启明星辰天镜网站安全监测系统用户手册

启明星辰
天镜网站安全监测系统
用户手册
目录
1产品概述 (4)
1.1概述 (4)
1.2工作环境要求 (4)
1.3用户权益说明 (4)
2安装说明 (5)
2.1硬件安装 (5)
2.2启动网站安全监测系统 (5)
2.3配置网卡 (7)
2.3.1web配置网卡 (7)
2.4上传授权文件授权 (8)
2.5升级 (8)
2.5.1漏洞库升级 (8)
2.5.2web平台升级 (10)
3新手上路指导 (11)
3.1启动网站安全监测系统 (11)
3.2多级账户管理 (12)
3.2.1新建三级账户 (12)
3.2.2三级账户的应用 (14)
3.2.3账户管理 (14)
3.2.4留言管理 (15)
3.3网站管理 (16)
3.3.1网站列表 (16)
3.3.2网站发现 (25)
3.4使用检测管理扫描漏洞 (27)
3.4.1建立扫描任务并执行扫描 (27)
3.4.3查看扫描结果 (40)
3.5使用监控管理对可用性监控 (44)
3.5.1添加监控站点 (44)
3.5.2查看监控信息 (47)
3.5.3查看监控结果 (49)
3.6检测站点变更情况 (50)
3.6.1手动添加变更检测站点 (51)
3.6.2查看变更信息 (55)
3.7检测DNS域名 (59)
3.7.1添加域名站点 (59)
3.7.2查看DNS管理详细信息 (61)
3.8挂马管理 (62)
3.8.1添加检测站点 (62)
3.8.2挂马任务管理 (62)
3.9敏感词管理 (63)
3.9.1添加检测站点 (63)
3.9.2策略管理与导出 (63)
3.9.3敏感词任务管理 (63)
3.10系统配置 (64)
3.10.1邮件管理 (64)
3.10.2告警管理 (66)
3.11操作员个人配置 (68)
4用户管理 (70)
4.1后台登录 (70)
4.2任务中心 (70)
4.3报表中心 (71)
4.4配置中心 (72)
4.4.2部门列表 (73)
4.4.3用户列表 (74)
4.4.4登录配置 (76)
4.4.5语音配置 (77)
4.4.6短信配置 (77)
4.4.7主视图配置 (78)
4.4.8网站发现引擎配置 (79)
4.4.9漏洞列表 (79)
4.4.10网站常见路径 (79)
4.4.11关键词定义 (80)
4.4.12敏感词定义 (81)
4.4.13邮件服务器设置 (81)
4.4.14升级方式与授权设置 (82)
4.4.15DNS服务器配置 (82)
4.4.16可用性监测点配置 (83)
4.4.17引擎配置 (84)
4.4.18子节点配置 (88)
4.4.19系统配置 (92)
4.4.20时间服务器 (93)
4.5管理员个人配置 (94)
5审计员管理 (96)
5.1操作日志 (96)
5.2报警日志 (96)
5.3日志操作 (96)
1 产品概述
1.1概述
欢迎您选用启明星辰公司的网站安全监测系统。

网站安全监测系统具有完全自主知识产权的Web安全扫描与评估分析及网站安全监测系统。

该系统采用B/S 结构全新设计，其任务是用实践性的方法扫描分析Web系统，检查Web系统中存在的弱点和漏洞并生成相应的报告，适时提出修补方法和应对实施的安全策略，从而达到增强Web安全性的目的。

该系统还可以全方位地为客户的网站提供安全监测服务，监测内容包括可用性监测、DNS域名解析监测、页面变更监测、挂马监测、敏感内容监测。

推荐使用浏览器IE、Mozilla Firefox、Chrome，最佳显示分辨率为1600×900。

1.2工作环境要求
推荐在以下环境中使用网站安全监测系统。

✧IE9、IE10、IE11
✧Mozilla Firefox
✧Chrome
1.3用户权益说明
当您购买了启明星辰公司网站安全监测系统后，会得到一份由北京启明星辰公司签发的软件使用授权，即一个使用授权文件（*.lic），此文件包含了合法用户的信息和相应的授权信息，通过此文件的支持将用户的网站安全监测系统激活之后，网站安全监测系统才能进行正常的扫描。

本授权文件必须从北京启明星辰公司合法获取。

用户取得了产品使用授权后，北京启明星辰公司有义务保证用户使用的合法权益，同时用户有责任保护北京启明星辰公司的版权，用户不得随意将授权交由第三方单位或个人使用，如违背上述规定，将对此和由此带来的一切后果
负完全的责任，我公司将依照法律的相关条款追究用户的责任。

2 安装说明
2.1硬件安装
1、设备上架（1U设备）；
2、设备eth0网络接口接入网络；
3、将本地PC的IP地址修改为10.0.0.1/24网段的地址，并且确认可以ping通eth0接口（IP地址：10.0.0.1）。

2.2启动网站安全监测系统
1、打开浏览器IE或Firefox，在浏览器的地址栏中填写登录网站安全监测系统的地址，如https:// 10.0.0.1。

随后显示网站安全监测系统的用户登录界面，如下图所示。

2、输入网站安全监测系统默认提供的操作员用户的账号/密码：admin/Ve nustech60；输入随机验证码；
如果需要登录管理中心，需点击管理员登录，进入管理中心登录界面：
输入网站安全监测系统默认提供的配置管理员帐号/密码：root/ Venustech60；如需回到用户登录页面，点击用户登录。

注意：如果网站安全监测系统无法正确访问，请确认以下：是否是防火墙的设置有误，必须添加端口443例外以允许通过防火墙进行通信。

3、成功登录网站安全监测系统后，系统打开首页如下图所示；
注：登录成功后，用户可以点击页面右上角的帮助，在其中的“帮助文档下载”，用户可以下载对应的操作手册及API文档，供用户查阅。

如下图所示：
2.3配置网卡
在收到网站安全监测系统硬件之后，需要对系统网卡进行重新配置。

2.3.1web配置网卡
利用web平台后台即管理员账户进入系统后，点击系统配置，修改网卡信息，提交之后,用本IP登录的系统已不能操作，重新用修改后的IP登录即可。

如下图所示：
2.4上传授权文件授权
首先记录机器码，申请授权文件，名称为license.lic，进入授权上传页面。

点击浏览选中该授权文件，再点击“上传授权文件”按钮，授权成功后会显示如下：
注意：红框标注的信息显示为该系统已授权并有相应的授权信息。

授权成功后在页面右上角即可显示当前授权状态。

如上图红框所示的已授权信息为“试用授权”。

对正式授权的说明如下：
正式授权可以为有限个数授权、无限期限或无限个数的授权。

此处的个数限制只针对检测管理添加的扫描任务，并且授权数量是根据域名来计算，例如，域名不同的扫描任务各占用一个域名；ip相同的多个端口不同的网站占用1个域名。

2.5升级
升级页面提供漏洞库和web平台升级的功能，使得产品保持最新的漏洞扫描能力。

该系统包括自动升级和手动升级两种方式。

2.5.1漏洞库升级
2.5.1.1 自动升级
选中自动升级，点击确定。

升级完成之后，在升级配置页面会显示升级成功。

2.5.1.2 手动升级
当网站安全监测系统不能连接外网时，用户可以先手工上传升级包文件，然后通过离线升级的功能，完成升级。

选中手动升级，选择升级文件，点击确定，如下图所示。

升级完成之后，在升级配置页面会显示升级成功。

选择任意一种方式升级成功之后，可以在前台主视图页面看到更新的版本号。

2.5.2web平台升级
同理，选择web平台，之后可再选择自动升级与手动升级，手动升级需上传升级包。

若选择了自动升级，之后有版本更新，系统会自动更新到最新版本，若web系统不需要自动更新，可选择手动升级，并点击确定，其状态就不会自动更新。

web平台升级成功之后，可在前台主视图中看到web平台版本号的更新。

3 新手上路指导
3.1启动网站安全监测系统
1、打开浏览器IE或FireFox，在浏览器的地址栏中填写登录网站安全监测系统的地址，如https://10.0.0.1
随后显示网站安全监测系统的用户登录界面，如下图所示。

输入网站安全监测系统默认提供的用户帐号/密码：admin/ Venustech60；点击登录，登录成功之后显示的首页如下图所示：
点击左“<”或右“>”可进入“统计数据总和”界面
注意：如果启明星辰网站安全监测系统无法正确访问，请确认以下：
是否是防火墙的设置有误，必须添加端口443例外以允许通过防火墙进行通信
3.2多级账户管理
在账户管理中，在管理员账户建立的账户均为二级账户，以下均以默认二级账户admin为例说明。

3.2.1新建三级账户
进入admin账户中，点击创建子账号，即可对三级账户的用户名、密码、个人信息等进行配置，如下图所示：
说明：
（1）默认admin账户的用户级别为超级用户，其并发任务数量上限为30个，子账号数量上限为10个；其所创建的所属三级账户的默认的用户级别为企业用户，其扫描并发任务上限为10个。

并发用户数量可在后台管理员的用户列表配置中修改。

（2）创建账户时，可对自己所属的子账户进行域名限制，即三级账户只能添加限制范围内的域名任务。

（3）当二级账户本身存在域名限制时，三级账户添加域名限制时，不能越过上级的域名限制，如果输入了二级账户的域名限制之外的域名，确定添加账户后，会自动过滤掉不符合规定的域名。

（4）三级账户的用户短信条数和任务短信条数默认和其上级所配置的条数一致。

3.2.2三级账户的应用
以新建三级账户test为例，其限制域名为。

退出admin账户，以test账户登录到操作员界面。

在test账户的检测管理添加、
/AJAX/。

其中可以直接加入列表并开始扫描，而对于/AJAX/，系统会提示等待审核。

分别在监控管理、变更管理和DNS管理中加入这2个站点，可以直接加入，/AJAX/系统会提示超出域名范围，会被过滤掉。

3.2.3账户管理
退出test账户，以admin账户登录到操作员界面。

在admin账户中，可以看到等待审核的站点，点击通过，可以让站点通过审核并开始扫描；点击删除，即不让站点通过，可以直接删除掉。

如下图所示：
并且在二级账户中，点击搜索右边的下拉列表，可以筛选出当前二级操作员以及当前二级操作员下的三级操作员分别对应的扫描任务。

点击管理子账号，可以对已创建的账户进行修改和删除操作，可修改除账号名以外的其他项。

另外，二级账户可以禁用或启用所属的三级账户。

删除三级操作员的操作，会删除该操作员下的所有任务，包括待审核的任务。

3.2.4留言管理
在test账户中，点击消息管理，在反馈输入框中输入“测试，请通过审核！”，点击反馈。

这时，点击未处理栏，即可看到刚刚留言的内容和时间。

如图所示：
退出test三级账户，以admin账户登录到操作员界面。

可以看到消息管理中有一条未处理消息。

点击消息管理，如下图所示：
同样，二级账户admin也可向其上级即管理员反馈留言[未处理(系统)]和处理留言[已处理(系统)]。

3.3网站管理
3.3.1网站列表
网站列表界面可以给每个网站添加漏洞任务、可用性任务、变更任务、DNS 任务、挂马任务、敏感词任务。

该网站添加任务有分无两种形式：批量添加和单个添加。

批量添加可以选择当前选中和当前所有，而单个添加则是指给某一网站添加任务。

添加任务的详细信息会在后面对应的检测管理、监控管理、变更管理、DNS管理、挂马管理、敏感词管理中查看一一说明。

3.3.1.1添加网站任务并添加扫描3.3.1.1.1添加网站任务
3.3.1.2添加批量任务
3.3.1.2.1添加漏洞任务
如果你需要对多个站点同时添加漏洞扫描任务，可选批量添加任务-漏洞任务
3.3.1.2.2添加可用性任务
如果你需要对多个站点同时添加可用性任务，可选批量添加任务-可用性任务
3.3.1.2.3添加变更任务
如果你需要对多个站点同时添加变更任务，可选批量添加任务-变更任务
3.3.1.2.4添加DNS任务
如果你需要对多个站点同时添加DNS管理任务，可选批量添加任务-DNS任务
3.3.1.2.5添加挂马任务
如果你需要对多个站点同时添加挂马任务，可选批量添加任务-挂马任务
3.3.1.2.6添加敏感词任务
如果你需要对多个站点同时添加敏感词任务，可选批量添加任务-敏感词任务
3.3.1.3导入网站
3.3.1.4单个网站添加任务
3.3.1.
4.1添加漏洞任务
点击网站列表里漏洞任务里的倒三角符号（如图所示），会出来一个新建弹窗
点击新建，弹出高级检测选项页面（如图所示）
同理，我们也可以通过相同的方式单个添加可用性任务、变更任务、DNS 任务、挂马任务以及敏感词任务。

3.3.2网站发现
网站发现可以对发现的网站执行删除、生成扫描任务以及忽略操作。

（注：使用该功能需现在后台系统配置-网站发现引擎配置处添加网站发现引擎IP）
3.3.2.1网站发现
点击网站发现会弹出网站发现人物添加界面，用户添加IP范围，以及对自己添加的范围执行修改及删除操作。

3.3.2.2忽略网站发现
用户可在网站发现界面对发现的网站执行忽略操作，被忽略的任务可在忽略网站发现界面进行查看。

用户可在忽略网站发现界面对被忽略的网站执行删除、生成扫描任务以及恢复操作。

恢复时，用户可选择全部恢复或者是单个恢复。

已恢复的任务可在网站发现页面查看。

3.4使用检测管理扫描漏洞
3.4.1建立扫描任务并执行扫描
本章节内容以建立漏洞扫描任务为例进行说明。

3.4.1.1策略模板管理
3.4.1.1.1新建模板
点击新建模板，可以对模板中的策略及规则进行设置保存为模板。

如下图所示：
在新建模板中，可以自定义模板级别；可对扫描基本参数、HTTP设置、爬虫相关设置和漏洞类型进行设置；另外若勾选“是否与子账户共享”，在其所属三级账户中会显示此处新建的规则模板。

注，此勾选项只会在二级账户中显示。

3.4.1.1.2模板管理
点击高级选项，输入站点，勾选“是否选用模板”，在模板类型处选择已经新建或导入的模板，如test，模板策略中的规则就会出现在设置选项中，漏
洞扫描设置就只需要设置认证方式和域名绑定IP两项即可，点击添加检测，如下图所示：
在test模板后点击替换，此时test模板成为默认状态，即在快速添加站点时，站点的设置情况和默认模板test一致。

另外，在模板管理中，还可以对模板进行修改、删除和导出模板操作。

选择自定义的规则模板导入，确定上传。

注意，上传的模板以导出的规则
模板的文件类型为准。

3.4.1.2快速添加站点
点击菜单栏的『检测管理』，出现如下图所示页面：
在添加站点图标左侧的文本输入框内输
/，点击按钮添加站点，页面如下图所示：
上图所示的站点就是通过添加站点之后，直接通过系统的验证，开始扫描任务，扫描策略均为默认设置。

并且可对正在扫描的任务进行暂停或结束扫描操作，后文在3.4.2.1有做详细介绍。

3.4.1.3高级添加站点扫描
如果需要对该站点进行其他的设置，可以点击高级选项按钮，如下图：
如果扫描站点任务较多，可以在上图所示的站点列表里批量添加，一个站点一行。

也可采用文件导入的方式进行批量添加，选择的url文件要求是txt 格式的，并且一个url一行的方式。

勾选“是否选用模板”，可以选择已经保存或导入的模板。

选用模板后，对模板项中已存在的设置将不会再进行设置。

另外，若使用的模板中有勾选“子域名自动添加任务”，而高级选项中选择了子节点下发任务，那么子域名
自动添加任务勾选项不生效。

如果本台机器作为主节点使用，在高级选项中可以选择已经配置好的子节点，将任务下发给子节点扫描。

下发后，该任务可在本机器和子节点的任务列表中显示，并且扫描状态、进度和详情会同步，但是子节点只有查看配置和查看详情权限，而本机器是具备修改、删除、暂停、结束或重新检测任务的权限。

注意，在主节点上对下发给子节点的任务做暂停/继续/结束/删除的操作的时候，都会有片刻的状态界定，如下图所示：
关于如何配置子节点，在章节4.5.16会有详细介绍。

3.4.1.3.1漏洞扫描常规设置
此处可对任务的漏洞扫描进行一系列的设置，例如检测入口地址、认证方式，代理模式，任务模式等，如下图所示：
漏洞扫描具体设置说明如下所示：
1)检测入口地址
对于某些需要输入特定入口地址才能检测的网站需要设置。

2)添加cookies、设置User_Agent扫描站点
上图所示的漏洞扫描设置，网站cookies可通过工具，例如firefox浏览器的插件firebug获得。

如下图所示：
注意：
1)上图红圈标注的字符为该站点的cookies，将内容复制到站点添加高级选项的自定义cookie中去；User_Agent的内容填写到扫描设置中的
User_Agent设置栏。

2)另外，如果被扫描的网站通过cookie登录后的界面有退出、注销等标签的（退出标签又不在以下默认黑名单中的），要将标签写入检测黑名单选项，例如 logout，quit等等，避免扫描过程中扫到退出标签，cookie会改变，从而扫描会受影响。

系统已默认的黑名单有
logout|signout|logoff|signoff|exit|quit|bye-
bye|clearuser|invalidate。

3）cookie设置好后，web扫描器界面和被扫描的网站在同一个浏览器打开，并且网站保持登陆状态，直至扫描完成。

3)BASIC、NTLM和digest认证
可以对具有BASIC、NTLM或digest认证的站点进行扫描，需要输入认证的用户名和密码即可。

如下图所示的BASIC认证，在添加该任务时选择BASIC认证，并输入认证
的用户名和密码。

在开始检测时，需要用户输入验证信息通过方可扫描，如下图所示：
其中，下面介绍了Basic、NTLM和digest三种认证的区别：
Basic: 如RFC2617所定义的基本认证机制，由于凭证通过明文传递，该认证机制是不安全的，其安全性比较低；
NTLM: NTLM是微软推出的安全协议，提供了认证、完整性与加密服务。

NTLM 认证是一项类似于 HTTP Basic 与 HTTP Digest 认证的挑战—响应协议；
4)Digest:是一种更加安全的认证形式，在传输密码前会对其进行 MD5 哈
希处理，同时会配以密码随机数。

选择代理模式
下图是代理模式的设置，通过设置代理模式可以提供一些网络上网关的某些安全功能。

如果被扫描网站需要用代理的方式才能访问，需要在代理方式处选择对应的代理并写入相应的主机名、端口以及用户名和密码信息。

可以设置的代理模式有http，socks4，socks5和无代理模式，默认状态下为无代理模式。

5)域名绑定IP
域名绑定IP是不进行DNS解析，直接用这个IP作为被扫描网站的IP地址进行扫描。

6)404错误页面
用户可以定义网站的404返回页面特征。

7)检测黑名单
使添加进黑名单的url不做漏洞扫描。

8)检测周期
检测周期包括单次检测、每日检测、每周检测、每月检测四种。

如下图
所示：
9)任务模式
任务模式包括常规检测、深度检测、快速检测、单URL检测
对几种任务模式说明如下：
常规检测是爬虫去重力度比深度检测要大，比快速检测小。

检测用例也比较全，不会检测cookie部分的参数，以及一些不太常用的测试用例；
深度检测，检测的规则最多，并且会检测http头部和cookie的一些字段，爬虫爬取时去重的力度小；
单url检测只检测一个用户输入的url，不爬取；
快速检测，检测一些高危漏洞，中低危选择性检测一些。

10)任务优先级
任务优先级分为一般、缓急和紧急三种级别，默认级别为一般。

当添加扫描的任务个数已经达到用户并发任务上限，此时再添加的任务A的级别若设置为缓急或紧急，当列表中一有任务检测完成，任务A可优先于待检测的任务进行扫描。

A扫描结束后，系统会自动查找列表中是否还存在级别为紧急或缓急的任务，其中紧急任务优先于缓急任务，若无，系统会依次扫描级别为一般的任务。

11)子域名自动添加任务
若勾选，则任务开始扫描时，会将扫到的子域名自动添加到任务列表中，并开始扫描。

但是此处的设置不会带入周期性扫描或重新检测任务中，只对当前本次任务扫描生效。

另外，若该任务是作为下发给子节点扫描的，该选项是不可选的。

12)邮件通知
用户可勾选邮件通知，待任务扫描结束，用户邮箱（可以输入多个邮箱）便可以接收到安全检测报告，如下图所示：
注：发送安全检测报告成功的前提是在后台管理员用户中已设置邮件服务器。

13)发包限速设置
设置每秒发包数量的上限值。

14)扫描线程数
设置一个任务扫描时所产生的线程数，默认为5个。

15)最大允许扫描时间
针对大型网站，可能需要更多的时间才能扫描完成，需要在此设置最大允许时间，默认为4小时，不建议设置低于4小时。

注：最小为1小时
3.4.1.3.2HTTP设置
点击HTTP设置，可以对如图所示的选项进行设置。

HTTP协议有2种，分别为1.0和1.1，用户可针对被扫描网站的HTTP协议来设置，也可选择自动。

另外，还可以自定义设置HTTP链接超时时间、数据发送超时时间、数据接收超时时间、连接超时重试次数设置和HTTP请求头设置。

3.4.1.3.3爬虫相关设置
点击爬虫相关设置，可以对以下选项进行设置，如图所示：
1)最大检测页面数
针对扫描大型网站，可以手动输入被扫描网站的最大检测页面数量。

2)深度设置
设置足够的深度，对于大型网站，才能更全面地扫描。

3)去重算法
去重算法有智能去重算法和简单去重算法。

其中智能去重是扫描过程中将web站点的url中的数字去掉，而简单去重是将web站点去掉完全重复的URL。

4)优先设置
爬虫时有广度优先和深度优先两种方式。

广度优先是一层一层地爬取页
面，重点在于广度；深度优先是在爬取页面时尽量地往网页更深层次地挖掘进去。

5)其他爬虫设置
另外还可以设置页面参数是否区分大小写、页面过滤路径是否区分大小写、每个目录最大子目录数、每个目录最大文件个数。

设置爬行文件类型白名单可以使只有满足的文件类型才会爬取和扫描。

相反，设置爬行文件类型黑名单是使满足的文件类型不去爬取和扫描。

爬行文件白名单设置是只有满足输入的正则的文件才会去爬取和扫描。

跨越扫描设置是设置正则表达式使扫描过程中有遇到满足的域名，直接进行域名扫描，而不再继续爬取。

6)漏洞类型设置
下图所示的是漏洞类型设置，可以根据扫描的站点进行选择，默认状态下是全选，这样对于站点是比较安全的。

另外，若想针对某个或某几个漏洞，可以使用全选或反选。

点击添加检测之后，添加的站点将会在站点列表显示并开始扫描任务。

3.4.2扫描任务管理
添加成功后，任务列表中展示了当前任务的当前状态信息和详细状态。

当前状态信息主要有站点域名、任务名称、最新检测日期、检测进度、风险个数
以及操作选项。

对于子节点接收到的任务，没有对任务的操作权限，只能查看配置和详情的权限，如下图所示：
3.4.2.1续扫/结束任务
（1）对于新建的任务，任务开始扫描，即检测中的任务，其操作状态为停止。

此时，可以对其进行“停止”操作。

如下图所示：
（2）注意：选择结束时，为保证列表中漏洞数和扫描详情中漏洞数量显示一致，会有1分钟左右的状态界定，如下图所示：
可以对待检测和结束状态的站点进行修改操作，点击操作选项中的修改按钮，如下图：
漏洞扫描设置跟高级选项添加站点的设置选项一致。

修改后点击确定，
然后该站点将会重新进行检测。

注：上图在检测管理列表中有出现风险等级不止三种的情况，会多出紧急漏洞和信息漏洞2个等级，用户可以在管理员的漏洞列表中自定义漏洞级别，此处在下文4.5.8.1有详细说明。

3.4.3查看扫描结果
当扫描结束以后，用户可以对扫描的结果进行查看。

在站点任务列表中，点击站点右侧操作中的“详细”，系统会显示该站点的详细扫描结果。

注：点击详细会跳转到新的标签页
3.4.3.1报表下载
在漏洞详情中，用户可以选择查看该站点不同时间检测的漏洞详情，并且可以点击[DOC格式] [PDF格式] [HTML格式] [EXCEL格式] [XML格式]按钮来将报告下载至本地，而且还可以选择需要下载的内容。

注意，下载详情报告时，若该站点漏洞数目过多，系统会对下载报告做如下限制。

当总漏洞数超过500时，点击[DOC格式] [PDF格式]会提示“漏洞数已超过500，建议下载html格式报表”；当漏洞数超过5000时，点击[DOC格式] [PDF格式] [HTML格式]会提示“漏洞数已达到上限，无法下载报表”，但用户可以下载EXCEL格式和XML格式。

3.4.3.2详情显示
页面会显示该站点的详细信息、风险视图、漏洞分布、web站点等等，如下图所示：。