免费注册
帮助文档(华北一、二)

  • 客户准备进行网站信息系统安全等级保护定级和测评时,需要进行漏洞扫描。根据信息系统安全等级保护基本要求,能够发现重要的安全漏洞是申请安全保护等级第二级以上的信息系统应具备的基本安全保护能力。

    1. 无需部署、按需使用

    客户无需安装任何硬件或软件,无需改变目前的网络部署状况。按需付费,大大节省客户在安全软件或设备方面的投入和维护成本,并且减少安全人员投入,节省客户的人力资源成本和管理费用。

    2. 全面发现Web漏洞

    可对包括门户网站、电子商务、网上营业厅等各种Web应用系统进行安全检测,同时其全面性还体现在以下两个方面:

    检测范围:

    覆盖Ajax、Flash、JavaScript等Web2.0环境

    支持PHP、ASP、.NET和Java等编程语言

    支持IIS、Apache、Nginx、Tomcat等Web服务器

    支持各种静态页面(后缀名为:html、htm等)和动态页面(后缀名为:asp、jsp、php、asp、aspx、phtml、shtml、xhtml、do等)

    支持Flash攻击检测、复杂字符编码、会话令牌管理、多种认证方式(Basic、NTLM、Cookie、SSL等)

    支持代理扫描,HTTPS扫描等

    风险分析:

    支持WASC的漏洞分类,以及按照威胁严重性分高中低三个等级进行风险分析

    支持两个版本的OWASP TOP10漏洞分类和风险分析,为用户提供权威的分析结果

    支持风险的对比分析和趋势分析,既可以帮助用户进行多站点差异化风险管理,还可以助其更准确的了解和分析站点的历史风险状况和未来的风险趋势,提高风险管理的水平。

    3. 快速稳定扫描

    运用智能页面爬取、资源动态调节、代理缓存机制和实时任务调度等技术,实现了对大规模网站的快速、稳定的扫描。

    4. 无损漏洞扫描

    在网站运维过程中网站的业务健康性是至关重要的,因此WEB漏洞扫描系统(爬虫单次)采用了无损的漏洞扫描技术,以避免对网站业务的健康性造成影响。主要采用了两种技术,一种是自适应扫描——根据网站、带宽等关键因素的负载情况,自动调整扫描策略和强度,避免对网站的业务连续性造成影响;一种是无损扫描——扫描过程中采用的检测手段,均不会在网站遗留任何可造成网站异常的干扰性代码,比如XSS漏洞检测时在网站上遗留的“弹框”代码等,避免对网站的业务健康性造成影响。

    5. 多种检查能力合一

    对于攻击者来说,IT系统的方方面面都存在脆弱性,这些方面包括常见的操作系统漏洞、应用系统漏洞、弱口令,也包括容易被忽略的错误安全配置问题,以及违反最小化原则开放的不必要的账号、服务、端口等。

    WEB漏洞扫描系统(爬虫单次)能够全方位检测服务器存在的脆弱性,发现系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告,帮助安全管理人员先于攻击者发现安全问题,及时进行修补。

    6. 识别非标准端口

    在IT系统安全管理中,经常会遇到由于业务需要而改变默认应用服务端口的情况,改变协议默认端口能够规避业务冲突、减少设备投入、充分利用资源,但某种协议在非标准端口上如何识别和扫描也成为安全管理产品需要解决的问题。

    WEB漏洞扫描系统(爬虫单次)应用先进的非标准端口识别技术、以及丰富的协议指纹库,能够快速准确的识别非标准端口上的应用服务类型,并进一步进行漏洞检测,极大的避免了扫描过程中的漏报和误报。

    7. 丰富的漏洞库

    浪潮云安全团队,有多位专职的研究员进行漏洞跟踪和漏洞前瞻性研究,到目前为止已经独立发现了40余个关于常见操作系统、数据库和网络设备的漏洞,并且为国际上的知名网络安全厂商提供相关漏洞的规则支持。

    依靠专业的浪潮云安全团队的研究积累,漏洞扫描系统知识库已经有超过10000条系统漏洞信息,涵盖所有主流基础系统、应用系统、网络设备等网元对象;知识库中还提供7大类30多种产品上百个版本的系统的配置检查库,提供绿盟科技作为专业安全厂商的加固修补建议,以及多个行业的安全配置检查标准。


文档是否已解决您的问题?

  已解决   未解决

如您有其它疑问,您也可以与我们技术专家联系探讨。

联系技术专家