编辑点评:本文描述了盛邦安全在Web系统安全方面的有益尝试和相关方案,以北京市教委网络为例,帮助市教委建立了一套Web系统上线检查及日常监控的机制,并对重点网站建立了漏洞基线。方案的实施取得了良好的效果。
方案提供企业简介:远江盛邦(北京)网络安全科技股份有限公司(简称WebRAY或者盛邦安全,证劵代码:836731),专注于WEB安全治理的前沿技术创新,凭借强大的应用安全产品与服务,为用户的核心业务和关键信息资产提供安全保障,是中国领先的WEB安全产品与解决方案提供商,Web治理体系领导品牌。
WebRAY是国家信息安全漏洞支撑单位;国家级网络于信息安全技术支持单位;全国二会网络安全保障单位;北京市信息安全与技术支撑单位;北京市专利试点单位。承担国家级9.3阅兵网络安全保障、第三十届全国冬运会网络安全保障、北京2015世界锦标赛安全保障工作。
基于自主研发的实时安全操作系统RayOS,以及“多态混淆Web安全防护”专利技术,在WEB安全领域打造了“监控-预警-防护”三位一体的完整能力体系。通过云监控与大数据平台、安全检测(漏洞扫描、无线扫描、应用扫描)、安全防护(Web防护、DDoS防护、网页防篡改)等三大类七条产品线,构建了国内最完备的WEB安全解决方案。
公司在北京、成都设有两大研发中心,在南宁、长沙、山东设有分公司,并建立了多个销售分支机构,同时开拓了美国、日本、印度、欧洲等海外市场。在自身发展的同时,公司承担了国家发改委信息安全多个专项、北京市经信委云平台试点系列项目、北京市科委高新技术成果转化等项目,是国家级高新技术企业,北京市双软企业,中关村高新技术企业,OWASP国际安全机构认证企业,获得了主管部门和业界专家的认可。
WebRAY凭借团队深厚的技术背景和极具领先优势的WEB安全产品与服务,已成为国内WEB安全市场的领航者。目前国内每销售三台Web安全产品,就有一台出自WebRAY!
方案类别:网络安全
用户需求:
1、及时了解中心内有哪些网站在提供服务
2、网站上线前必须经过审核、备案(确认所有人、符合安全策略)
3、实时监控每个网站的安全情况
4、能够确保发布内容的合法合规
5、对于不合格网站(私建、不安全)具有自动退运机制
6、指纹分析(发现服务器的中间件、操作系统、编码语言等)
7、流量分析(查看网站是否访问量正常,找出僵尸网站)
8、发生攻击要快速发现,快速响应,并能溯源
9、对于典型攻击要有防御能力
10、对于篡改攻击要有复原能力
11、网站运行情况建立基线数据
解决方案:
Web系统全生命周期管理
1、资产自学习(自动发现所有网站及业务系统)
2、web审核备案(建立在线的申请、审核、备案系统)
3、上线检查(上线前进行脆弱性检测;符合要求的web系统才能正常上线)
4、日常监控(检测暗链、篡改、敏感词、后门等;建立漏洞基线、流量基线)
5、一键断网(对于不合规网站进行阻断;突发事件一键断网)
产品及技术优势:
1、国内首个网站群治理解决方案:
帮助管理人员建立了一套针对网站群审核备案、安全评估、日常监控、退运的网站全生命周期的治理方案。
2、贴合2562号文件:
落实网站开办审核工作
对网站进行统一管理、统一防护、统一监测
加强网站安全监测、测评和检查,查找网站安全隐患并及时整改
建立网站安全监测、应急处置和责任追究机制
3、可拓展形成完善的安全防御体系:
可与防御探针联动,建立监控、预警、响应、溯源的防御体系
可以自动发现网络内资产并对其进行定期的风险扫描,做到防患于未然
4、简部署,易管理
具有对内部网站的自学习能力,免去人工添加的烦恼,并可有效发现私建网站及僵尸网站
产品旁路部署,上线简单,不影响网络拓扑
创新特色:
1、改变以往基于人工方式的web系统统计、审核、申请工作。
2、提供了针对web系统的全生命周期管理
3、自学习网站识别率高达90%以上;
4、漏洞检测包含系统漏洞、web漏洞、数据库及中间件漏洞;
5、基于URL的一键断网
6、完善的报表系统
7、基于流量的后门检测,无需安装插件
应用效果及案例:
Web系统治理方案可以帮助客户建立针对web系统的统一管理、统一检测、统一防护平台;加强了网站安全监测、测评和检查,查找网站安全隐患并能及时告警,满足了2562号文件,并大大减轻了运维人员的工作。
案例:首都体育学院、北京语言大学
高等院校用户评价
盛邦安全的Web系统安全治理平台帮助我校信息中心发现了大量不合规的Web系统,让我们可以有针对性的进行整改。同时多种漏洞检测也帮助我们清楚的了解到各站点的安全情况。减轻了我们日常检查、管理的工作。
![京网文[2014]2106-306号](http://img.eol.cn/images/indexnew/www1024.jpg){kind=link}