./專業(yè)整理產(chǎn)品白皮書(shū)天鏡Web應(yīng)用檢測(cè)系統(tǒng)用安全云實(shí)現(xiàn)云安全版權(quán)聲明北京啟明星辰信息安全技術(shù)有限公司版權(quán)所有,并保留對(duì)本文檔及本聲明的最終解釋權(quán)和修改權(quán)。本文檔中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容,除另有特別注明外,其著作權(quán)或其他相關(guān)權(quán)利均屬于北京啟明星辰信息安全技術(shù)有限公司。未經(jīng)北京啟明星辰信息安全技術(shù)有限公司書(shū)面同意,任何人不得以任何方式或形式對(duì)本手冊(cè)內(nèi)的任何部分進(jìn)行復(fù)制、摘錄、備份、修改、傳播、翻譯成其它語(yǔ)言、將其全部或部分用于商業(yè)用途。免責(zé)條款本文檔依據(jù)現(xiàn)有信息制作,其內(nèi)容如有更改,恕不另行通知。北京啟明星辰信息安全技術(shù)有限公司在編寫(xiě)該文檔的時(shí)候已盡最大努力保證其內(nèi)容準(zhǔn)確可靠,但北京啟明星辰信息安全技術(shù)有限公司不對(duì)本文檔中的遺漏、不準(zhǔn)確、或錯(cuò)誤導(dǎo)致的損失和損害承擔(dān)責(zé)任。公司簡(jiǎn)介啟明星辰公司成立于1996年,由留美博士嚴(yán)望佳女士創(chuàng)建,是國(guó)內(nèi)最具實(shí)力的、擁有完全自主知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)安全產(chǎn)品、可信天闐入侵檢測(cè)集中管理系統(tǒng)、安全服務(wù)與解決方案的綜合提供商。2010年6月23日,啟明星辰在深交所中小板正式掛牌上市。啟明星辰擁有完善的專業(yè)安全產(chǎn)品線,橫跨防火墻/UTM、入侵檢測(cè)管理、網(wǎng)絡(luò)審計(jì)、終端管理、加密認(rèn)證等技術(shù)領(lǐng)域,共有百余個(gè)產(chǎn)品型號(hào),并根據(jù)客戶需求不斷增加。啟明星辰解決方案為客戶的安全需求與信息安全產(chǎn)品、服務(wù)之間架起橋梁,將客戶的安全保障體系與信息安全核心技術(shù)緊密相連,幫助其建立完善的安全保障體系。自2002年起,啟明星辰就持續(xù)保持國(guó)內(nèi)入侵檢測(cè)、漏洞掃描市場(chǎng)占有率第一。近年來(lái),發(fā)展成為國(guó)內(nèi)統(tǒng)一威脅管理、天闐入侵檢測(cè)集中管理系統(tǒng)國(guó)內(nèi)市場(chǎng)第一位,安全性審計(jì)、安全專業(yè)服務(wù)市場(chǎng)領(lǐng)導(dǎo)者。目前,公司在全國(guó)各省市自治區(qū)設(shè)立三十多家分支機(jī)構(gòu),擁有覆蓋全國(guó)的渠道和售后服務(wù)體系。長(zhǎng)期以來(lái),啟明星辰公司得到了黨和國(guó)家領(lǐng)導(dǎo)人的關(guān)懷與鼓勵(lì)。2000年1月,江澤民、李嵐清、曾慶紅等黨和國(guó)家領(lǐng)導(dǎo)人親切視察啟明星辰公司；2003年1月,胡錦濤總書(shū)記親切接見(jiàn)了啟明星辰公司CEO嚴(yán)望佳博士。憑借多年來(lái)的潛心研發(fā),啟明星辰獲得國(guó)家規(guī)劃布局內(nèi)重點(diǎn)軟件企業(yè),國(guó)家火炬計(jì)劃軟件產(chǎn)業(yè)優(yōu)秀企業(yè),中國(guó)電子政務(wù)IT100強(qiáng)等榮譽(yù),及擁有最高級(jí)別的涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)證書(shū)。啟明星辰目前是我國(guó)規(guī)模最大的國(guó)家級(jí)網(wǎng)絡(luò)安全研究基地。完成包括國(guó)家發(fā)改委產(chǎn)業(yè)化示范工程,國(guó)家科技部863計(jì)劃、國(guó)家科技支撐計(jì)劃等國(guó)家級(jí)科研項(xiàng)目近百項(xiàng)。創(chuàng)造了百余項(xiàng)專利和軟件著作權(quán),參與制訂國(guó)家及行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn),填補(bǔ)了我國(guó)信息安全科研領(lǐng)域的多項(xiàng)空白。作為信息安全行業(yè)的領(lǐng)軍企業(yè),啟明星辰以用戶需求為根本動(dòng)力,研究開(kāi)發(fā)了完善的專業(yè)安全產(chǎn)品線。通過(guò)不斷耕耘,已經(jīng)成為在政府、電信、金融、能源、交通、軍隊(duì)、軍工、制造等國(guó)內(nèi)高端企業(yè)級(jí)客戶的首選品牌：?jiǎn)⒚餍浅皆谡蛙婈?duì)擁有80%的市場(chǎng)占有率,為世界五百?gòu)?qiáng)中60%的中國(guó)企業(yè)客戶提供安全產(chǎn)品及服務(wù)；在金融領(lǐng)域,啟明星辰對(duì)政策性銀行、國(guó)有控股商業(yè)銀行、全國(guó)性股份制商業(yè)銀行實(shí)現(xiàn)90%的覆蓋率。在電信領(lǐng)域,啟明星辰為中國(guó)移動(dòng)、中國(guó)電信、中國(guó)聯(lián)通三大運(yùn)營(yíng)商提供安全產(chǎn)品、安全服務(wù)和解決方案。作為北京奧組委獨(dú)家中標(biāo)的核心信息安全產(chǎn)品、服務(wù)及解決方案提供商,奧帆委唯一信息安全供應(yīng)商,啟明星辰受到獨(dú)家官方授權(quán),全面負(fù)責(zé)奧運(yùn)會(huì)主體網(wǎng)絡(luò)系統(tǒng)的安全保障,得到了國(guó)家主管部門(mén)的大力嘉獎(jiǎng)。此外,啟明星辰還為上海世博會(huì)、XX亞運(yùn)會(huì)等多項(xiàng)世界級(jí)大型活動(dòng)提供全方位信息安全保障。在公司快速穩(wěn)定發(fā)展的同時(shí),啟明星辰公司堅(jiān)持以愛(ài)心回饋社會(huì),截止目前,已累計(jì)資助貧困學(xué)子、受災(zāi)、貧困群眾近2000多萬(wàn)元人民幣,并在XX、XX、新疆等地援建了5所希望小學(xué)。啟明星辰公司將秉承誠(chéng)信和創(chuàng)新精神,繼續(xù)致力于提供具有國(guó)際競(jìng)爭(zhēng)力的自主創(chuàng)新的安全產(chǎn)品和最佳實(shí)踐服務(wù),幫助客戶全面提升其IT基礎(chǔ)設(shè)施的安全性和生產(chǎn)效能,為打造和提升國(guó)際化的民族信息安全產(chǎn)業(yè)第一品牌而不懈努力。目錄1.1版權(quán)聲明21.2免責(zé)條款21.3公司簡(jiǎn)介31.4目錄52背景63產(chǎn)品綜述63.1產(chǎn)品客戶價(jià)值63.2體系結(jié)構(gòu)6硬件形態(tài)6軟件架構(gòu)63.3產(chǎn)品功能73.4產(chǎn)品特點(diǎn)83.5部署方式8單機(jī)部署8云模式部署84技術(shù)優(yōu)勢(shì)94.1私有云/云部署95典型應(yīng)用96服務(wù)支持96.1產(chǎn)品升級(jí)周期96.2產(chǎn)品更新方式96.3聯(lián)系方式10.專業(yè)整理隨著Internet的普及和發(fā)展以及Web應(yīng)用技術(shù)的發(fā)展和研究的深入,已經(jīng)有越來(lái)越多的Web應(yīng)用系統(tǒng)被部署在Internet上以提供各式各樣的應(yīng)用服務(wù)。Web應(yīng)用系統(tǒng)己被廣泛應(yīng)用于商業(yè),軍事,醫(yī)療以及政府機(jī)構(gòu)等各個(gè)領(lǐng)域。然而,隨著Web應(yīng)用系統(tǒng)的廣泛應(yīng)用,由于其自身的特點(diǎn)及開(kāi)發(fā)模式,Web應(yīng)用系統(tǒng)漏洞日益增加。權(quán)威的安全組織OWASP〔OpenWebApplicationSecurityProject從2010年開(kāi)始發(fā)布"10大Web應(yīng)用安全漏洞"。根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT/CC發(fā)布的《2013年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》,Web應(yīng)用漏洞占18.1%。國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心2012年發(fā)現(xiàn)主流社交網(wǎng)站存在新型XAS安全漏洞,可以被利用進(jìn)行蠕蟲(chóng)攻擊、釣魚(yú)攻擊、竊取用戶隱私等,嚴(yán)重威脅到社交網(wǎng)絡(luò)及其用戶的安全和隱私。2013年7月曝出的Struts2漏洞,2014年4月曝出的OpenSSL〔心臟出血,給全球網(wǎng)站,尤其是銀行等金融機(jī)構(gòu)網(wǎng)站帶來(lái)重大影響。這些漏洞不只是會(huì)泄露用戶賬號(hào)密碼信息,甚至?xí)?dǎo)致網(wǎng)站服務(wù)器被控制等等。與此同時(shí),針對(duì)Web應(yīng)用程序安全漏洞的SQL注入、網(wǎng)頁(yè)掛馬、跨站腳本攻擊頻頻發(fā)生,大量知名網(wǎng)站用戶信息被黑客在網(wǎng)上曝光,新浪微博遭受XSS跨站腳本攻擊,美國(guó)第二大團(tuán)購(gòu)網(wǎng)站LivingSocial遭遇黑客攻擊,致使5000萬(wàn)用戶資料外泄。面對(duì)Web應(yīng)用系統(tǒng)的安全現(xiàn)狀,迫切需要專門(mén)針對(duì)Web應(yīng)用安全漏洞的檢測(cè)系統(tǒng),用于主動(dòng)發(fā)現(xiàn)Web應(yīng)用系統(tǒng)潛在的安全缺陷或漏洞,并及時(shí)采取修補(bǔ)措施,將安全問(wèn)題防患于未然。為了有效應(yīng)對(duì)Web應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn),啟明星辰推出了天鏡Web應(yīng)用檢測(cè)系統(tǒng)產(chǎn)品,全面、有效地檢測(cè)Web應(yīng)用系統(tǒng)潛在的各種漏洞。產(chǎn)品客戶價(jià)值為了改善用戶Web應(yīng)用的安全狀況,提高應(yīng)用系統(tǒng)的安全性,啟明星辰公司推出了天鏡Web應(yīng)用檢測(cè)系統(tǒng),幫助用戶檢查Web應(yīng)用系統(tǒng)的安全性。天鏡Web應(yīng)用檢測(cè)系統(tǒng)擁有強(qiáng)大的Web漏洞掃描能力,支持基于CWE〔CommonWeaknessEnumeration的安全弱點(diǎn)庫(kù)和基于CVE〔CommonVulnerabilitiesandExposures的安全漏洞庫(kù),通過(guò)詳細(xì)分析網(wǎng)站的結(jié)構(gòu)和鏈接,探測(cè)網(wǎng)站對(duì)異常行為的反應(yīng),指出可能存在的漏洞,并提供實(shí)時(shí)的可用性監(jiān)控、網(wǎng)頁(yè)變更監(jiān)控,對(duì)異?；顒?dòng)發(fā)出報(bào)警；對(duì)于外網(wǎng)用戶,提供DNS解析監(jiān)控,當(dāng)DNS服務(wù)器被污染時(shí)發(fā)出報(bào)警。體系結(jié)構(gòu)硬件形態(tài)天鏡Web應(yīng)用檢測(cè)系統(tǒng)的硬件平臺(tái)是1U上架設(shè)備,標(biāo)配1個(gè)10/100/1000M管理口〔可做掃描口、5個(gè)100/1000M掃描電口、1個(gè)USB口、1個(gè)CONSOLE口、單交流電源。軟件架構(gòu)天鏡Web應(yīng)用檢測(cè)系統(tǒng)是基于Web的管理方式,用戶使用瀏覽器通過(guò)SSL加密通道和系統(tǒng)進(jìn)行交互,方便用戶管理。整個(gè)系統(tǒng)架構(gòu)如下圖所示。產(chǎn)品功能提供對(duì)Web應(yīng)用的SQL注入漏洞、命令注入、CRLF注入、LDAP注入、XSS跨站腳本漏洞、路徑遍歷漏洞、信息泄漏漏洞、URL跳轉(zhuǎn)漏洞、文件包含漏洞、應(yīng)用程序漏洞、文件上傳漏洞等進(jìn)行檢測(cè)。對(duì)網(wǎng)站進(jìn)行掛馬檢測(cè)。提供網(wǎng)頁(yè)內(nèi)暗鏈的檢測(cè)。提供針對(duì)已發(fā)現(xiàn)的Web應(yīng)用的漏洞進(jìn)行驗(yàn)證。提供網(wǎng)站掛馬檢測(cè)、敏感詞監(jiān)控、應(yīng)用漏洞監(jiān)控等網(wǎng)站安全監(jiān)控功能。提供用戶管理、升級(jí)管理、授權(quán)管理、系統(tǒng)配置等管理功能。產(chǎn)品特點(diǎn)以安全弱點(diǎn)為中心的網(wǎng)站漏洞檢測(cè)系統(tǒng)相對(duì)與傳統(tǒng)掃描器,天鏡Web應(yīng)用掃描系統(tǒng)更關(guān)注造成安全漏洞的原因,天鏡Web應(yīng)用掃描系統(tǒng)支持CWE〔CommonWeaknessEnumeration中所列舉的與WEB安全相關(guān)的安全弱點(diǎn),安全弱點(diǎn)是程序員在軟件開(kāi)發(fā)中的錯(cuò)誤類型,CVE〔CommonVulnerabilitiesandExposures中的所列舉的漏洞是指經(jīng)過(guò)分析驗(yàn)證可被利用的問(wèn)題,可以說(shuō)發(fā)現(xiàn)安全弱點(diǎn)意味著發(fā)現(xiàn)未知的安全漏洞,可以說(shuō),通過(guò)對(duì)WEB應(yīng)用系統(tǒng)的探測(cè)及反饋,天鏡Web應(yīng)用掃描系統(tǒng)能夠發(fā)現(xiàn)未知的安全漏洞,具有一定的漏洞挖掘能力。同時(shí)天鏡Web應(yīng)用掃描系統(tǒng)也支持各種主流WEB應(yīng)用的已知安全漏洞。功能完善的web應(yīng)用安全服務(wù)平臺(tái)天鏡Web應(yīng)用掃描系統(tǒng)不僅是一套漏洞掃描系統(tǒng),同時(shí)也是一個(gè)功能完善強(qiáng)大的WEB應(yīng)用安全服務(wù)平臺(tái),支持WEB漏洞掃描、WEB可用性監(jiān)控、網(wǎng)頁(yè)變更監(jiān)控、DNS解析監(jiān)控、關(guān)鍵字監(jiān)控、暗鏈掛馬監(jiān)控等諸多功能,支持24小時(shí)不停的安全監(jiān)控。天鏡Web應(yīng)用掃描系統(tǒng)支持多用戶多賬號(hào)管理,每個(gè)賬號(hào)都能得到一個(gè)完善的監(jiān)控平臺(tái),后臺(tái)管理員可以看到所有用戶的運(yùn)行狀況,前后臺(tái)均可以獨(dú)立初具安全報(bào)表。擁有了天鏡Web應(yīng)用掃描系統(tǒng)就等于獲得了一個(gè)完整的安全服務(wù)平臺(tái)。云模式的云安全監(jiān)控解決方案天鏡Web應(yīng)用掃描系統(tǒng)支持云模式部署,可以根據(jù)安全監(jiān)控任務(wù)的需要不斷擴(kuò)展,進(jìn)行伸縮部署,為更多的WEB應(yīng)用系統(tǒng)提供安全服務(wù)。部署方式天鏡Web應(yīng)用檢測(cè)系統(tǒng)部署靈活簡(jiǎn)單,應(yīng)用靈活,適用于各種規(guī)模、各種類型的網(wǎng)站進(jìn)行Web漏洞檢測(cè)。單機(jī)部署中小網(wǎng)站可以通過(guò)部署單個(gè)天鏡Web應(yīng)用檢測(cè)系統(tǒng)實(shí)現(xiàn)掃描,部署如下圖示。云模式部署大型網(wǎng)站可以通過(guò)云模式部署多個(gè)天鏡Web應(yīng)用檢測(cè)系統(tǒng)實(shí)現(xiàn)多個(gè)域名同時(shí)掃描,部署如下圖示。強(qiáng)大的瀏覽器爬蟲(chóng)天鏡Web應(yīng)用檢測(cè)系統(tǒng)采用基于Webkit瀏覽器引擎的爬蟲(chóng),最大限度的模擬瀏覽器的行為,通過(guò)內(nèi)置的javascript解析器解析js腳本,能夠?qū)崿F(xiàn)對(duì)網(wǎng)頁(yè)上動(dòng)態(tài)鏈接的實(shí)時(shí)生成,模擬數(shù)據(jù)輸入和鼠標(biāo)點(diǎn)擊效果,完美再現(xiàn)網(wǎng)頁(yè)的正?；顒?dòng)。分布式掃描引擎天鏡Web應(yīng)用檢測(cè)系統(tǒng)支持分布式部署,多個(gè)掃描器可以注冊(cè)到一個(gè)主掃描上,主掃描器統(tǒng)一管理其它掃描器的掃描活動(dòng),為用戶提供透明的掃描擴(kuò)展能力。CWE弱點(diǎn)庫(kù)天鏡Web應(yīng)用檢測(cè)系統(tǒng)支持基于CWE〔CommonWeaknessEnumeration中所列舉的與WEB安全相關(guān)的安全弱點(diǎn),安全弱點(diǎn)是程序員在軟件開(kāi)發(fā)中的錯(cuò)誤類型,通過(guò)驗(yàn)證發(fā)現(xiàn)安全弱點(diǎn)發(fā)現(xiàn)未知的安全漏洞。CVE漏洞庫(kù)天鏡Web應(yīng)用檢測(cè)系統(tǒng)支持基于CVE〔CommonVulnerabilitiesandExposures的安全漏洞庫(kù),除支持主流WEB應(yīng)用的安全漏洞以外,特別納入國(guó)產(chǎn)常見(jiàn)WEB應(yīng)用系統(tǒng)的安全漏洞,如織夢(mèng)CMS〔DeDeCMS、PHPCMS、KesionCMS、aspcms\SiteServerCMS、Discuz!論壇、ECSHOP建店系統(tǒng)、Shopex網(wǎng)店系統(tǒng)、LxBlog博客系統(tǒng)、ExtMail郵件等國(guó)產(chǎn)WEB軟件的應(yīng)用漏洞?？捎眯栽茩z測(cè)天鏡Web應(yīng)用檢測(cè)系統(tǒng)支持基于云的可用性檢測(cè),用戶可以自行部署或租用可用性探測(cè)節(jié)點(diǎn),根據(jù)自己的需要,探測(cè)在不同地理位置、不同網(wǎng)絡(luò)運(yùn)營(yíng)商中對(duì)目標(biāo)網(wǎng)站訪問(wèn)的可用性。私有云/云部署天鏡Web應(yīng)用檢測(cè)系統(tǒng)支持可伸縮性的云部署模式,可以根據(jù)安全監(jiān)控任務(wù)的需要不斷擴(kuò)展,進(jìn)行伸縮部署,為更多的WEB應(yīng)用系統(tǒng)提供安全服務(wù)。聯(lián)系方式北京市海淀區(qū)東北旺西路8號(hào)中關(guān)村軟件園21號(hào)樓啟明星辰大廈郵編：100193北京總部售后統(tǒng)一支持熱線：800－810－6038Web網(wǎng)址：電話/p>

傳真：大廈前臺(tái)：82779000

市場(chǎng)：82779205

財(cái)務(wù)：82779250

電信：82779104

客服：82779151

商務(wù)：82779262

IT支持部：82779003

銷售：82779004

上海市浦東新區(qū)張江高科技園區(qū)碧波路177號(hào)A區(qū)1層101室郵編：201203電話/p>

傳真：XX自治區(qū)XX市金珠西路格桑林卡小區(qū)B9-9棟郵編：850000電話：XX省XX市玄武大道699號(hào)徐莊軟件產(chǎn)業(yè)園1號(hào)門(mén)行政中心7樓726室郵編：210008電話：025-8453045084530460

傳真999XX省XX市萬(wàn)塘路317號(hào)華星世紀(jì)大樓10樓1003室郵編：310013電話/p>

85874060

傳真X省XX市長(zhǎng)江中路177號(hào)花樣年華1502室郵編：230000電話/p>

傳真：XX市福田區(qū)上梅林中康南路8號(hào)雕塑家園905室郵編：5180490755-25951188

傳真X省XX市天河區(qū)XX大道西華景路1號(hào)南方通信大廈9樓郵編：510640電話/p>

傳真：廣西XX市民族大道115-1號(hào)現(xiàn)代國(guó)際1124房郵編：530022電話/p>

傳真：XX省XX市鼓樓區(qū)軟件大道89號(hào)XX軟件園A區(qū)22幢樓三層郵編：350003電話/p>

傳真X市高新區(qū)科園一街73號(hào)科技發(fā)展大廈F座5-7郵編：400039電話1007

傳真：XX省XX市高新區(qū)天府大道南延線高新孵化園1號(hào)樓A座4樓D-5號(hào)附1、2號(hào)郵編：610041電話85336982/85336983/85336225/85336227

傳真8058XX省XX市都司路62號(hào)鴻靈紐約商務(wù)大廈16樓71附一號(hào)郵編：550000電話：XX省XX市北京路廣場(chǎng)金色年華A座2502室郵編：650021電話/p>

傳真：XX省XX市和平區(qū)三好街87號(hào)三好SOHO505室郵編：110004電話/p>

傳真：XX省XX市紅旗街1768號(hào)長(zhǎng)影商務(wù)景都12樓1205室郵編：130012電話/p>

傳真X市高新區(qū)禮賢街32號(hào)XX海外學(xué)子創(chuàng)業(yè)園B座108室郵編：116025電話/p>

傳真X省XX市南崗區(qū)學(xué)府路56號(hào)理工大廈712室郵編：150086電話：0451－55583991/55583992

傳真：0451－55583993XX呼和浩特市新城區(qū)興安南路6號(hào)5單元102郵編：01