綠盟WVSS：讓Web漏洞無所遁形

第五屆中國行業信息化獎項評選榜

目前綠盟科技推出了Web應用漏洞掃描係統WVSS和自身WAF產品一體化的安全模型，兩者形成聯合防護，通過WVSS向WAF提供被防護網站的漏洞掃描報告，WAF以此為依據自動轉換並生成防護策略應用於目標保護網站，依此不斷循環，實現了“檢測”與“防護”的安全閉環管理。

互聯網上的Web站點數量巨多、規模龐大，給大家帶來便利的同時又極易帶來入侵威脅。因這些Web站點係統脆弱且存在漏洞，一旦被攻擊就會造成極大的利益損失。趕在攻擊者入侵前發現Web漏洞，並及時通知運維人員修複漏洞，成為“Web漏掃”的重要職責。“Web漏掃”產品通常在網站安全生命周期的事前預防階段，進行漏洞挖掘、風險評估和報表呈現，它至少需要包括四個特性。

全麵爬取：網站係統構造千差萬別，且隨著係統不斷運行，其內容不斷增加，業務訪問量日益龐大，引入的漏洞類別和數量也會越來越多，站點也會慢慢變得千瘡百孔。一個小小的非法入侵都有可能造成站點數據泄露或係統崩潰。因此，在前期預防階段，“Web漏掃”要能對包括門戶網站、電子商務網站、網上營業廳等各種常見Web應用係統進行安全檢測，還能滿足更多範圍的檢測，如Web 2.0、多類編程語言、ERP係統等，以最大程度地爬取整個站點頁麵或者達到某種設置的門限，為漏洞掃描分析提供足夠完整的數據。

準確識別：對網站係統的漏洞，“Web漏掃”能夠識別分析，並通過祛重複、除外鏈、國際標準分類等漏洞插件庫技術，在保障高檢測率、低誤報率和漏報率的情況下，通過漏洞驗證機製，在係統零損傷的前提下，構造行為參數來模擬利用漏洞攻擊係統的操作，同時按照風險危害的高低緩急，以多維視野的儀表盤圖表形式，展示當前站點的整體風險情況，輸出準確的事態報告和後續修複的優先級次序建議，讓運維人員掌控風險態勢，及時作出安全處理。

高效掃描：在進行漏洞挖掘分析時，“Web漏掃”需要一個快速高效的掃描引擎。該引擎能夠采用多任務、多線程、數據存儲、數據訪問等方式，快速獲取站點的結構分布圖，進而對掃描任務靈活地進行創建、暫停、停止、續掃等操作。另外基於掃描任務複雜度，根據自身的Web漏掃性能，使用者靈活選擇單機或者集群分布式部署方式，實現在多設備間均分多任務的負載均衡。目前知名安全廠商綠盟科技已突破此類傳統的多設備間過於依賴均分任務的分布式架構局限，獨創了“URL級負載均衡”技術。該技術能把任務分解到URL頁麵層級，即使是單站點任務，也可對站點內爬到的頁麵，根據集群中各設備節點實時的資源負載，進行權重的動態分配和掃描管理；基於分布式集群部署，該技術能加強掃描過程中設備冗餘、故障節點剔除/恢複，以及總體掃描進度穩定的效果，最終讓Web漏掃具備麵向“海量”級別網站的快速穩定的掃描能力。

閉環修複：在進行安全管理時，網站往往會因為人手不足、代碼不可控、修補成本高等原因，難以及時修補已發現的Web漏洞。目前綠盟科技推出了Web應用漏洞掃描係統WVSS和自身WAF產品一體化的安全模型，兩者形成聯合防護，通過WVSS向WAF提供被防護網站的漏洞掃描報告，WAF以此為依據自動轉換並生成防護策略應用於目標保護網站，依此不斷循環，實現了“檢測”與“防護”的安全閉環管理。

網站能穩定運行和一款麵向企業級、專業卓越、高信譽評估Web應用的安全漏掃產品密不可分。其爬取範圍全、識別度準、高效掃描的特性可盡可能地發現站點的漏洞與風險，同時結合智能的閉環管理，及時完成漏洞修複，這樣才能讓網站更加穩健。