天镜Web应用检测系统产品白皮书V1.1(启明).doc

2015 产品白皮书 天镜Web应用检测系统 用安全云实现云安全 1 前言 1.1 版权声明 北京启明星辰信息安全技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。 1.2 免责条款 本文档依据现有信息制作，其内容如有更改，恕不另行通知。 北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。 1.3 公司简介 启明星辰公司成立于1996年，由留美博士严望佳女士创建，是国内最具实力的、拥有完全自主知识产权的网络安全产品、可信天阗入侵检测集中管理系统、安全服务与解决方案的综合提供商。2010年6月23日，启明星辰在深交所中小板正式挂牌上市。 启明星辰拥有完善的专业安全产品线，横跨防火墙/UTM、入侵检测管理、网络审计、终端管理、加密认证等技术领域，共有百余个产品型号，并根据客户需求不断增加。启明星辰解决方案为客户的安全需求与信息安全产品、服务之间架起桥梁，将客户的安全保障体系与信息安全核心技术紧密相连，帮助其建立完善的安全保障体系。 自2002年起，启明星辰就持续保持国内入侵检测、漏洞扫描市场占有率第一。近年来，发展成为国内统一威胁管理、天阗入侵检测集中管理系统国内市场第一位，安全性审计、安全专业服务市场领导者。目前，公司在全国各省市自治区设立三十多家分支机构，拥有覆盖全国的渠道和售后服务体系。 长期以来，启明星辰公司得到了党和国家领导人的关怀与鼓励。2000年1月，江泽民、李岚清、曾庆红等党和国家领导人亲切视察启明星辰公司；2003年1月，胡锦涛总书记亲切接见了启明星辰公司CEO严望佳博士。 凭借多年来的潜心研发，启明星辰获得国家规划布局内重点软件企业，国家火炬计划软件产业优秀企业，中国电子政务IT100强等荣誉，及拥有最高级别的涉及国家秘密的计算机信息系统集成资质证书。 启明星辰目前是我国规模最大的国家级网络安全研究基地。完成包括国家发改委产业化示范工程，国家科技部863计划、国家科技支撑计划等国家级科研项目近百项。创造了百余项专利和软件著作权，参与制订国家及行业网络安全标准，填补了我国信息安全科研领域的多项空白。 作为信息安全行业的领军企业，启明星辰以用户需求为根本动力，研究开发了完善的专业安全产品线。通过不断耕耘，已经成为在政府、电信、金融、能源、交通、军队、军工、制造等国内高端企业级客户的首选品牌：启明星辰在政府和军队拥有80%的市场占有率，为世界五百强中60%的中国企业客户提供安全产品及服务；在金融领域，启明星辰对政策性银行、国有控股商业银行、全国性股份制商业银行实现90%的覆盖率。在电信领域，启明星辰为中国移动、中国电信、中国联通三大运营商提供安全产品、安全服务和解决方案。 作为北京奥组委独家中标的核心信息安全产品、服务及解决方案提供商，奥帆委唯一信息安全供应商，启明星辰受到独家官方授权，全面负责奥运会主体网络系统的安全保障，得到了国家主管部门的大力嘉奖。此外，启明星辰还为上海世博会、广州亚运会等多项世界级大型活动提供全方位信息安全保障。 在公司快速稳定发展的同时，启明星辰公司坚持以爱心回馈社会，截止目前，已累计资助贫困学子、受灾、贫困群众近2000多万元人民币，并在江西、青海、新疆等地援建了5所希望小学。 启明星辰公司将秉承诚信和创新精神，继续致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务，帮助客户全面提升其IT基础设施的安全性和生产效能，为打造和提升国际化的民族信息安全产业第一品牌而不懈努力。 1.4 目录 1.1 版权声明 2 1.2 免责条款 2 1.3 公司简介 3 1.4 目录 5 2 背景 6 3 产品综述 6 3.1 产品客户价值 6 3.2 体系结构 6 3.3.1硬件形态 6 3.3.1软件架构 6 3.3 产品功能 7 3.4 产品特点 8 3.5 部署方式 8 3.5.1单机部署 8 3.5.1云模式部署 8 4 技术优势 9 4.1 私有云/云部署 9 5 典型应用 9 6 服务支持 9 6.1 产品升级周期 9 6.2 产品更新方式 9 6.3 联系方式 10 2 背景 随着Internet的普及和发展以及Web应用技术的发展和研究的深入，已经有越来越多的Web应用系统被部署在Internet上以提供各式各样的应用服务。Web应用系统己被广泛应用于商业，军事，医疗以及政府机构等各个领域。然而，随着Web应用系统的广泛应用，由于其自身的特点及开发模式，Web应用系统漏洞日益增加。权威的安全组织OWASP（Open Web Application Security Project）从2010年开始发布“10大Web应用安全漏洞”。根据国家互联网应急中心CNCERT/CC发布的《2013年中国互联网网络安全报告》，Web应用漏洞占18.1%。国家计算机网络入侵防范中心2012年发现主流社交网站存在新型XAS安全漏洞，可以被利用进行蠕虫攻击、钓鱼攻击、窃取用户隐私等，严重威胁到社交网络及其用户的安全和隐私。2013年7月曝出的Struts2漏洞，2014年4月曝出的OpenSSL（心脏出血），给全球网站，尤其是银行等金融机构网站带来重大影响。这些漏洞不只是会泄露用户账号密码信息，甚至会导致网站服务器被控制等等。与此同时，针对Web应用程序安全漏洞的SQL注入、网页挂马、跨站脚本攻击频频发生，大量知名网站用户信息被黑客在网上曝光，新浪微博遭受XSS跨站脚本攻击，美国第二大团购网站LivingSocial遭遇黑客攻击，致使5000万用户资料外泄。 面对Web应用系统的安全现状，迫切需要专门针对Web应用安全漏洞的检测系统，用于主动发现Web应用系统潜在的安全缺陷或漏洞，并及时采取修补措施，将安全问题防患于未然。为了有效应对Web应用系统的安全风险，启明星辰推出了天镜Web应用检测系统产品，全面、有效地检测Web应用系统潜在的各种漏洞。 3 产品综述 3.1 产品客户价值 为了改善用户Web应用的安全状况，提高应用系统的安全性，启明星辰公司推出了天镜Web应用检测系统，帮助用户检查Web应用系统的安全性。天镜Web应用检测系统拥有强大的Web漏洞扫描能力，支持基于CWE（Common Weakness Enumeration）的安全弱点库和基于CVE（Common Vulnerabilities and Exposures）的安全漏洞库，通过详细分析网站的结构和链接，探测网站对异常行为的反应，指出可能存在的漏洞，并提供实时的可用性监控、网页变更监控，对异常活动发出报警；对于外网用户，提供DNS解析监控，当DNS服务器被污染时发出报警。 3.2 体系结构 3.2.1 硬件形态 天镜Web应用检测系统的硬件平台是1U上架设备，标配1个10/100/1000M管理口（可做扫描口）、5个100/1000M扫描电口、1个USB口、1个CONSOLE口、单交流电源。 3.2.2 软件架构 天镜Web应用检测系统是基于Web的管理方式，用户使用浏览器通过SSL加密通道和系统进行交互，方便用户管理。整个系统架构如下图所示。 3.3 产品功能 功能项 功能描述 web应用安全漏洞检测 提供对Web应用的SQL注入漏洞、命令注入、CRLF注入、LDAP注入、XSS跨站脚本漏洞、路径遍历漏洞、信息泄漏漏洞、URL跳转漏洞、文件包含漏洞、应用程序漏洞、文件上传漏洞等进行检测。 挂马检测 对网站进行挂马检测。 暗链检测 提供网页内暗链的检测。 漏洞验证 提供针对已发现的Web应用的漏洞进行验证。 网站安全监控 提供网站挂马检测、敏感词监控、应用漏洞监控等网站安全监控功能。 系统管理 提供用户管理、升级管理、授权管理、系统配置等管理功能。 3.4 产品特点 3.4.1 以安全弱点为中心的网站漏洞检测系统 相对与传统扫描器，天镜Web应用扫描系统更关注造成安全漏洞的原因，天镜Web应用扫描系统支持CWE（Common Weakness Enumeration）中所列举的与WEB安全相关的安全弱点，安全弱点是程序员在软件开发中的错误类型，CVE（Common Vulnerabilities and Exposures）中的所列举的漏洞是指经过分析验证可被利用的问题，可以说发现安全弱点意味着发现未知的安全漏洞，可以说，通过对WEB应用系统的探测及反馈，天镜Web应用扫描系统能够发现未知的安全漏洞，具有一定的漏洞挖掘能力。同时天镜Web应用扫描系统也支持各种主流WEB应用的已知安全漏洞。 3.4.2 功能完善的WEB应用安全服务平台 天镜Web应用扫描系统不仅是一套漏洞扫描系统，同时也是一个功能完善强大的WEB应用安全服务平台，支持WEB漏洞扫描、WEB可用性监控、网页变更监控、DNS解析监控、关键字监控、暗链挂马监控等诸多功能，支持24小时不停的安全监控。天镜Web应用扫描系统支持多用户多账号管理，每个账号都能得到一个完善的监控平台，后台管理员可以看到所有用户的运行状况，前后台均可以独立初具安全报表。拥有了天镜Web应用扫描系统就等于获得了一个完整的安全服务平台。 3.4.3 云模式的云安全监控解决方案 天镜Web应用扫描系统支持云模式部署，可以根据安全监控任务的需要不断扩展，进行伸缩部署，为更多的WEB应用系统提供安全服务。 3.5 部署方式 天镜Web应用检测系统部署灵活简单，应用灵活，适用于各种规模、各种类型的网站进行Web漏洞检测。 3.5.1 单机部署 中小网站可以通过部署单个天镜Web应用检测系统实现扫描，部署如下图示。 3.5.2 云模式部署 大型网站可以通过云模式部署多个天镜Web应用检测系统实现多个域名同时扫描，部署如下图示。 4 技术优势 4.1 强大的浏览器爬虫 天镜Web应用检测系统采用基于Webkit浏览器引擎的爬虫，最大限度的模拟浏览器的行为，通过内置的javascript解析器解析js脚本，能够实现对网页上动态链接的实时生成，模拟数据输入和鼠标点击效果，完美再现网页的正常活动。 4.2 分布式扫描引擎 天镜Web应用检测系统支持分布式部署，多个扫描器可以注册到一个主扫描上，主扫描器统一管理其它扫描器的扫描活动，为用户提供透明的扫描扩展能力。 4.3 CWE弱点库 天镜Web应用检测系统支持基于CWE（Common Weakness Enumeration）中所列举的与WEB安全相关的安全弱点，安全弱点是程序员在软件开发中的错误类型，通过验证发现安全弱点发现未知的安全漏洞。 4.4 CVE漏洞库 天镜Web应用检测系统支持基于CVE（Common Vulnerabilities and Exposures）的安全漏洞库，除支持主流WEB应用的安全漏洞以外，特别纳入国产常见WEB应用系统的安全漏洞，如织梦CMS（DeDeCMS）、PHPCMS、KesionCMS、aspcms\ SiteServer CMS、Discuz!论坛、ECSHOP建店系统、Shopex网店系统、LxBlog博客系统、ExtMail 邮件等国产WEB软件的应用漏洞。 4.5 可用性云检测 天镜Web应用检测系统支持基于云的可用性检测，用户可以自行部署或租用可用性探测节点，根据自己的需要，探测在不同地理位置、不同网络运营商中对目标网站访问的可用性。 4.6 私有云/云部署 天镜Web应用检测系统支持可伸缩性的云部署模式，可以根据安全监控任务的需要不断扩展，进行伸缩部署，为更多的WEB应用系统提供安全服务。 4.7 联系方式 北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦 邮编：100193 北京总部售后统一支持热线：800－810－6038 Web网址： 电话：010-82779088 传真：大厦前台：82779000  市场：82779205    财务：82779250    电信：82779104         客服：82779151          商务：82779262    IT支持部：82779003     销售：82779004  上海市浦东新区张江高科技园区碧波路177号A区1层101室 邮编：201203 电话：021-50801133                传真：021-50803515 西藏自治区拉萨市金珠西路格桑林卡小区B9-9栋 邮编：850000 电话：0891-6899256 江苏省南京市玄武大道699号徐庄软件产业园1号门行政中心7楼726室 邮编：210008 电话：025-84530450 84530460                传真：025-84530450-999 浙江省杭州市万塘路317号华星世纪大楼10楼1003室 邮编：310013 电话：0571-85865040  85874060     传真：0571-85865040 安徽省合肥市长江中路177号花样年华1502室 邮编：230000 电话：0551-2619117                传真：0551-2619117 深圳市福田区上梅林中康南路8号雕塑家园905室 邮编：518049 0755-25951188             传真：0755-25951088 广东省广州市天河区中山大道西华景路1号南方通信大厦9楼 邮编：510640 电话：020-38638218                传真：020-38637486 广西南宁市民族大道115-1号现代国际1124房 邮编：530022 电话：0771-5553962               传真：0771-5553962 福建省福州市鼓楼区软件大道89号福州软件园A区22幢楼三层 邮编：350003 电话：0591-87872910               传真：0591-87872910 重庆市高新区科园一街73号科技发展大厦F座5-7 邮编：400039 电话：023-68621006/1007          传真：023-68620006 四川省成都市高新区天府大道南延线高新孵化园1号楼A座4楼D-5号附1、2号 邮编：610041 电话：028-85336981/85336982/85336983/85336225/85336227   传真：028-85336981-8058 贵州省贵阳市都司路62号鸿灵纽约商务大厦16楼71附一号 邮编：550000 电话：0851-5822859 云南省昆明市北京路广场金色年华A座2502室 邮编：650021 电话：0871-3603285               传真：0871-5741067 辽宁省沈阳市和平区三好街87号三好SOHO 505室 邮编：110004 电话：024-31885748              传真：024-31885729 吉林省长春市红旗街1768号长影商务景都12楼1205室 邮编：130012 电话：0431-88927716           传真：0431-88927715 大连市高新区礼贤街32号大连海外学子创业园B座108室 邮编：116025 电话：0411-84754889                传真：0411-84754889 黑龙江省哈尔滨市南岗区学府路56号理工大厦712室 邮编：150086 电话：0451－55583991/55583992           传真：0451－55583993 内蒙古呼和浩特市新城区兴安南路6号5单元102 邮编：010010 电话：0471-4966170                   传真：0471-4966070 陕西省西安市南二环西段88号老三届世纪星大厦G座20层 邮编：710065 电话：029-88896599   88896589   88896501            传真：029-88896599 宁夏银川市金凤区学绒花园8号楼2单元401室 邮编：750021 电话：0951-5074123 甘肃兰州市城关区武都路人民银行家属院702室 邮编：730030 电话：0931-8774581 新疆乌鲁木齐市友好路123号天章大厦713室 邮编：830092 电话：0991-4550025 湖北省武汉市武昌区中南路2-6号工行广场B栋B座13层K室 邮编：430070 电话：027-59818900             传真：027-68784621 湖南省长沙市芙蓉区五一大道766号中天国际广场国际公寓18018室 邮编：430072 电话/传真：0731-88626060      传真：0731-88626060 山东省济南市山大路178号银座数码广场903室 邮编：250013 电话：0531-82397996            传真：0531-82397996    技术支持：0531-82397997 河南省郑州市金水区农业路72号国际企业中心A座2602室 邮编：450002 电话：0371-65720028、65720066　   传真：0371-65706262 山西省太原市平阳路国瑞苑6单元1402室  邮编：030006 电话：0351－7218448           传真：0351－7218461 石家庄市桥西区礼让街36号联邦名都B座1202室 邮编：050006 电话：0311-89630398   89630397