互聯(lián)網(wǎng)服務(wù)平臺及門戶網(wǎng)站已經(jīng)成為互聯(lián)網(wǎng)時代政府機關(guān)企事業(yè)單位的形象代言，是政企單位展示自身形象的一個重要渠道。從國務(wù)院辦公廳組織開展的第一次全國政府網(wǎng)站普查情況獲悉，截至2015年11月，各地區(qū)、各部門共開設(shè)政府網(wǎng)站84094個。隨著政務(wù)工作從信息公開向綜合服務(wù)不斷提升，以“互聯(lián)網(wǎng)+”為理念，將會打造更多的政務(wù)信息數(shù)據(jù)服務(wù)平臺和便民服務(wù)平臺。

與此同時，Web頁面被篡改，甚至出現(xiàn)違法信息，被掛暗鏈，SQL注入，XSS攻擊等Web安全問題層出不窮，網(wǎng)站被黑事件屢見不鮮，對網(wǎng)站組織者的聲譽和公信力造成巨大負面影響，不乏眾多事實案例證明，Web門戶頁面是黑客入侵和攻擊利用的重要突破口。

根據(jù)《中國互聯(lián)網(wǎng)站發(fā)展狀況及其安全報告(2016)》，2015年網(wǎng)頁篡改、網(wǎng)站后門等攻擊事件層出不窮，黨政機關(guān)、科研機構(gòu)、重要行業(yè)單位網(wǎng)站依然是黑客組織攻擊特別是APT攻擊的重點目標。2015年被植入后門的中國網(wǎng)站數(shù)量為75028個，較2014年增長86.7%，其中政府網(wǎng)站為3514個，較2014年增長130%。政府網(wǎng)站因公信力高、影響力大，容易成為黑客攻擊目標，特別是地方政府網(wǎng)站成為“重災(zāi)區(qū)”。

普遍部署安全設(shè)備的網(wǎng)站為什么還需要檢查和監(jiān)控?

通過剖析WebRAY完成的重大安保任務(wù)和分析應(yīng)急保障寫過的應(yīng)急報告，了解到，很多政企單位在通過常規(guī)檢查，并且按要求部署了傳統(tǒng)安全防御設(shè)備后，仍然還會爆出Web攻擊事件發(fā)生。究其原因，有設(shè)備的部署和配置不當、新的漏洞曝光但發(fā)現(xiàn)不及時、更新補丁不及時、新的攻擊在進化、傳統(tǒng)技術(shù)更新跟不上攻擊變化的腳步，等很多原因。所以現(xiàn)階段看來，單單通過防御的方式來抵御現(xiàn)有的威脅是遠不夠的。

目前網(wǎng)絡(luò)安全工作正在從過去的“防護”為核心向兩個方向轉(zhuǎn)移，一個方向是向前，強調(diào)對于攻擊事件發(fā)生之前，進行風(fēng)險管理和威脅預(yù)警，盡量降低網(wǎng)站被攻擊的可能性。一個方向是向后，強調(diào)對于攻擊事件發(fā)生后的及時發(fā)現(xiàn)和快速響應(yīng)能力，盡量降低攻擊造成的影響。

??

安全大檢查正是找出風(fēng)險，降低被攻擊可能的一個過程。重大事件安全保障，正是及時處理攻擊，減少攻擊影響的一個過程。這都是現(xiàn)階段解決政府網(wǎng)站安全問題的有效手段。

盛邦安全網(wǎng)站威脅預(yù)警與態(tài)勢感知平臺建設(shè)的經(jīng)驗分享

盛邦安全(WebRAY)多次受政府部門和企事業(yè)單位委托，完成網(wǎng)站安全保障工作。作為國家網(wǎng)絡(luò)與信息安全信息通報機制支撐單位，盛邦安全有著豐富的重大活動網(wǎng)站安保工作經(jīng)驗，是抗戰(zhàn)勝利70周年閱兵和北京世錦賽安保工作支撐單位，也是13屆冬運會和每年全國兩會的支撐單位，烽火臺多次成為國家網(wǎng)絡(luò)安保的核心平臺之一，可謂身經(jīng)百戰(zhàn)。

我們幫助很多主管部門建設(shè)了網(wǎng)站監(jiān)控預(yù)警平臺，并且收到了良好的效果。我們愿意把我們的工作經(jīng)驗和大家分享，希望能夠幫助到您的工作。

服務(wù)目標：

監(jiān)控預(yù)警服務(wù)，一般而言主要聚焦在資產(chǎn)發(fā)現(xiàn)、漏洞掃描、攻擊監(jiān)控、態(tài)勢分析等目標。

資產(chǎn)發(fā)現(xiàn)：針對行業(yè)內(nèi)或區(qū)域內(nèi)的大批量門戶網(wǎng)站、互聯(lián)網(wǎng)服務(wù)平臺、重要信息系統(tǒng)、違規(guī)網(wǎng)站等資產(chǎn)信息進行發(fā)現(xiàn)與識別，并持續(xù)深入學(xué)習(xí)。

漏洞掃描：針對發(fā)現(xiàn)的資產(chǎn)或需要重點保障網(wǎng)站，定期評估Web系統(tǒng)漏洞，核查基線標準配置策略，在管理界面實現(xiàn)安全風(fēng)險的可視化。

攻擊監(jiān)控：針對重點保障網(wǎng)站或互聯(lián)網(wǎng)服務(wù)平臺，時時檢測內(nèi)容篡改，敏感詞監(jiān)控，持續(xù)進行暗鏈/黑鏈檢測、網(wǎng)絡(luò)釣魚檢測、網(wǎng)頁木馬檢測、WebShell檢測、弱口令檢測。

態(tài)勢分析：針對大范圍，大數(shù)量的網(wǎng)站群或互聯(lián)網(wǎng)服務(wù)平臺，進行量化分析，可視化呈現(xiàn)威脅狀態(tài)，并提供定制化報表。

部署方式：

本平臺部署在監(jiān)管部門數(shù)據(jù)中心，通過遠程掃描和監(jiān)控的形式，對行業(yè)或區(qū)域內(nèi)網(wǎng)站及互聯(lián)網(wǎng)服務(wù)平臺進行安全保障服務(wù)。

??

服務(wù)能力：

提供7×24小時不間斷監(jiān)控服務(wù)，分布式引擎部署，單引擎支持數(shù)百站點，單平臺支持4096引擎，多平臺支持集群擴展，此方案可支持超大數(shù)量站點。

提供周期檢查與時時監(jiān)測，通過資產(chǎn)深度學(xué)習(xí)技術(shù)，針對Web業(yè)務(wù)平臺可定期進行遠程Web漏洞風(fēng)險評估，針對OWASP TOP10分類詳細，將利用已知漏洞攻擊的可能性降到最低;針對重點保障網(wǎng)站，進行時時檢測，一旦發(fā)生攻擊事件將負面影響降到最低，可主動發(fā)現(xiàn)內(nèi)容篡改，敏感詞報警，暗鏈/黑鏈、網(wǎng)絡(luò)釣魚、網(wǎng)頁木馬、WebShell等惡意行為，響應(yīng)時間30分鐘以內(nèi)，監(jiān)測實時攻擊并第一時間告警，提供包括短信、郵件、syslog、SNMP等多種告警方式，為用戶提供應(yīng)急響應(yīng)技術(shù)支撐。

“烽火臺”威脅預(yù)警與態(tài)勢感知平臺保證了監(jiān)控的持續(xù)性的同時具備突發(fā)攻擊事件及時響應(yīng)與處理能力。除此之外，針對大范圍的網(wǎng)站利用自動化的手段進行監(jiān)控，并提供三種類型(檢測報告、詳細報表、審計報表)四種格式(word、excel、html、pdf)報表，有效的減低了人工成本。

成功案例：

某市公安網(wǎng)站威脅預(yù)警與態(tài)勢感知平臺建設(shè)

??

[[167786]]

該市為國家直轄市，國家中心城市，超大城市，經(jīng)濟繁榮，承擔國家重要活動重大事件多，影響大，市級重點網(wǎng)站數(shù)量2000+。日前，各類網(wǎng)站被攻擊趨于頻繁，攻擊手段也是越來越惡劣，為了應(yīng)對日趨嚴峻的網(wǎng)絡(luò)信息安全形勢，該市公安委托盛邦安全建立威脅預(yù)警與態(tài)勢感知平臺，對該市重點網(wǎng)站進行安全管理，將政府各門戶網(wǎng)站和金融、能源、交通、教育及衛(wèi)生等網(wǎng)站站點和互聯(lián)網(wǎng)服務(wù)平臺納入綜合管理，對網(wǎng)站和重要信息系統(tǒng)實現(xiàn)漏洞監(jiān)測和報警。

??

[[167787]]

盛邦安全威脅預(yù)警與態(tài)勢感知平臺由總部管控中心和探測引擎兩大部分架構(gòu)組成。部署四臺服務(wù)Server，總部一臺為總部管控中心，下屬分局三臺為分散引擎，整個系統(tǒng)以分布式部署，集中管控的方式搭建。其中管控中心負責掃描任務(wù)的配置、調(diào)度、統(tǒng)計、展示等管理功能，掃描引擎接受來自于管理中心的任務(wù)，將掃描監(jiān)控結(jié)果發(fā)送到管理中心。

??

盛邦安全威脅預(yù)警與態(tài)勢感知平臺，提供常規(guī)Web漏洞掃描監(jiān)控服務(wù)、Web應(yīng)用業(yè)務(wù)可用性監(jiān)測、網(wǎng)頁掛馬及暗鏈檢測、WebShell檢測、頁面篡改和敏感內(nèi)容監(jiān)控、針對常規(guī)攻擊檢測并提供多種告警方式，包括短信、郵件、syslog、SNMP等多種告警方式。

通過盛邦安全威脅預(yù)警與態(tài)勢感知平臺，對該市的重大事件安全保障能力，提供了有效的技術(shù)支撐。

結(jié)束語

目前網(wǎng)絡(luò)安全工作正在從過去的“防護”為核心向兩個方向轉(zhuǎn)移，一個方向是向前，強調(diào)對于攻擊事件發(fā)生之前，進行風(fēng)險管理和威脅預(yù)警，盡量降低網(wǎng)站被攻擊的可能性。一個方向是向后，強調(diào)對于攻擊事件發(fā)生后的及時發(fā)現(xiàn)和快速響應(yīng)能力，盡量降低攻擊造成的影響。

網(wǎng)站大檢查常態(tài)化趨勢，監(jiān)管部門監(jiān)測任務(wù)日趨繁瑣。一方面是因為網(wǎng)絡(luò)安全的形式日益嚴峻，網(wǎng)站所面臨的攻擊越來越多，而且互聯(lián)網(wǎng)服務(wù)平臺也越來越多，互聯(lián)網(wǎng)網(wǎng)站是網(wǎng)絡(luò)攻擊的焦點，與其僅靠人工方式日常檢查或應(yīng)急保障現(xiàn)場排查等方式，不如引入常態(tài)機制更加有效;另一方面就是攻擊往往不是發(fā)生在一個時點，而是一個長期的復(fù)雜行為，很多時候攻擊所利用的后門都是較長時間以前就植入在服務(wù)器里的，所以日常監(jiān)測工作要常抓不懈。

綜上，針對互聯(lián)網(wǎng)服務(wù)平臺及門戶網(wǎng)站檢查工作，行業(yè)與地方監(jiān)管部門，建立一套常態(tài)化的利用自動化手段的檢查與監(jiān)測技術(shù)支撐平臺，迫在眉睫。