平臺(tái)與網(wǎng)站越來(lái)越多，問(wèn)題更多

互聯(lián)網(wǎng)服務(wù)平臺(tái)及門(mén)戶(hù)網(wǎng)站已經(jīng)成為互聯(lián)網(wǎng)時(shí)代政府機(jī)關(guān)企事業(yè)單位的形象代言，是政企單位展示自身形象的一個(gè)重要渠道。從國(guó)務(wù)院辦公廳組織開(kāi)展的第一次全國(guó)政府網(wǎng)站普查情況獲悉，截至2015年11月，各地區(qū)、各部門(mén)共開(kāi)設(shè)政府網(wǎng)站84094個(gè)。隨著政務(wù)工作從信息公開(kāi)向綜合服務(wù)不斷提升，以“互聯(lián)網(wǎng)+”為理念，將會(huì)打造更多的政務(wù)信息數(shù)據(jù)服務(wù)平臺(tái)和便民服務(wù)平臺(tái)。

與此同時(shí)，Web頁(yè)面被篡改，甚至出現(xiàn)違法信息，被掛暗鏈，SQL注入，XSS攻擊等Web安全問(wèn)題層出不窮，網(wǎng)站被黑事件屢見(jiàn)不鮮，對(duì)網(wǎng)站組織者的聲譽(yù)和公信力造成巨大負(fù)面影響，不乏眾多事實(shí)案例證明，Web門(mén)戶(hù)頁(yè)面是黑客入侵和攻擊利用的重要突破口。

根據(jù)《中國(guó)互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報(bào)告(2016)》，2015年網(wǎng)頁(yè)篡改、網(wǎng)站后門(mén)等攻擊事件層出不窮，黨政機(jī)關(guān)、科研機(jī)構(gòu)、重要行業(yè)單位網(wǎng)站依然是黑客組織攻擊特別是APT攻擊的重點(diǎn)目標(biāo)。2015年被植入后門(mén)的中國(guó)網(wǎng)站數(shù)量為75028個(gè)，較2014年增長(zhǎng)86.7%，其中政府網(wǎng)站為3514個(gè)，較2014年增長(zhǎng)130%。政府網(wǎng)站因公信力高、影響力大，容易成為黑客攻擊目標(biāo)，特別是地方政府網(wǎng)站成為“重災(zāi)區(qū)”。

網(wǎng)站安全檢查漸成常態(tài)

近年來(lái)，國(guó)家相關(guān)部門(mén)針對(duì)網(wǎng)站尤其是政府網(wǎng)站推出了一系列政策文件，并組織了多次安全檢查。國(guó)家對(duì)于網(wǎng)站安全的重視力度凸顯，在短時(shí)間內(nèi)高密度地發(fā)布各類(lèi)通知及文件。

2011年5月國(guó)務(wù)院辦公廳發(fā)布了《關(guān)于進(jìn)一步加強(qiáng)政府網(wǎng)站管理工作的通知》(國(guó)辦函〔2011〕40號(hào))，通知要求“各地區(qū)、各部門(mén)要對(duì)政府網(wǎng)站管理工作開(kāi)展經(jīng)常性的督促檢查，并使之制度化、常態(tài)化，及時(shí)發(fā)現(xiàn)并妥善解決存在的問(wèn)題。”

2014年5月網(wǎng)信辦發(fā)布了《關(guān)于加強(qiáng)黨政機(jī)關(guān)網(wǎng)站安全管理的通知》(中網(wǎng)辦發(fā)文〔2014〕1號(hào))，通知提出“加大黨政機(jī)關(guān)網(wǎng)站、電子郵件系統(tǒng)的安全檢查力度，中央和國(guó)家機(jī)關(guān)各部門(mén)網(wǎng)站和省市兩級(jí)黨政機(jī)關(guān)門(mén)戶(hù)網(wǎng)站、電子郵件系統(tǒng)等每半年進(jìn)行一次全面的安全檢查和風(fēng)險(xiǎn)評(píng)估。”

2014年底，公安部、國(guó)家發(fā)改委和財(cái)政部聯(lián)合印發(fā)通知，明確要求對(duì)國(guó)家級(jí)重要信息系統(tǒng)/重點(diǎn)網(wǎng)站所在單位每年開(kāi)展一次網(wǎng)絡(luò)安全執(zhí)法檢查。

2015年3月國(guó)務(wù)院辦公廳發(fā)布《關(guān)于開(kāi)展第一次全國(guó)政府網(wǎng)站普查的通知》。同年9月四部委聯(lián)合出臺(tái)了《黨政機(jī)關(guān)、事業(yè)單位和國(guó)有企業(yè)互聯(lián)網(wǎng)網(wǎng)站安全專(zhuān)項(xiàng)整治行動(dòng)方案》，要求各級(jí)政府網(wǎng)站主管部門(mén)要做好安全防范工作，要“加強(qiáng)網(wǎng)站安全監(jiān)測(cè)、測(cè)評(píng)和檢查，查找網(wǎng)站安全隱患并及時(shí)整改，落實(shí)網(wǎng)站防攻擊、防篡改、防掛馬等關(guān)鍵技術(shù)防范措施，組織開(kāi)展應(yīng)急演練，提高網(wǎng)站抵御攻擊破壞的能力”。

重大事件必有網(wǎng)絡(luò)安保

以上是針對(duì)日常安全隱患檢查，在攻擊發(fā)生前對(duì)網(wǎng)站安全隱患掃描及整改，通過(guò)檢查手段盡量減少漏洞的方式，減少攻擊發(fā)生。另外，針對(duì)“兩會(huì)”、“重大體育賽事”、“重大會(huì)議”等重大國(guó)家重要活動(dòng)，在做好各種安全防范措施的同時(shí)，必須要做好安全預(yù)案，及時(shí)防止入侵、避免攻擊等安全事件的發(fā)生，一旦發(fā)生攻擊事件了，我們應(yīng)該第一時(shí)間發(fā)現(xiàn)并告警，應(yīng)該通知哪些人，如何響應(yīng)等等。

盛邦安全屢次承擔(dān)重大事件網(wǎng)絡(luò)保障工作，安保期間，Web站點(diǎn)都是網(wǎng)絡(luò)攻擊的焦點(diǎn)。過(guò)去，安全事件響應(yīng)的時(shí)間往往是在攻擊已經(jīng)發(fā)生后較長(zhǎng)時(shí)間，通過(guò)外部擴(kuò)散造成負(fù)面影響后，才得到修復(fù)，造成的影響已無(wú)法挽回。通過(guò)盛邦安全威脅預(yù)警與態(tài)勢(shì)感知平臺(tái)，實(shí)時(shí)對(duì)網(wǎng)站的運(yùn)行情況進(jìn)行全方位監(jiān)控，對(duì)于攻擊做到近似于實(shí)時(shí)的發(fā)現(xiàn)，并通過(guò)預(yù)設(shè)的預(yù)警通報(bào)機(jī)制將相關(guān)信息第一時(shí)間通告給負(fù)責(zé)人以便快速采取補(bǔ)救措施。

我們通常認(rèn)為，攻擊不存在會(huì)不會(huì)發(fā)生的問(wèn)題，只存在何時(shí)發(fā)生，如何發(fā)生的問(wèn)題。針對(duì)攻擊事件，通過(guò)技術(shù)平臺(tái)，盡早發(fā)現(xiàn)攻擊，減少攻擊造成的損失。才會(huì)使我們?cè)诿鎸?duì)攻擊時(shí)能夠做到工作有條不紊，及時(shí)有效應(yīng)對(duì)。

普遍部署安全設(shè)備的政府網(wǎng)站為什么還需要檢查和監(jiān)控?

通過(guò)剖析盛邦安全完成的重大安保任務(wù)和分析應(yīng)急保障寫(xiě)過(guò)的應(yīng)急報(bào)告，了解到，很多政企單位在通過(guò)常規(guī)檢查，并且按要求部署了傳統(tǒng)安全防御設(shè)備后，仍然還會(huì)爆出Web攻擊事件發(fā)生。究其原因，有設(shè)備的部署和配置不當(dāng)、新的漏洞曝光但發(fā)現(xiàn)不及時(shí)、更新補(bǔ)丁不及時(shí)、新的攻擊在進(jìn)化、傳統(tǒng)技術(shù)更新跟不上攻擊變化的腳步，等很多原因。所以現(xiàn)階段看來(lái)，單單通過(guò)防御的方式來(lái)抵御現(xiàn)有的威脅是遠(yuǎn)不夠的。

目前網(wǎng)絡(luò)安全工作正在從過(guò)去的“防護(hù)”為核心向兩個(gè)方向轉(zhuǎn)移，一個(gè)方向是向前，強(qiáng)調(diào)對(duì)于攻擊事件發(fā)生之前，進(jìn)行風(fēng)險(xiǎn)管理和威脅預(yù)警，盡量降低網(wǎng)站被攻擊的可能性。一個(gè)方向是向后，強(qiáng)調(diào)對(duì)于攻擊事件發(fā)生后的及時(shí)發(fā)現(xiàn)和快速響應(yīng)能力，盡量降低攻擊造成的影響。 

安全大檢查正是找出風(fēng)險(xiǎn)，降低被攻擊可能的一個(gè)過(guò)程。重大事件安全保障，正是及時(shí)處理攻擊，減少攻擊影響的一個(gè)過(guò)程。這都是現(xiàn)階段解決政府網(wǎng)站安全問(wèn)題的有效手段。

網(wǎng)站檢查與持續(xù)監(jiān)控的操作方式

通常，針對(duì)網(wǎng)站檢查與持續(xù)監(jiān)控的傳統(tǒng)操作方式有：自主上報(bào)，定期巡查，人工檢查，現(xiàn)場(chǎng)排查，事件曝光后的應(yīng)急處理等。然而，隨著政務(wù)工作從信息公開(kāi)向綜合服務(wù)不斷提升，以“互聯(lián)網(wǎng)+”為理念，將會(huì)打造更多的政務(wù)信息數(shù)據(jù)服務(wù)平臺(tái)和便民服務(wù)平臺(tái)。面對(duì)網(wǎng)站數(shù)量眾多，Web攻擊形式復(fù)雜變化快等安全問(wèn)題，僅通過(guò)人工方式日常檢查或現(xiàn)場(chǎng)排查應(yīng)急保障等方式，不僅耗費(fèi)大量的人力和時(shí)間，而且監(jiān)測(cè)結(jié)果還不夠準(zhǔn)確，難以實(shí)現(xiàn)實(shí)時(shí)、有效、快速、全面的檢查與監(jiān)測(cè)。

另外，網(wǎng)站安全保障工作漸有常態(tài)化趨勢(shì)。一方面是因?yàn)榫W(wǎng)絡(luò)安全的形式日益嚴(yán)峻，網(wǎng)站所面臨的攻擊越來(lái)越多，而且重大事件也越來(lái)越多，網(wǎng)站是網(wǎng)絡(luò)攻擊的焦點(diǎn)，與其每逢重大事件做事件性處置，不如引入常態(tài)機(jī)制更加有效。另一方面是攻擊往往不是發(fā)生在一個(gè)時(shí)點(diǎn)，而是一個(gè)長(zhǎng)期的復(fù)雜行為，很多時(shí)候攻擊所利用的后門(mén)都是較長(zhǎng)時(shí)間以前就植入在服務(wù)器里的，所以安全檢查工作要常抓不懈，持續(xù)監(jiān)控。

因此，非常有必要建立一套常態(tài)化的監(jiān)測(cè)工具，實(shí)現(xiàn)實(shí)時(shí)掃描監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)系統(tǒng)風(fēng)險(xiǎn)，并在攻擊事件發(fā)生后第一時(shí)間快速告警，減少攻擊造成的危害。

盛邦安全網(wǎng)站威脅預(yù)警與態(tài)勢(shì)感知平臺(tái)建設(shè)的經(jīng)驗(yàn)分享

盛邦安全(WebRAY)多次受政府部門(mén)和企事業(yè)單位委托，完成網(wǎng)站安全保障工作。作為國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制支撐單位，盛邦安全有著豐富的重大活動(dòng)網(wǎng)站安保工作經(jīng)驗(yàn)，是抗戰(zhàn)勝利70周年閱兵和北京世錦賽安保工作支撐單位，也是13屆冬運(yùn)會(huì)和每年全國(guó)兩會(huì)的支撐單位，烽火臺(tái)多次成為國(guó)家網(wǎng)絡(luò)安保的核心平臺(tái)之一，可謂身經(jīng)百戰(zhàn)。

我們幫助很多主管部門(mén)建設(shè)了網(wǎng)站監(jiān)控預(yù)警平臺(tái)，并且收到了良好的效果。我們?cè)敢獍盐覀兊墓ぷ鹘?jīng)驗(yàn)和大家分享，希望能夠幫助到您的工作。

服務(wù)目標(biāo)：

監(jiān)控預(yù)警服務(wù)，一般而言主要聚焦在資產(chǎn)發(fā)現(xiàn)、漏洞掃描、攻擊監(jiān)控、態(tài)勢(shì)分析等目標(biāo)。

資產(chǎn)發(fā)現(xiàn)：針對(duì)行業(yè)內(nèi)或區(qū)域內(nèi)的大批量門(mén)戶(hù)網(wǎng)站、互聯(lián)網(wǎng)服務(wù)平臺(tái)、重要信息系統(tǒng)、違規(guī)網(wǎng)站等資產(chǎn)信息進(jìn)行發(fā)現(xiàn)與識(shí)別，并持續(xù)深入學(xué)習(xí)。

漏洞掃描：針對(duì)發(fā)現(xiàn)的資產(chǎn)或需要重點(diǎn)保障網(wǎng)站，定期評(píng)估Web系統(tǒng)漏洞，核查基線(xiàn)標(biāo)準(zhǔn)配置策略，在管理界面實(shí)現(xiàn)安全風(fēng)險(xiǎn)的可視化。

攻擊監(jiān)控：針對(duì)重點(diǎn)保障網(wǎng)站或互聯(lián)網(wǎng)服務(wù)平臺(tái)，時(shí)時(shí)檢測(cè)內(nèi)容篡改，敏感詞監(jiān)控，持續(xù)進(jìn)行暗鏈/黑鏈檢測(cè)、網(wǎng)絡(luò)釣魚(yú)檢測(cè)、網(wǎng)頁(yè)木馬檢測(cè)、WebShell檢測(cè)、弱口令檢測(cè)。

態(tài)勢(shì)分析：針對(duì)大范圍，大數(shù)量的網(wǎng)站群或互聯(lián)網(wǎng)服務(wù)平臺(tái)，進(jìn)行量化分析，可視化呈現(xiàn)威脅狀態(tài)，并提供定制化報(bào)表。

部署方式：

本平臺(tái)部署在監(jiān)管部門(mén)數(shù)據(jù)中心，通過(guò)遠(yuǎn)程掃描和監(jiān)控的形式，對(duì)行業(yè)或區(qū)域內(nèi)網(wǎng)站及互聯(lián)網(wǎng)服務(wù)平臺(tái)進(jìn)行安全保障服務(wù)。

服務(wù)能力：

提供7×24小時(shí)不間斷監(jiān)控服務(wù)，分布式引擎部署，單引擎支持?jǐn)?shù)百站點(diǎn)，單平臺(tái)支持4096引擎，多平臺(tái)支持集群擴(kuò)展，此方案可支持超大數(shù)量站點(diǎn)。

提供周期檢查與時(shí)時(shí)監(jiān)測(cè)，通過(guò)資產(chǎn)深度學(xué)習(xí)技術(shù)，針對(duì)Web業(yè)務(wù)平臺(tái)可定期進(jìn)行遠(yuǎn)程Web漏洞風(fēng)險(xiǎn)評(píng)估，針對(duì)OWASP TOP10分類(lèi)詳細(xì)，將利用已知漏洞攻擊的可能性降到最低;針對(duì)重點(diǎn)保障網(wǎng)站，進(jìn)行時(shí)時(shí)檢測(cè)，一旦發(fā)生攻擊事件將負(fù)面影響降到最低，可主動(dòng)發(fā)現(xiàn)內(nèi)容篡改，敏感詞報(bào)警，暗鏈/黑鏈、網(wǎng)絡(luò)釣魚(yú)、網(wǎng)頁(yè)木馬、WebShell等惡意行為，響應(yīng)時(shí)間30分鐘以?xún)?nèi)，監(jiān)測(cè)實(shí)時(shí)攻擊并第一時(shí)間告警，提供包括短信、郵件、syslog、SNMP等多種告警方式，為用戶(hù)提供應(yīng)急響應(yīng)技術(shù)支撐。

“烽火臺(tái)”威脅預(yù)警與態(tài)勢(shì)感知平臺(tái)保證了監(jiān)控的持續(xù)性的同時(shí)具備突發(fā)攻擊事件及時(shí)響應(yīng)與處理能力。除此之外，針對(duì)大范圍的網(wǎng)站利用自動(dòng)化的手段進(jìn)行監(jiān)控，并提供三種類(lèi)型(檢測(cè)報(bào)告、詳細(xì)報(bào)表、審計(jì)報(bào)表)四種格式(word、excel、html、pdf)報(bào)表，有效的減低了人工成本。

成功案例：

某市公安網(wǎng)站威脅預(yù)警與態(tài)勢(shì)感知平臺(tái)建設(shè)

該市為國(guó)家直轄市，國(guó)家中心城市，超大城市，經(jīng)濟(jì)繁榮，承擔(dān)國(guó)家重要活動(dòng)重大事件多，影響大，市級(jí)重點(diǎn)網(wǎng)站數(shù)量2000+。日前，各類(lèi)網(wǎng)站被攻擊趨于頻繁，攻擊手段也是越來(lái)越惡劣，為了應(yīng)對(duì)日趨嚴(yán)峻的網(wǎng)絡(luò)信息安全形勢(shì)，該市公安委托盛邦安全建立威脅預(yù)警與態(tài)勢(shì)感知平臺(tái)，對(duì)該市重點(diǎn)網(wǎng)站進(jìn)行安全管理，將政府各門(mén)戶(hù)網(wǎng)站和金融、能源、交通、教育及衛(wèi)生等網(wǎng)站站點(diǎn)和互聯(lián)網(wǎng)服務(wù)平臺(tái)納入綜合管理，對(duì)網(wǎng)站和重要信息系統(tǒng)實(shí)現(xiàn)漏洞監(jiān)測(cè)和報(bào)警。

盛邦安全威脅預(yù)警與態(tài)勢(shì)感知平臺(tái)由總部管控中心和探測(cè)引擎兩大部分架構(gòu)組成。部署四臺(tái)服務(wù)Server，總部一臺(tái)為總部管控中心，下屬分局三臺(tái)為分散引擎，整個(gè)系統(tǒng)以分布式部署，集中管控的方式搭建。其中管控中心負(fù)責(zé)掃描任務(wù)的配置、調(diào)度、統(tǒng)計(jì)、展示等管理功能，掃描引擎接受來(lái)自于管理中心的任務(wù)，將掃描監(jiān)控結(jié)果發(fā)送到管理中心。

盛邦安全威脅預(yù)警與態(tài)勢(shì)感知平臺(tái)，提供常規(guī)Web漏洞掃描監(jiān)控服務(wù)、Web應(yīng)用業(yè)務(wù)可用性監(jiān)測(cè)、網(wǎng)頁(yè)掛馬及暗鏈檢測(cè)、WebShell檢測(cè)、頁(yè)面篡改和敏感內(nèi)容監(jiān)控、針對(duì)常規(guī)攻擊檢測(cè)并提供多種告警方式，包括短信、郵件、syslog、SNMP等多種告警方式。

通過(guò)盛邦安全威脅預(yù)警與態(tài)勢(shì)感知平臺(tái)，對(duì)該市的重大事件安全保障能力，提供了有效的技術(shù)支撐。

結(jié)束語(yǔ)

目前網(wǎng)絡(luò)安全工作正在從過(guò)去的“防護(hù)”為核心向兩個(gè)方向轉(zhuǎn)移，一個(gè)方向是向前，強(qiáng)調(diào)對(duì)于攻擊事件發(fā)生之前，進(jìn)行風(fēng)險(xiǎn)管理和威脅預(yù)警，盡量降低網(wǎng)站被攻擊的可能性。一個(gè)方向是向后，強(qiáng)調(diào)對(duì)于攻擊事件發(fā)生后的及時(shí)發(fā)現(xiàn)和快速響應(yīng)能力，盡量降低攻擊造成的影響。

網(wǎng)站大檢查常態(tài)化趨勢(shì)，監(jiān)管部門(mén)監(jiān)測(cè)任務(wù)日趨繁瑣。一方面是因?yàn)榫W(wǎng)絡(luò)安全的形式日益嚴(yán)峻，網(wǎng)站所面臨的攻擊越來(lái)越多，而且互聯(lián)網(wǎng)服務(wù)平臺(tái)也越來(lái)越多，互聯(lián)網(wǎng)網(wǎng)站是網(wǎng)絡(luò)攻擊的焦點(diǎn)，與其僅靠人工方式日常檢查或應(yīng)急保障現(xiàn)場(chǎng)排查等方式，不如引入常態(tài)機(jī)制更加有效;另一方面就是攻擊往往不是發(fā)生在一個(gè)時(shí)點(diǎn)，而是一個(gè)長(zhǎng)期的復(fù)雜行為，很多時(shí)候攻擊所利用的后門(mén)都是較長(zhǎng)時(shí)間以前就植入在服務(wù)器里的，所以日常監(jiān)測(cè)工作要常抓不懈。

綜上，針對(duì)互聯(lián)網(wǎng)服務(wù)平臺(tái)及門(mén)戶(hù)網(wǎng)站檢查工作，行業(yè)與地方監(jiān)管部門(mén)，建立一套常態(tài)化的利用自動(dòng)化手段的檢查與監(jiān)測(cè)技術(shù)支撐平臺(tái)，迫在眉睫。