1.Web安全面臨的挑戰(zhàn)

Web網(wǎng)站是互聯(lián)網(wǎng)上最為豐富的資源呈現(xiàn)形式，由于其訪問簡單、擴(kuò)展性好等優(yōu)點，目前在資訊、電子政務(wù)、電子商務(wù)和企業(yè)管理等諸多領(lǐng)域得到了廣泛的應(yīng)用。與此同時，Web網(wǎng)站也面臨著數(shù)量龐大、種類繁多的安全威脅，操作系統(tǒng)、通信協(xié)議、服務(wù)發(fā)布程序和編程語言等無不存在大量安全漏洞。

2014年，CNVD收錄新增漏洞9163個，2013年，CNVD全年收錄通用軟硬件漏洞7854個。根據(jù)影響對象的類型，漏洞可分為：操作系統(tǒng)漏洞，應(yīng)用程序漏洞，Web應(yīng)用漏洞，數(shù)據(jù)庫漏洞，網(wǎng)絡(luò)設(shè)備漏洞(如路由器、交換機(jī)等)，安全產(chǎn)品漏洞 (如防火墻、入侵檢測系統(tǒng)等)。

2014年CNVD收錄漏洞按影響對象類型分類統(tǒng)計

2.用戶面臨的漏洞風(fēng)險

1)大多數(shù)Web系統(tǒng)設(shè)計，只關(guān)注正常應(yīng)用，未關(guān)注代碼安全。

Web應(yīng)用系統(tǒng)通常是供應(yīng)商針對不同業(yè)務(wù)目標(biāo)進(jìn)行定制化開發(fā)，并以“源代碼”的形式交付，依靠各種應(yīng)用環(huán)境進(jìn)行動態(tài)解析以實現(xiàn)特定功能。因此，對于 Web漏洞而言，供應(yīng)商往往也很難提供類似于Windows漏洞補(bǔ)丁的通用補(bǔ)丁，這給Web應(yīng)用系統(tǒng)的維護(hù)帶來了新的挑戰(zhàn)。

2)Web服務(wù)器及網(wǎng)絡(luò)設(shè)備存在漏洞

2014年，CNVD共收集整理了2394個高危漏洞，涵蓋Microsoft、Adobe、IBM、Cisco、Google、WordPress、Oracle、Mozilla、Apple、IBM等廠商的產(chǎn)品。

3)安全事件頻繁發(fā)生

隨著漏洞越來越多的發(fā)現(xiàn)及利用，網(wǎng)站安全事件的發(fā)生也越來越頻繁。

2014年 網(wǎng)絡(luò)安全事件接收數(shù)量月度統(tǒng)計

4)網(wǎng)站安全檢測帶來的通報

為了加強(qiáng)網(wǎng)絡(luò)安全信息化建設(shè)，建立了一些網(wǎng)站監(jiān)察單位，會對網(wǎng)站進(jìn)行周期性檢測，如發(fā)現(xiàn)漏洞會對該網(wǎng)站單位通報批評。

3.WebRAY一體化漏洞掃描解決方案

遠(yuǎn)江盛邦一體化漏洞掃描系統(tǒng)是WebRAY技術(shù)團(tuán)隊多年深入研究當(dāng)前各類Web攻擊手段(如網(wǎng)頁掛馬攻擊、SQL注入漏洞、跨站腳本攻擊等)和系統(tǒng)漏洞檢測的經(jīng)驗結(jié)晶。通過本地檢測技術(shù)與遠(yuǎn)程檢測技術(shù)相結(jié)合，對您的網(wǎng)站進(jìn)行全面的、深入的、徹底的風(fēng)險評估，綜合性的規(guī)則庫以及業(yè)界最為領(lǐng)先的智能化爬蟲技術(shù)及SQL注入狀態(tài)檢測技術(shù)，檢查系統(tǒng)中存在的弱點和漏洞，速度更快，結(jié)果更準(zhǔn)確。

遠(yuǎn)江盛邦一體化漏洞掃描系統(tǒng)簡稱RayScan，是基于WebRAY的RayOS系統(tǒng)開發(fā)，集Web漏洞掃描和系統(tǒng)漏洞掃描予一體的專業(yè)漏洞掃描系統(tǒng)。

全方位多層次檢測網(wǎng)站安全漏洞

針對網(wǎng)站代碼進(jìn)行本地安全檢查

多年積累的豐富的網(wǎng)馬特征庫

高效的網(wǎng)頁爬蟲技術(shù)

基于狀態(tài)掃描的SQL注入掃描技術(shù)

基于狀態(tài)比較的注入驗證技術(shù)

基于模糊匹配的管理入口檢測技術(shù)

自定義的檢測庫文件

豐富的漏洞知識資源儲備

覆蓋面最廣的漏洞庫

全方位的網(wǎng)絡(luò)對象支持

漏洞信息的準(zhǔn)確識別和判斷

強(qiáng)有力的掃描效率保證

多樣化的結(jié)果報表呈現(xiàn)

4.方案優(yōu)勢

1)使用RayScan對漏洞進(jìn)行評估，提前發(fā)現(xiàn)Web應(yīng)用系統(tǒng)中隱藏的漏洞，根據(jù)評估工具給出詳盡的漏洞描述和修補(bǔ)方案，指導(dǎo)維護(hù)人員進(jìn)行安全加固，防患于未然。

2)使用RayScan對操作系統(tǒng)或網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描，了解最新的漏洞情況，主動聯(lián)系廠商進(jìn)行修補(bǔ)，降低漏洞帶來的風(fēng)險。

3)設(shè)置周期性自動掃描，做好安全預(yù)警，避免檢測機(jī)構(gòu)檢測到漏洞對單位的通報。