1.Web安全面臨的挑戰(zhàn)

Web網(wǎng)站是互聯(lián)網(wǎng)上最為豐富的資源呈現(xiàn)形式，由于其訪問簡單、擴(kuò)展性好等優(yōu)點(diǎn)，目前在資訊、電子政務(wù)、電子商務(wù)和企業(yè)管理等諸多領(lǐng)域得到了廣泛的應(yīng)用。與此同時(shí)，Web網(wǎng)站也面臨著數(shù)量龐大、種類繁多的安全威脅，操作系統(tǒng)、通信協(xié)議、服務(wù)發(fā)布程序和編程語言等無不存在大量安全漏洞。

2014年，CNVD收錄新增漏洞9163個(gè)，2013年，CNVD全年收錄通用軟硬件漏洞7854個(gè)。根據(jù)影響對(duì)象的類型，漏洞可分為：操作系統(tǒng)漏洞，應(yīng)用程序漏洞，Web應(yīng)用漏洞，數(shù)據(jù)庫漏洞，網(wǎng)絡(luò)設(shè)備漏洞(如路由器、交換機(jī)等)，安全產(chǎn)品漏洞 (如防火墻、入侵檢測(cè)系統(tǒng)等)。

2014年CNVD收錄漏洞按影響對(duì)象類型分類統(tǒng)計(jì)

2.用戶面臨的漏洞風(fēng)險(xiǎn)

1)大多數(shù)Web系統(tǒng)設(shè)計(jì)，只關(guān)注正常應(yīng)用，未關(guān)注代碼安全。

Web應(yīng)用系統(tǒng)通常是供應(yīng)商針對(duì)不同業(yè)務(wù)目標(biāo)進(jìn)行定制化開發(fā)，并以“源代碼”的形式交付，依靠各種應(yīng)用環(huán)境進(jìn)行動(dòng)態(tài)解析以實(shí)現(xiàn)特定功能。因此，對(duì)于 Web漏洞而言，供應(yīng)商往往也很難提供類似于Windows漏洞補(bǔ)丁的通用補(bǔ)丁，這給Web應(yīng)用系統(tǒng)的維護(hù)帶來了新的挑戰(zhàn)。

2)Web服務(wù)器及網(wǎng)絡(luò)設(shè)備存在漏洞

2014年，CNVD共收集整理了2394個(gè)高危漏洞，涵蓋Microsoft、Adobe、IBM、Cisco、Google、WordPress、Oracle、Mozilla、Apple、IBM等廠商的產(chǎn)品。

3)安全事件頻繁發(fā)生

隨著漏洞越來越多的發(fā)現(xiàn)及利用，網(wǎng)站安全事件的發(fā)生也越來越頻繁。

2014年 網(wǎng)絡(luò)安全事件接收數(shù)量月度統(tǒng)計(jì)

4)網(wǎng)站安全檢測(cè)帶來的通報(bào)

為了加強(qiáng)網(wǎng)絡(luò)安全信息化建設(shè)，建立了一些網(wǎng)站監(jiān)察單位，會(huì)對(duì)網(wǎng)站進(jìn)行周期性檢測(cè)，如發(fā)現(xiàn)漏洞會(huì)對(duì)該網(wǎng)站單位通報(bào)批評(píng)。

3.WebRAY一體化漏洞掃描解決方案

遠(yuǎn)江盛邦一體化漏洞掃描系統(tǒng)是WebRAY技術(shù)團(tuán)隊(duì)多年深入研究當(dāng)前各類Web攻擊手段(如網(wǎng)頁掛馬攻擊、SQL注入漏洞、跨站腳本攻擊等)和系統(tǒng)漏洞檢測(cè)的經(jīng)驗(yàn)結(jié)晶。通過本地檢測(cè)技術(shù)與遠(yuǎn)程檢測(cè)技術(shù)相結(jié)合，對(duì)您的網(wǎng)站進(jìn)行全面的、深入的、徹底的風(fēng)險(xiǎn)評(píng)估，綜合性的規(guī)則庫以及業(yè)界最為領(lǐng)先的智能化爬蟲技術(shù)及SQL注入狀態(tài)檢測(cè)技術(shù)，檢查系統(tǒng)中存在的弱點(diǎn)和漏洞，速度更快，結(jié)果更準(zhǔn)確。

遠(yuǎn)江盛邦一體化漏洞掃描系統(tǒng)簡稱RayScan，是基于WebRAY的RayOS系統(tǒng)開發(fā)，集Web漏洞掃描和系統(tǒng)漏洞掃描予一體的專業(yè)漏洞掃描系統(tǒng)。

全方位多層次檢測(cè)網(wǎng)站安全漏洞

針對(duì)網(wǎng)站代碼進(jìn)行本地安全檢查

多年積累的豐富的網(wǎng)馬特征庫

高效的網(wǎng)頁爬蟲技術(shù)

基于狀態(tài)掃描的SQL注入掃描技術(shù)

基于狀態(tài)比較的注入驗(yàn)證技術(shù)

基于模糊匹配的管理入口檢測(cè)技術(shù)

自定義的檢測(cè)庫文件

豐富的漏洞知識(shí)資源儲(chǔ)備

覆蓋面最廣的漏洞庫

全方位的網(wǎng)絡(luò)對(duì)象支持

漏洞信息的準(zhǔn)確識(shí)別和判斷

強(qiáng)有力的掃描效率保證

多樣化的結(jié)果報(bào)表呈現(xiàn)

4.方案優(yōu)勢(shì)

1)使用RayScan對(duì)漏洞進(jìn)行評(píng)估，提前發(fā)現(xiàn)Web應(yīng)用系統(tǒng)中隱藏的漏洞，根據(jù)評(píng)估工具給出詳盡的漏洞描述和修補(bǔ)方案，指導(dǎo)維護(hù)人員進(jìn)行安全加固，防患于未然。

2)使用RayScan對(duì)操作系統(tǒng)或網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描，了解最新的漏洞情況，主動(dòng)聯(lián)系廠商進(jìn)行修補(bǔ)，降低漏洞帶來的風(fēng)險(xiǎn)。

3)設(shè)置周期性自動(dòng)掃描，做好安全預(yù)警，避免檢測(cè)機(jī)構(gòu)檢測(cè)到漏洞對(duì)單位的通報(bào)。