补漏洞的URL； 新发现漏洞的URL；对于扫描到的每一个漏洞须包括如下内容： URL； 漏洞名称； 漏洞描述； 严重性级别； 漏洞类型； 完整的改进建议，如代码修订方法、外置安全设备等。XXXX创新业务系统安全监测平台须能够提供符合中国移动相关标准的基于XML的扫描结果。5.5.3

47、.4 报告数据分析方式XXXX创新业务系统安全监测平台安全报表、报告须采用饼图、柱状图、直方图（也成为柱状图）、折线图等方式进行分析呈现。安全报告须能够根据系统性质、安全漏洞数量、利用难易程度等计算系统的风险值。5.6 平台自身安全性确保系统相关数据在存储和传输过程中的安全： 若XXXX创新业务系统安全监测平台集中部署分布使用，须对远程登录及管理信息进行加密传输，如B/S模式下的登录须采用HTTPS协议； XXXX创新业务系统安全监测平台须支持关键配置文件等的安全存储及加密传输； XXXX创新业务系统安全监测平台自身的关键配置文件加密保存并在应用时能进行完整性验证； 网页扫描中间结果、扫描结果

48、需加密保存，并禁止通过系统后台访问。6 流程要求6.1 添加平台监测策略添加检测对象工作由平台安全管理员发起，其流程描述如下：1) 平台安全管理员通过导入或手工添加方式添加被测系统类型（主机、URL/域名）、基本信息（IP、URL等）名称；若输入的IP为IP地址段，系统应自动分解为独立IP信息；其中，系统类扫描以IP为唯一标识；Web类扫描以URL为唯一标识；2) 系统依据检测类型按模板自动生成推荐的检测策略信息，在未进行扫描前，支持通过手工输入或修改。系统策略制定状态变为待审批；3) 将检测策略信息提交总部安全管理员确认；4) 总部安全管理员确认；5) 确认完毕后，系统生成策略成果；6) 系

49、统按照检测策略，同步给引擎模块，引擎模块按配置执行。6.2 变更平台监测策略对流程描述如下：1) 当监测平台正在进行系统扫描中，控制平台能够查看扫描进度和状态信息；2) 平台管理员申请进行安全策略扫描；3) 系统将策略变更申请推送给总部管理员；4) 当平台管理员提交变更申请，但总部管理员没有审批通过的过程中，原有策略仍被执行；5) 总部管理员审核确认；6) 总部管理员审核通过策略；7) 控制中心中策略制定成功；8) 控制中心将策略分发给引擎模块，策略变更成果，并开始执行新策略。6.3 检测对象查询与管理1）总部安全管理员输入查询条件（可按检测类型、创建时间，负责人等，或默认全部）；2）系统生成

50、被测系统信息树形视图。对于URL，按域名嵌套关系进行树形排列；对IP地址，按A、B、C类地址段进行嵌套树形排列。6.4 检测任务执行流程对流程描述如下：1) 平台按照管理员制定的策略执行扫描任务；2) 发现某业务平台安全问题；3) 判断此安全问题的种类、严重级别，判别是否需要安全专家进行确认（如敏感字、网页篡改需要人工确认），需要人工确认，转到步骤4，不需要人工确认且发现的问题为高级别安全问题，转到步骤5，不要人工确认且发现的问题为低级别安全问题，转到步骤6；4) 对于需要人工确认的安全问题，安全专家进行判断，确认安全问题的真实性、严重级别。对于低级别安全问题转到步骤6，也可根据实际情况忽略该

51、问题；5) 高级别安全问题，以短信、邮件等形式，第一时间发送给业务平台管理人员、监测平台安全管理员、总部安全管理员；6) 低级别安全问题，以邮件形式告知平台安全管理员；7) 平台安全管理员，将详细的问题报告，告知总部安全管理员；8) 由总部安全管理员，通报形式告知业务平台管理员；9) 平台对于发现的安全问题，进行系统修补进度的跟踪，查看在规定的时间内是否得到解决。10) 如未得到解决，将通知平台安全管理员；11) 平台管理员将未按时解决的问题，汇总后通知总部安全管理员。7 接口要求7.1 接口描述7.1.1 业务系统扫描接口IF1该接口用于扫描业务系统的安全问题，通过互联网连接，获取门户页面，

52、或构建数据包的方式，检查门户页面、中间件、操作系统的问题。7.1.2 与工单系统接口IF2（可选）该接口用于将发现的安全问题，通过工单系统，流转给相关责任人。7.1.3 与在信网关接口IF3本平台通过此接口与在信网关连接，用于平台对于发现的业务平台安全问题与安全事件发出实时告警。7.1.4 发送邮件接口IF4本平台通过此接口，对于发现的业务平台安全问题与安全事件发出告警。7.1.5 库同步接口IF5平台通过本接口联机更新特征库文件，保证系统能够检测到最新的安全漏洞、安全事件。7.1.6 与网管系统接口IF6本平台通过该接口与网管系统连接。7.2 业务系统扫描接口IF1该接口用于扫描业务系统的安

53、全问题，通过互联网连接，获取系统页面或构建数据包的方式，检查门户页面、中间件、操作系统的问题。接口协议：HTTP、TCP。该接口具体协议由系统开发商自行实现，需要满足8.1节的性能要求。7.3 与工单系统接口IF2（可选）该接口用于将发现的安全问题，通过工单系统，流转给相关责任人。该接口为可选接口，待工单系统具备对接条件，适时开启。7.4 与在信网关接口IF3本平台通过此接口与在信网关连接，用于平台对于发现的业务平台安全问题与安全事件发出实时告警。接口协议：SGIP协议。具体要求参见QB/CU 186-2011 XXXX移动通信网络短消息xx在信网关设备技术规范（V1.0）。7.5 发送邮件接

54、口IF4本平台通过此接口，对于发现的业务平台安全问题与安全事件发出告警。接口协议：SMTP协议7.6 库同步接口IF5平台通过本接口联机更新特征库文件，保证系统能够检测到最新的安全漏洞、安全事件。接口协议：线上更新接口，由系统开发商自行约定。本接口需支持以下能力： 支持增量/全量更新； 支持定期的库文件更新； 当发生重大安全事件时，支持紧急安全更新； 具备库文件效验机制，保证更新后的内容正确性与可用性。7.7 与网管系统接口IF6本平台通过该接口与网管系统连接。接口协议：SNMP V1/V2/V3。8 平台性能要求8.1 处理能力8.1.1 系统性能 漏洞扫描模块单台设备可监测的域名数量不限制。扫描速度要求每天至少10万个页面（其中50%静态页面）。本地存储的任务数量（页面统计）至少30万个页面。 网页篡改监测模块单台设备每小时监测页面数：10000个（其中50%静态页面）。结果的存储