明鉴网站安全监测平台.docx

明鉴网站安全监测平台 领先的应用安全及数据库安全整体解决方案提供商 第 PAGE 5 页 共 NUMPAGES 8 页 杭州安恒信息技术有限公司 杭州总部电话：+86-0571明鉴网站安全监测平台 杭州安恒信息技术有限公司 DATE \@ EEEE年O月 \* MERGEFORMAT 二〇一二年八月 目 录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc318200761 一. 发展历程 PAGEREF _Toc318200761 \h 3 HYPERLINK \l _Toc318200762 二. 主要核心技术 PAGEREF _Toc318200762 \h 3 HYPERLINK \l _Toc318200763 2.1.1 漏洞扫描 PAGEREF _Toc318200763 \h 3 HYPERLINK \l _Toc318200764 2.1.2 网页木马 PAGEREF _Toc318200764 \h 5 HYPERLINK \l _Toc318200765 2.1.3 篡改监测 PAGEREF _Toc318200765 \h 6 HYPERLINK \l _Toc318200766 2.1.4 关键字监测 PAGEREF _Toc318200766 \h 7 HYPERLINK \l _Toc318200767 2.1.5 可用性监测 PAGEREF _Toc318200767 \h 7 HYPERLINK \l _Toc318200768 三. 平台规模 PAGEREF _Toc318200768 \h 8 HYPERLINK \l _Toc318200769 四. 服务模式 PAGEREF _Toc318200769 \h 8 HYPERLINK \l _Toc318200770 4.1 自建监测平台 PAGEREF _Toc318200770 \h 8 HYPERLINK \l _Toc318200771 4.2 订购监测服务 PAGEREF _Toc318200771 \h 8 明鉴网站安全监测平台简介 发展历程 2007年发布全球首款既有深度网站风险扫描能力，又具备全面网页木马检测与追溯功能的WEB弱点扫描系统 2008年推出SaaS模式的WEB应用安全平台 2009年承担公安部工信部国庆60周年庆安全大检测重要任务 2010年迎世博促安全活动推出自助式网站安全检测服务 2010年被公安部一所、公安部三所等国内权威等级保护测评机构广泛使用 2011年承担某省全省电子政务外网网站安全监测工作 2011年承担某省金融行业网站实时监测与预期工作 2011年委公安部第三研究所委托起草WEB弱点扫描器检测标准 2012年推出基于云计算的监测SaaS服务平台 主要核心技术 漏洞扫描 监测平台集成了漏洞扫描功能，该功能继承了安恒公司明鉴网站弱点扫描器的所有优点，可以实现快速、准确的定位出网站存在的问题，并且具有丰富的可配置接口便于配置个性化的扫描要求。监测平台中的漏洞扫描功能主要优点如下： 智能、快速的深度漏洞扫描 采用强大的过滤模块，过滤掉重复或者不必要的网页链接，提高运行效率。单引擎单位时间的发包速率的可控化，可以有效防止扫描数据量过大影响网站正常运行的问题。扫描数据实时存储，扫描过程中实时存储扫描数据和结果，不管是由于程序自身引擎中断、进程人为关闭，还是机器断电引起扫描中断，扫描数据都不会丢失，可以进行断点续描。扫描引擎与扫描界面分离，一个正在运行的主程序可以同时管理多个引擎。每个引擎可支持多个任务的真正并发扫描，有效提高系统深度扫描速率。 全面、准确的应用弱点检测 支持OWASP TOP 10等主流安全漏洞（A1-注入攻击、A2-跨站脚本（XSS）、A3-失效的认证和会话管理：、A4-不安全的直接对象引用、A5-跨站请求伪造、A6-安全配置错误、A7-限制URL访问失败、A8-尚未认证的重定向和转发、A9-不安全的密码储藏、A10-传输层保护不足）：SQL注入、XSS跨站脚本、伪造跨站点请求（CSRF）、隐藏字段、表单绕过、AJAX注入、弱配置、敏感信息泄漏、HI－JACK攻击、弱口令、Xpath注入、LDAP注入、框架注入、链接注入、操作系统命令注入、Flash源代码泄漏、Flash跨域攻击、Cookie注入、敏感文件、第三方软件、其他各类CGI漏洞 支持国际目前主流WEB应用类型：全面支持WEB 2.0，支持各类JavaScript脚本解析 ；全面支持FLASH解析；支持WAP类及WMLScript