RayScan 一体化漏洞评估系统V3.0-产品白皮书.docxVIP

[在此处键入][在此处键入][在此处键入] PAGE PAGE PAGE 远江盛邦（北京）网络安全科技股份有限公司 http：//RayScan一体化漏洞评估系统产品白皮书 http：// RayScan一体化漏洞评估系统 产品白皮书 远江盛邦（北京）网络安全科技股份有限公司 一体化漏洞评估系统产品白皮书 公开 PAGE IV 远江盛邦（北京）网络安全科技股份有限公司 [产品中心] ■ 文档编号 RayScan产品白皮书-V6.0 ■ 密级 公开 ■ 版本编号 V6.0 ■ 日期 2021年 ■ 撰 写 人 ■ 批准人 ■ 版本变更记录 时间 版本 说明 修改人 2020.4 V3.0 文档更新 2020.9 V4.0 文档更新 2021 V6.0 文档更新 ■ 版权声明 本文中出现的文字、插图、照片、方法、过程等，除另有特别注明，版权均属盛邦安全所有，受有关产权及版权法保护。任何个人、机构未经盛邦安全书面授权许可，不得以任何方式复制或引用。 目录 TOC \o 1-3 \h \z \u 1. 背景 1 1.1. 漏洞形势严峻 1 1.2. 黑客攻击猖獗 2 2. 产品总述 3 2.1. 产品介绍 3 2.2. 产品架构 4 . 基础支撑模块 5 2.2.2. 资源库模块 5 2.2.3. 漏洞检测模块 5 2.2.4. 任务调度模块 6 2.2.5. 数据呈现与操作管理模块 6 2.2.6. 开放的北向接口 7 3. 核心功能介绍 7 3.1. 系统漏洞扫描 7 3.2. Web漏洞扫描 9 3.3. 数据库漏洞扫描 9 3.4. 安全基线检测 10 3.5. 弱口令扫描 10 4. 产品特色 11 4.1. 一站式全栈检测 11 4.2. 便捷的扫描方式 11 4.3. 全面的漏洞检测能力 12 4.4. 清晰的资产管理 13 4.5. 自动化漏洞验证 13 4.6. 隐匿站点探测 14 4.7. 部署形态灵活多样 14 5. 部署方式 15 5.1. 监管移动检查或小型局域网安全检查 15 5.2. 中小型网络单机部署场景 15 5.3. 大型网络分布式部署场景 16 6. 典型案例 17 7. 关于盛邦安全 18 一体化漏洞评估系统产品白皮书 公开 PAGE 2 远江盛邦（北京）网络安全科技股份有限公司 背景 漏洞形势严峻 漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，这些缺陷可能被攻击者利用来访问或破坏系统。是计算机、组件、应用程序或其他联机资源无意中留下的不受保护的入口、脆弱点。 近年来，漏洞数量逐年呈快速增长趋势，从2012年至今，漏洞数量的增幅在逐年增加，2018年更是突破了2万大关。近10年爆出的漏洞中，高危漏洞占绝大比例，漏洞威胁长期处于严峻状态，国家信息安全漏洞共享平台近10年漏洞严重等级分布如图所示。 整体来看，漏洞的发展趋势主要表现在以下几个方面： 漏洞的发现技术更加自动化和智能化，漏洞发现技术的革新导致了发现新漏洞的速度明显加快。 国际上出现大量的专业漏洞研究组织，从漏洞被公布到漏洞被利用引发攻击的时间周期急剧缩短，0day攻击的数量在逐渐增加，使得防范和堵漏变得更困难。 漏洞的严重性和危险程度明显提高。 利用漏洞攻击的重心由服务器端向客户端过渡，由系统层和网络层逐渐向应用层扩展。 漏洞的发现、利用不再局限于常见的网络设备和操作系统，不断向新的应用领域扩散。 黑客攻击猖獗 当前，互联网应用越来越多，企业数字化转型不断提速。当越来越多的关键业务和应用需要依托互联网来完成时，也就意味着，黑客透过漏洞可以攫取更多、更大的“价值”。黑客针对网络系统发起攻击的起点是漏洞，他们持续不断地挖掘和发现更多的漏洞，并针对性地开发攻击工具武器和攻击方法战法，偷隐私、盗数据、破坏系统、网络诈骗。从最早的“bug”到后来的黑客职业化、漏洞攻击专业化、市场开拓产业化，漏洞带来了巨大的地下经济产业。公开资料显示，中国“网络黑产”从业人员已超过上百万人，市场规模高达千亿级别。随着互联网渗透到经济社会发展的方方面面，网络安全已经直接关乎人民群众的权益和利益。整体来看，黑客攻击呈以下趋势。 产品总述 产品介绍 WebRAY一体化漏洞评估系统（简称RayScan）是一款针对设备入网、网站上线、日常运维、安全事件脆弱点分析、等保合规等场景提供的一体化脆弱性分析与评估产品。能够为监管、能源、金融、教育等行业用户提供涵盖系统漏洞检测、web漏洞检测、数据库漏洞检测、配置合规检测、弱口令检测在内的五合一脆弱性检测能力