天镜Web应用检测系统产品白皮书V11(启明)

2015产品白皮书天镜Web应用检测系统用安全云实现云安全天镜web应用检测系统产品白皮书启明星辰版权声明北京启明星辰信息安全技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。1.2免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。天镜web应用检测系统产品白皮书启明星辰年，由留美博士严望佳女士创建，是国内最具实力的、拥有完全自主知识产权的网络安全产品、可信天阗入侵检测集中管理系统、安全服务与解决方案的综合提供商。2010年6月23日，启明星辰在深交所中小板正式挂牌上市。启明星辰拥有完善的专业安全产品线，横跨防火墙/UTM、入侵检测管理、网络审计、终端管理、加密认证等技术领域，共有百余个产品型号，并根据客户需求不断增加。启明星辰解决方案为客户的安全需求与信息安全产品、服务之间架起桥梁，将客户的安全保障体系与信息安全核心技术紧密相连，帮助其建立完善的安全保障体系。自2002年起，启明星辰就持续保持国内入侵检测、漏洞扫描市场占有率第一。近年来，发展成为国内统一威胁管理、天阗入侵检测集中管理系统国内市场第一位，安全性审计、安全专业服务市场领导者。目前，公司在全国各省市自治区设立三十多家分支机构，拥有覆盖全国的渠道和售后服务体系。长期以来，启明星辰公司得到了党和国家领导人的关怀与鼓励。2000年1月，江泽民、李岚清、曾庆红等党和国家领导人亲切视察启明星辰公司；2003年1月，胡锦涛总书记亲切接见了启明星辰公司CEO严望佳博士。凭借多年来的潜心研发，启明星辰获得国家规划布局内重点软件企业，国家火炬计划软件产业优秀企业，中国电子政务IT100强等荣誉，及拥有最高级别的涉及国家秘密的计算机信息系统集成资质证书。启明星辰目前是我国规模最大的国家级网络安全研究基地。完成包括国家发改委产业化示范工程，国家科技部863计划、国家科技支撑计划等国家级科研项目近百项。创造了百余项专利和软件著作权，参与制订国家及行业网络安全标准，填补了我国信息安全科研领域的多项空白。作为信息安全行业的领军企业，启明星辰以用户需求为根本动力，研究开发了完善的专业安全产品线。通过不断耕耘，已经成为在政府、电信、金融、能源、交通、军队、军工、制造等国内高端企业级客户的首选品牌：启明星辰在政府和军队拥有80%的市场占有率，为世界五百强中60%的中国企业客户提供安全产品及服务；在金融领域，启明星辰对政策性银行、国有控股商业银行、全国性股份制商业银行实现90%的覆盖率。在电信领域，启明星辰为中国移动、中国电信、中国联通三大运营商提供安全产品、安全服务和解决方案。天镜web应用检测系统产品白皮书启明星辰作为北京奥组委独家中标的核心信息安全产品、服务及解决方案提供商，奥帆委唯一信息安全供应商，启明星辰受到独家官方授权，全面负责奥运会主体网络系统的安全保障，得到了国家主管部门的大力嘉奖。此外，启明星辰还为上海世博会、广州亚运会等多项世界级大型活动提供全方位信息安全保障。在公司快速稳定发展的同时，启明星辰公司坚持以爱心回馈社会，截止目前，已累计资助贫困学子、受灾、贫困群众近2000多万元人民币，并在江西、青海、新疆等地援建了5所希望小学。启明星辰公司将秉承诚信和创新精神，继续致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务，帮助客户全面提升其IT基础设施的安全性和生产效能，为打造和提升国际化的民族信息安全产业第一品牌而不懈努力。天镜web应用检测系统产品白皮书启明星辰硬件形态..........................................................................错误!未定义书签。3.3.1软件架构..........................................................................................................73.3产品功能...........................................................................................................83.4产品特点...........................................................................................................83.5部署方式...........................................................................................................93.5.1单机部署..........................................................................................................93.5.1云模式部署....................................................................................................104技术优势.........................................................................................................................104.1私有云/云部署..................................................................错误!未定义书签。5典型应用...........................................................................................错误!未定义书签。6服务支持...........................................................................................错误!未定义书签。6.1产品升级周期...................................................................错误!未定义书签。6.2产品更新方式...................................................................错误!未定义书签。6.3联系方式.........................................................................................................12天镜web应用检测系统产品白皮书启明星辰背景随着Internet的普及和发展以及Web应用技术的发展和研究的深入，已经有越来越多的Web应用系统被部署在Internet上以提供各式各样的应用服务。Web应用系统己被广泛应用于商业，军事，医疗以及政府机构等各个领域。然而，随着Web应用系统的广泛应用，由于其自身的特点及开发模式，Web应用系统漏洞日益增加。权威的安全组织OWASP（OpenWebApplicationSecurityProject）从2010年开始发布“10大Web应用安全漏洞”。根据国家互联网应急中心CNCERT/CC发布的《2013年中国互联网网络安全报告》，Web应用漏洞占18.1%。国家计算机网络入侵防范中心2012年发现主流社交网站存在新型XAS安全漏洞，可以被利用进行蠕虫攻击、钓鱼攻击、窃取用户隐私等，严重威胁到社交网络及其用户的安全和隐私。2013年7月曝出的Struts2漏洞，2014年4月曝出的OpenSSL（心脏出血），给全球网站，尤其是银行等金融机构网站带来重大影响。这些漏洞不只是会泄露用户账号密码信息，甚至会导致网站服务器被控制等等。与此同时，针对Web应用程序安全漏洞的SQL注入、网页挂马、跨站脚本攻击频频发生，大量知名网站用户信息被黑客在网上曝光，新浪微博遭受XSS跨站脚本攻击，美国第二大团购网站LivingSocial遭遇黑客攻击，致使5000万用户资料外泄。面对Web应用系统的安全现状，迫切需要专门针对Web应用安全漏洞的检测系统，用于主动发现Web应用系统潜在的安全缺陷或漏洞，并及时采取修补措施，将安全问题防患于未然