安全检测无死角

 漏洞是客户最大安全问题

                据IDC的统计，至少有75%的企业发现他们的系统被黑客成功地攻击过。我们已经建立了非常完善的认证系统、网络安全系统、入侵检测等防范措施，为什么我们的系统还是处在不安全的境地呢？通过全球的一些信息安全专家的调查和分析，他们得出这样一个结论：目前我们信息安全基本都是安全漏洞的问题。

主机安全漏洞

          在5G、人工智能、工业互联网、物联网高速发展过程中，信息安全边界正在逐步扩大、与黑产的攻防对抗愈演愈烈，以数据为载体的企业数字资产面临极大威胁，主机作为企业数字资产最后也是最重要的一道门，其安全不容忽视。

          主机安全漏洞往往指的是系统漏洞，也就是操作系统在逻辑设计上的缺陷或在编写时产生的错误，这个缺陷可以被不法者或者电脑黑客利用，通过植入木马、病毒等方式来攻击或控制整个电脑，从而窃取电脑中的重要资料和信息，甚至破坏系统。

          下图是Windows历年漏洞提交量：

          

          随着系统的复杂程度和规模的扩大，主机的安全漏洞也呈现出逐年递增的趋势。主机的安全漏洞的发现和修补是安全工作的重中之重，也是安全防护的最后的一道防线。

互联网应用安全漏洞

          我们拿前两年的数据来看， 2018年，CNCERT协调处置网络安全事件约10.6万起，其中网页仿冒事件最多，其次是安全漏洞、恶意程序、网页篡改、网站后门、DDoS攻击等事件。

          从下图我们可以看出， 2018年（17,308）的新漏洞总数比2017年（14,082）增加了23％，与2016年（6,615）相比增加了162％。根据我们的数据，超过一半的Web应用程序漏洞（54％）可以为黑客提供公共漏洞利用。此外，超过三分之一（38％）的Web应用程序漏洞没有可用的解决方案，例如软件升级解决方法或软件补丁。

          

         我们说互联网应用打破了原来传统意义上的网络边界，使得网络安全的防护工作更加棘手，如何高效、有效地发现应用系统的安全漏洞问题是当前最为迫切的工作。

合规安全基线

          合规安全基线往往是针对系统配置应用的最佳实践，无论是主机操作系统、数据库、中间件、网络设备、以及自主开发的应用系统等等，都需要设定合规安全基线，它是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。

          安全基线的意义在于为达到最基本的防护要求而制定的一系列基准，在金融、运营商、互联网等行业应用范围非常广泛。确实可以帮助企业认清自身风险现状和漏洞隐患。

          合规基线标准让运维人员有了检查默认风险的标杆，但是面对网络中种类繁杂、数量众多的设备和软件，如何快速、有效地检查设备，又如何集中地收集核查的结果等，这些是网络安全运维人员面临的新的难题。

源代码安全漏洞

          近年来，应用软件随着信息系统的发展，功能随之增大，相应的，程序 的规模也加大了，容易被利用的安全漏洞和后门代码也不再局限于以往，这就使得用传统软件测试方法来检测 中的安全漏洞非常困难。

          软件开发通常会引入缺陷，普通软件工程师的缺陷密度一般为 50~250 个缺陷/KLOC（缺陷/千行 ）。由于有严格的软件开发质量管理机制和多重测试环节，成熟的软件公司的缺陷率要低得多，普通软件开发公司的缺陷密度为4～40个缺陷/KLOC；高水平的软件公司的缺陷密度为2～4个缺陷/KLOC。

          国产软件平均的缺陷密度为6个缺陷/KLOC，假设 1%的安全缺陷是可被黑客恶意利用实施攻击的，则一个网银客户端大小的软件将可能存在 3-6 个可被利用的漏洞，由此可见国内 安全形势的严峻性。所以从 审计的角度，对源代码进行检测和分析，从而在根本是保护软件和信息系统的安全，杜绝了代码后门又能够避免潜在的漏洞安全危险，进一步保障了信息安全。

开源组件风险

          当前任何应用系统的开发都直接或间接依赖开源框架、开源组件、开源库等一系列开源的代码，这些开源组件往往已经存在漏洞，这将降低开发软件的整体安全性；另外开源组件一般都有相关使用授权问题，直接引用这些开源模块可能会给组织带来法律诉讼风险。

互联网域名风险

          随着云计算资源的普及，给我们快速地部署一个应用服务提供了极大的便利性，但同时也带来了其他诸多的安全性问题， 譬如，通过快速部署，在服务器上遗留的开发和测试的文件目录，SSL的配置问题，互联网上开放高危服务端口问题等等层出不穷，另外，当前企业头痛的“影子资产”在互联网上就是一个异常突出的问题。所以如何去有效发现“影子资产”，如何对互联网资产进行安全检测分析是我们迫切的需求。

          综上所述，一款集成主机弱点扫描、应用漏洞、源代码检测、互联网域名发现及安全检测以及安全基线检测的产品成为现阶段的迫切需求。鼎赛科技洞悉用户的市场需求，专门为用户打造了这样一款全方位的安全检测系统，能够从上面提到的这几个方面着手对用户的信息系统进行全面的安全检测。

新一代安全检测系统

             TopSek安全检测管理平台专注于为用户提供一套全面的安全检测和分析解决方案。在不改变组织现有开发流程和资产结构的前提下，提供五大检测检测模块，以最小代价帮助组织实现安全目标设定、自动化检测、目标差距分析，实现企业安全检测的可视化管理。

产品架构

          安全检测平台由各类检测引擎，智能调度，安全分析审计和集中报表等模块组成，可以轻松实现分布式部署集中式管理场景需求。如下图所示：

 产品功能

          安全检测管理平台专注于为组织提供整体的全风险控制解决方案，帮助组织从五大方面控制和降低安全风险。本产品具有高可控性、高性能、高适用性等特点，可广泛应用于政府单位、软件开发厂商、第三方测评机构、软件最终用户等多种组织机构。

主机漏洞检测

          主机漏洞检测辨识全部IT资产，可侦测windows、linux操作系统、寻找复杂网络区段内不可扫描的资产，进行深入的扫描作业，并自动评估风险以判定对应策略。提供高度精确的扫描和极低的误报率，每 100 万次扫描中仅有 0.32 次误报。在完成作业后我们可以看到执行的结果，通过点击查看结果查看扫描详细的结果，并下载中文的检测报告。扫描时间仅需约15-20分钟。

主机漏洞检测页面

安全基线检测

          安全基线检测是对企业内的资产进行安全检测的模块。点击新建检测配置新的基线检测，配置新的基线检测首先需要勾选所需基线扫描模板，支持等保3级、最佳实践等合规基线模板，落实以结果为导向并兼顾安全性与合规性的安全性措施。帮助用户花费更少的时间和工作量对不合规项进行评估、优先级分析和修复。通过输入操作系统的登陆口令，可以在20分钟左右完成一次合规基线检测任务。

合规基线检测页面

应用漏洞检测

          通过用户提供的URL地址，对网站进行黑盒测试，模拟黑客对网站进行各种类型的攻击，可以发现OWASP TOP 10等常见安全漏洞问题，强大的网页爬取发现能力使得对网站安全检测得更加彻底和完善。

应用漏洞查看页面

代码安全检测

          代码安全检测功能支持 Windows、Linux 等多种操作系统平台上软件源代码的缺陷检测。支 持C / C++ / C# / JAVA / JSP / JavaScript / Python / HTML等27种主流编程语言。

          通过从数据流、控制流等5个方面，全方位解析代码内漏洞，让安全缺陷无所遁形。同时具有丰富的代码安全检测规则，可以对当前 OWASP , SANS , CWE等在内的900多种安全漏洞进行检测。并且能够进行每10万行代码1小时的检测速率，能够快速检测大量复杂的源代码。

代码安全漏洞检测页面

代码安全漏洞查看页面

互联网域名检测

          互联网域名检测功能可检测企业内全部的互联网域名。扫描目前开发的端口，并自动检测可疑高危的端口。拥有高效的检测速率，1级域名能够在10分钟内完成检测任务，而3级域名仅需40分钟 。

互联网域名检测结果查看页面

产品亮点

保障企业合规需求

          网络安全法要求所有企业实施等级保护制度，企业需要针对等级保护制度中提出的要求对系统、应用、代码、域名等各个方面的资产进行安全漏洞的评估以及安全基线的评估，平台能够提供全方位的安全弱点评估和安全基线评估，能够满足企业在合规方面的迫切需求。

五大检测功能应对安全检测需求

                    主机漏洞检测，检测组织内主机存在的漏洞，安全无死角； 

                    合规基线检测，根据不同的操作系统，提供等保三级、最佳实践等合规基线检测标准； 

                    应用漏洞检测，组织内应用安全漏洞无所遁形； 

                    支持源代码/开源组件安全漏洞和合法性分析

                    互联网域名检测，高效率发现互联网域名，分析层级结构和安全风险； 

          所有安全检测结果均支持线上查看检测和审计结果，下载检测报告。

多任务多功能并发检测

          支持多任务并发检测，面对多任务的检测需求能满足用户需求快速实现检测。

深度源代码安全检测

          本产品优化源代码检测效率，无需繁杂的环境配置，快速提交代码发起检测；检测和评估完成后，提交安全检测和风险评估报告，报告内容应包括 缺陷数量统计、缺陷分类、缺陷等级、风险点、修复建议等，每个 安全缺陷应具体到文件和代码行，以便于开发人员进行修复。

开源组件合法性检测分析

          支持对项目中使用的第三方开源组件进行检测，发现项目中存在的开源组件安全缺陷、许可证证书等问题；

开源组件漏洞列表

部署方式

               (1)平台提供SaaS服务和软硬一体化的交付。

              (2)使用SaaS服务的企业通过注册获取企业自己在SaaS平台的管理员账号， 然后由该管理员对本企业的用户进行自主管理，可以对每个用户设置不同的功能权限。

              (3)如果企业需要在现场部署，那么我们将提供软硬一体化的设备在企业机房进行上架、配置、测试。现场部署的要求是被检测的目标网络可达即可，无论是对主机、应用、项目源代码、或者互联网域名，只要检测设备可以访问即可。

              (4)同时，在客户现场检测后的结果数据， 可以直接在用户本地进行报告下载， 或者用户可以选择将数据上传云端，我们将提供更加深入地报告分析和图形化的展示。

结语

          我们希望通过这样一款集成当前最需要的方方面面的安全检测能力的检测平台为有技术能力储备的企业的自查提供便利；为没有安全技术能力的企业提供SaaS化的管家式的服务；为测评机构提供一站式的检测平台。

          平台的集成开发注重于使用体验的便捷性和检测结果的准确性，同时平台提供开放式的RESTful API与您现有的其他平台或自动化流程管理工具进行无缝集成提高生产率。

          我们希望您可以从容面对安全检测的“难题”。