中新漏洞扫描系统

中新金盾漏洞扫描系统产品介绍ZX-Scancer基于中新网安自主ZXOS操作系统的综合漏洞发现与评估系统，深入检测系统和网站中存在的漏洞和弱点，同时提供整改方法和建议，帮助修补漏洞、全面提升整体安全性。中新网络信息安全股份有限公司CHAPTERONE背景介绍Backgroundintroduction我国网站发展现状123网站具备重大影响力政府网站已经成为社会信息的权威来源，成为公众和媒体了解政府的重要渠道和窗口。网站承担重要责任并包含重要数据很多政府的工作动态、政策文件、审批事项、财政预决算、“三公”经费等信息均通过政府网站发布。网上纳税、网上信访、在线访谈、网上挂号…网站大量开办中国网站总数为423万个，较2014年增长了88万，年增长率达到26.3%。同时，中国网页数量首次突破2000亿。——《第37次中国互联网络发展状况统计报告》网站定义：宣传、各种业务系统、内网HTTP传输的系统，均属于网站范畴。四部委联合发文加强网站治理中央网信办<1号文>2014.5.9公安部网站大检查2013.9结论：5.2万网站，76%以上网站存在安全隐患，40%网站可以被拿到控制权中央网信办、中编办<69号文件>2014.11.242015.9.3国家“9.3”阅兵，30%左右重要政府网站在阅兵当天关闭，包括大量央企、省级门户网站。2014.10.18：香港占中事件，匿名组织对国内攻击。监测报告：55%左右政府网站存在安全隐患！过半高校网站存在安全漏洞,更有20%的高校官网已经被黑客入侵篡改。公安部（执法）、中央网信办（起草）、中编办、工信部<2562号文件>俗称四部委文件2015.9.30四部委文件核心解读（一）落实网站开办审核工作（二）开展网站统一标识工作确保上线网站统一标识并办理网站备案手续；对已经投入运行的网站进行梳理。（三）开展网站群建设工作保障网站群建设经费，将分散的小网站归并为网站群，对网站进行统一管理、统一防护、统一监测（四）全面加强党政机关、事业单位和国有企业网站安全保护工作加强网站安全监测、测评和检查，查找网站安全隐患并及时整改落实网站防攻击、防篡改、防挂马等关键技术防范措施必须按照等保制度要求，开展定级（五）全面加强党政机关、事业单位和国有企业网站安全监测、应急处置和责任追究网站遭攻击篡改，要第一时间向行业主管（监管）部门报告并启动应急预案，同时向受理备案的公安机关报案，开展应急恢复安全事件频繁发送安全事件频繁发送CHAPTERTWO需求分析Requirementanalysis安全事件频繁发送网站大量被篡改、被挂马、被盗窃；网站早期被植入木马，无法正常清除；传统的安全设备对Web层面的安全鞭长莫及；网站架构复杂，管理员在可用性和安全性中间不断的折中。网站安全问题020103管理难度大传统的FW、DDoS、IPS、UTM、NGFW对Web层面的安全鞭长莫及；部署WAF，随着安全技术发展，WAF不能及时更新特征库，常常被黑；浙江下沙区、北京语言大学等事件；网站早期被植入木马，现有漏洞扫描产品因为天然技术原因，无法正常清除,比如中信集团、北工大；网站数量众多，管理成本高责权利不好界定，“网络中心”“信息中心”成为替罪羊，导致积极性不高私搭乱建现象严重，不易检测退运的网站，因为运营和安保属于不同部门，因此常常成为孤岛网站类别种类多院系众多，部门众多，网站需求不一致网站开发使用了不同时代的技术，管理员在可用性和安全性中间不断的折中科研需求更特殊，常常安全被牺牲；基于Web的教学系统、学籍管理系统、考试管理系统等关乎整个教学的安全性。防御防不胜防相关政策要求

2011年银监会《网上银行安全风险管理指引》——【2011】549号文第四十九条

商业银行应制定合理的网银系统安全测试计划、分配足够的资源验证安全质量，如对网银代码进行安全审查、对系统进行渗透性测试、对安全控制措施进行查验等，防范引入恶意代码或出现安全漏洞。

五十三条商业银行的网银系统在上线运行时，应针对网银的互联网环境依赖和外部威胁高的特性，在互联网接入点部署安全设备，如防火墙、WAF、DDoS防护等设备，并设置相应的安全规则，有效降低或消除安全风险。第五十八条

商业银行应每年定期组织网银系统的漏洞扫描和渗透性测试，并形成测试报告。对发现的安全隐患应及时进行修补或升级，确保网银的安全防护能力。《关于开展2012年通信网络安全防护检查工作的通知》工信部保函【2012】102号《中国移动网页安全漏洞扫描系统技术规范》中国移动【2010】《关于加强党政机关网站安全管理的通知

》2014年中网办1号文件《关于加强电信和互联网行业网络安全工作的指导意见》工信部保〔2014〕368号《关于进一步加强军队信息安全工作的意见》中央军委WASPTop10CHAPTERTHREE产品分析Productanalysis防火墙防火墙防火墙无法阻止从内部发起的攻击行为IP层TCP/UDP层应用层WEB2.0A检测网络层攻击BIP地址、端口等C对Web无防护IPS/IDSIDS是入侵检测系统，负责记录入侵行为

IPS是入侵防御系统，可以抵御部分对WEB应用的攻击IP层TCP/UDP层应用层WEB2.0IPS针对Web应用深度不够只检测已知协议UTMIP层TCP/UDP层应用层WEB2.0UTMUTM是一种宽泛的防御，集成防火墙，IDS/IPS，VPN，网关杀毒，反垃圾邮件等多种功能于一身。网络阻塞点A具备其他产品瓶颈B性能瓶颈NGFW正常：deletefromtable1wherename=‘John’越权攻击：deletefromtable1SQL注入：select*fromstockwherecatalog-no=''having1=1--'andlocation=1SQL越权、注入、内部直接连接、文件复制IP层TCP/UDP层应用层WEB2.0NGFW1.能够阻止部分SQL注入攻击、跨站攻击2.无法阻止内部对数据库的攻击产品分析技术原理工作机制不足传统网络防火墙网络层、传输层访问控制端口阻断UDP/TCP状态感知仅对网络层进行保护，不能对应用层保护传统入侵防御IPS基于规则的网络保护基于规则的检测阻断连接UDP/TCP状态感知分析深度不够不适应WEB2.0缺乏主动防御综合安全网关（UTM）下一代防火墙(NGFW)集成了IPS,AV，防火墙等多种安全功能HTTP/HTTPS应用保护URL标准化HTTP会话状态感知处理性能不足WEB分析深度不足缺乏主动防御Web应用防火墙HTTP/HTTPS应用保护URL标准化HTTP会话状态感知应用语境执行基于语境的正向安全模型自适应规则（学习能力）内容控制CHAPTERFOUR解决方案Solution一体化解决方案访问1.Web访问3.安全访问2.攻击行为上报0.定期安全巡检Web监控网页恢复报警、行为分析、数据挖掘、行为审计漏洞、内容、可用性、合规性检查业务维护WAF+扫描器方案CHAPTERFIVE产品介绍Productintroduction系统存在漏洞非开源操作系统主要是以微软的Windows操作系统。开源操作系统主要是以redhat、ubuntu的linux操作系统为主的群体大多开源与非开源操作系统或WEB服务器存在漏洞操作系统和应用漏洞能够直接威胁数据的完整性和机密性。流行蠕虫的传播通常也依赖于严重的安全漏洞。黑客的主动攻击往往离不开对漏洞的利用。开源与非开源操作系统等网络系统等存在漏洞WindowsLinuxAIXHPSolaris网络系统NetWareBSD路由器交换机防火墙手机网络设备存在漏洞网络设备存在安全漏洞，黑客可以利用漏洞。全球最大的网络基础服务主要是Cisco、Juniper、华为。在网络中除了传统的网络基础建设的设备外，还有很多安全设备。针对网络设备建设也使用系统组成的，如系统中存在安全漏洞，黑客可以利用漏洞实现攻击。给客户造成直接的经济损失或负面新闻。系统漏洞的危害Web服务器存在漏洞WEB服务器存在漏洞代码造成漏洞WEB服务器存在漏洞开发语言存在漏洞WEB服务器存在很多已知或未知的漏洞，漏洞不能及时发现并修改，黑客可以利用该漏洞进行攻击。很多的WEB网站开发者不注意安全规范，编写的代码不合规，容易造成安全漏洞，黑客可以利用该漏洞进行攻击。SCANSCANWebRAY一体化扫描系统是WebRAY技术研究团队多年深入研究当前各类流行Web攻击手段（如网页挂马攻击、SQL注入漏洞、跨站脚本攻击等）的经验结晶。通过本地检测技术与远程检测技术相结合，对您的网站进行全面的、深入的、彻底的风险评估，综合性的规则库（本地漏洞库、ActiveX库、网页木马库、网站代码审计规则库等）以及业界最为领先的智能化爬虫技术及SQL注入状态检测技术，检查应用和系统中存在的弱点和漏洞并给出详细的修复建议及方案。RayScan功能01SQL注入跨站脚本代码合规信息泄露......021）全方位多层次检测安全漏洞2）高效的爬虫检测技术以及本地安全检测（沙箱技术）3）全方位的网络对象支持以及丰富的漏洞资源库，漏洞库15000条4）高效的扫描效率和漏洞信息的准确识别和判断5）多种探测机制及登录扫描满足客户保密需求03操作系统数据库网络设备手机......展示扫描漏洞对比系统漏洞扫描Web数据扫描解决修改方案综合性、专业性的整体评估报告：前后数据扫描报告漏洞对比，旧漏洞与新漏洞进行对比呈现，让客户了漏洞最新情况系统漏洞与Web数据漏洞实时呈现漏洞提供解决修改方案，辅助客户了解漏洞情况，辅助客户快速修改漏洞多格式报告呈现，提供报表定制服务，支持WORD、EXCEL、HTML价值网站监管者1网站运维者2网站开发者3掌握网站的风险状况，统计数据。发现漏洞，